소프트웨어 지문이란 무엇입니까? (소프트웨어 보안 관리와 관련된 문제)
HBGary 의 CEO 인 그렉 호그룬드 (Greg Hoglund) 에 따르면 맬웨어 실행 파일의 바이너리 코드를 분석하면 공격 코드의 의도를 밝혀 데이터를 보다 효과적으로 보호할 수 있다고 합니다. 호그렌드는 라스베가스에서 열린 회의에서' 맬웨어의 소유권: 사이버 스파이와 디지털 범죄 추적' 이라는 제목의 연설을 할 예정이다.
호그렌드에 따르면 분석은 도구의 흔적, 즉 악성 코드 작성의 환경적 특징을 밝혀낼 것이다. 이렇게 하면 코드를 작성하는 개인이나 단체가 사용하는 도구를 식별하는 데 도움이 됩니다.
예를 들어, 그의 연구는 해커가 맬웨어 실행 파일 뒤에 있는 "지문" 을 보았는데, 여기에는 Back Orifice 2000, Ultra VNC 원격 제어 컴퓨터 소프트웨어 사용 및 2002 년 Microsoft 편집 가이드 코드가 포함되어 있습니다. 각 학위는 약간 수정되었지만 얻은 정보는 완전한' 지문' 을 형성하기에 충분하다.
맬웨어는 마약 덩굴과 같은 RAT 생성기가 각 사용에 대해 고유한 RAT 코드를 만들 수 있는 RAT (원격 액세스 도구) 로 해커의 선택이 아닙니다. Hoglund 에 따르면 다른 맬웨어에서 이러한 RAT 를 식별하면 맬웨어 코드를 일반 작성자 또는 팀과 연결할 수 있습니다.
그는 이 지문들을 발견한 지 꽤 오래되었다. 작성이 완료되면 이러한 이진 코드 자체는 거의 변경되지 않습니다. 따라서 장기적으로 이 지문들을 맬웨어의 특징으로 삼는 것이 더 효과적일 것이다. 호그렌드는 "이 나쁜 사람들은 코드를 자주 바꾸지 않을 것" 이라고 말했다.
전통적인 바이러스 백신 플랫