The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Исследователи придумали способ классификации вредоносного ПО по авторам

25.06.2010 10:38

На конференции Black Hat будет прочитан доклад, посвященный возможности классификации авторов вредоносного ПО, и опубликованы исходные тексты инструментария, позволяющего на практике реализовать представленную технику. Метод не позволяет определить имя автора, но дает возможность с высокой степенью вероятности определить причастность одного автора к созданию разных вредоносных программ.

Для генерации уникального отпечатка автора, как и в представленном ранее методе идентификации пользователя по web-браузеру, используется уникальность совокупности косвенных признаков. В частности, при анализе вредоносных программ было выявлено, что в них часто можно встретить различные следы сборки, такие как признаки, специфичные для определенной версии компилятора, остатки ссылок на различные пути в файловой системе, имя проекта в среде сборки и т.п. Комбинация подобных, на первый взгляд незначительных, сведений дает достаточно точный слепок, позволяющий присвоить автору уникальный идентификатор и классифицировать вредоносные программы по их авторам.

  1. Главная ссылка к новости (http://www.darkreading.com/dat...)
  2. OpenNews: Исследование степени идентификации пользователя по web-браузеру
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/27092-fingerprint
Ключевые слова: fingerprint, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (28) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, rfcr (ok), 10:54, 25/06/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    Молодцы! Скоро будут по коду ауру кодера определять!
    Ведь уже научились ставить диагноз блоггерам по их постам...
     
     
  • 2.7, Карбофос (ok), 12:55, 25/06/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    :) да и потом карму вправлять
     
     
  • 3.9, int21h (ok), 13:14, 25/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    методом терморектального криптоанализа?
     
     
  • 4.17, Карбофос (ok), 14:28, 25/06/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    может термопроктальное воспитание?
     
  • 2.12, pavlinux (ok), 13:42, 25/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Ведь уже научились ставить диагноз блоггерам по их постам...

    Задача для студента психолога.

     

  • 1.2, Аноним (-), 11:22, 25/06/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    затея интересная, но только ведь имея базу сигнатур авторов и средство для проверки принадлежности малваре тому или иному автору легко можно будет замаскировать свое творение под чужое.
     
     
  • 2.3, rfcr (ok), 11:33, 25/06/2010 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Возможно, но сомнительно что это можно будет сделать легко.. Хотя если этот процесс автоматизировать.
     
     
  • 3.15, аноним (?), 14:13, 25/06/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    главное что эту же базу можно применить и на большое количество легального по.
    ведь велика вероятность, что автором пишутся не только вирусы
    и вот тода и узнаем всю правду о всяких лабораториях.
     

  • 1.4, Skipper_gmr (?), 12:30, 25/06/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    И что это нам дает?
     
     
  • 2.6, аноним (?), 12:41, 25/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Как что?
    Оперативные возможности!
    Не смогли вменить одну малварь, можно копать другую того же (предположительно) автора.
    И хацкера закрыть в конце.
     
     
  • 3.28, StreSS.t (?), 11:46, 26/06/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот почему сразу закрыть?!

    Дать им выбор либо сядешь, либо за среднюю ЗП писать код/тестить/ломать вот вам через пару лет и новая ОС причем если эти бравые парни умудряются такие шедевры написать то будет она не хуже остальных.

    Что за страна блин только бы посадить, нет бы талант применить в мирных целях.

     
  • 3.30, fr0ster (ok), 09:19, 28/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Писал один, применял другой, попался третий, сидит тот, кому просто не повезло.
    Да и вся эта регистрационная инфа вытирается. Кто пограмотнее - не попадется так. А скрипткидди код не пишут. То есть максимум пострадают пишущие хацкерские тулзы и вирусы под заказ:)
     

  • 1.5, Сергей Митрофанович (?), 12:32, 25/06/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Кстати, очень интересно
     
  • 1.8, Frank (??), 13:03, 25/06/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хрень полная и бесполезная. Что изменится от того, что будет известно, что _преположительно_ троян А и троян Б написан одним человеком? А если он апгрейднул компилятор и сменил обфускатор, это уже другой человек? И что? Баловство это, хотя как теоретические исследования покатит, на дипломную работу студента как раз.
     
     
  • 2.10, тоже Аноним (?), 13:25, 25/06/2010 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Понимаете, первые практические приложения теоретических изысканий обычно - бесполезная хрень.
    Зато через сотню лет, к Полудню, Великий КРИ решит загадку семиногого барана ;)
     
  • 2.14, pavlinux (ok), 13:52, 25/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Хрень полная и бесполезная. Что изменится от того, что будет известно, что
    >_преположительно_ троян А и троян Б написан одним человеком? А если
    >он апгрейднул компилятор и сменил обфускатор, это уже другой человек?

    Дело в том, что "страшный" текст троянского кода не запихнешь, например в тот же UnrealIRCd
    С другой стороны, враждебный код массируют под существующие порядки в проекте - пробелы,
    именование функций, переменных, использование calloc_ов, вмеcто malloc+memset 0,
    strncmp вместо strcmp или наоборот.

    В общем, создать закономерность всегда было легче, чем найти её в хаосе.



     
  • 2.16, аноним (?), 14:16, 25/06/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ну а если так - троян А, троян Б и во-о-он то антивирусное ПО известной конторы?
     
     
  • 3.19, Crazy Alex (??), 17:27, 25/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    То это конспирология
     
     
  • 4.21, аноним (?), 19:52, 25/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >То это конспирология

    или кранты кой чьему бизнесу :)

    Кстати .... "а ви почему волнуетесь, товарищ Crazy Alex?"(С)ИС

     
  • 3.22, F (?), 22:56, 25/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Ну скажут, что один из разработчиков в тайне от руководства занимался написанием троянов
     
     
  • 4.29, Anon (?), 16:31, 26/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    А затем в тайне от руководства продавал сигнатуры своему работодателю, дабы тот научался отлавливать это "ПО" раньше других?
     

  • 1.13, pavlinux (ok), 13:48, 25/06/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    cat source.c | ident -orig | obfuse.pl -random-var -random-func
      

     
  • 1.18, Tav (ok), 14:51, 25/06/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Если метод окажется действенным, придумают средства скрытия этих отпечатков. Да хоть каждую программу собирать в виртуальной машине разным компилятором под разной ОС на разной ФС.

    И вообще, с вредоносным ПО нужно бороться улучшением безопасности ОС и вдалбливанием пользователям в головы того, что нельзя использовать ПО, полученное из недоверенного источника — это все равно, что дать чужому человеку ключи от своей квартиры. В дистрибутивах Линукс, кстати, эта проблема решается за счет того, что все программы устанавливаются из нескольких подписанных репозиториев, а не откуда-попало-из-разных-мест.

     
     
  • 2.23, pavlinux (ok), 23:08, 25/06/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > В дистрибутивах Линукс, кстати, эта проблема решается за счет того, что все программы
    > устанавливаются из нескольких подписанных репозиториев, а не откуда-попало-из-разных-мест.

    Ну да, мы играем по крупному - троян так сразу всем! :)


     
     
  • 3.24, Tav (ok), 23:46, 25/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Ну да, мы играем по крупному - троян так сразу всем! :)

    Выложить программу с трояном в какой-тибудь архив с бесплатным ПО — это тоже сразу всем.
    Понятно, что есть (небольшая) вероятность попадания трояна в репозиторий, но, согласитесь, одно дело оставить ключи от своей квартиры компании, занимающейся, например, уборкой, которой вы доверяете, и совсем другое дело дать их первому встречному на улице.

    Возможности для попадания трояна в репозиторий дистрибутива ограничены:
    - его может добавить мэйнтейнер пакета, владеющий цифровой подписью репозитория,
    - его может добавить кто-то из разработчиков ПО,
    - кто-то третий путем взлома сервера, хранящего архивы с исходниками (такое когда-то случилось, но и здесь можно было бы защититься цифровой подписью).

    В первых двух случаях легко найти виновного.

     
     
  • 4.25, pavlinux (ok), 00:34, 26/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >вы доверяете, и совсем другое дело дать их первому встречному на улице.

    Крупнее бери, троян в ядре равносилен выключение ПРО страны.  
    >
    >Возможности для попадания трояна в репозиторий дистрибутива ограничены:
    >- его может добавить мэйнтейнер пакета, владеющий цифровой подписью репозитория,
    >- его может добавить кто-то из разработчиков ПО,
    >- кто-то третий путем взлома сервера, хранящего архивы с исходниками (такое когда-то
    >случилось, но и здесь можно было бы защититься цифровой подписью).
    >
    >В первых двух случаях легко найти виновного.

    Его могут добавить все майнтенеры софта, по приказу АНБ.
    Отказ приравнивается к терроризму, отказу в сотрудничестве
    и ослаблению национальной безопасности. Так как практически
    весь софт растёт из Соединенных Шпротов.


     
     
  • 5.26, Tav (ok), 01:43, 26/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Его могут добавить все майнтенеры софта, по приказу АНБ.

    Проблематично сделать так, чтобы этого никто потом не заметил (если обнаружится, последствия могут быть весьма неприятные). Любители теорий заговора впрочем могут еще пофантазировать на тему: http://en.wikipedia.org/wiki/Backdoor_%28computing%29#Reflections_o

     
     
  • 6.27, pavlinux (ok), 05:05, 26/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >> Его могут добавить все майнтенеры софта, по приказу АНБ.
    >
    >Проблематично сделать так, чтобы этого никто потом не заметил

    Тут инженеры Интел, АМД, IBM,...., нервно падают в истерику, и до конца спектакля валяются по полу.



     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру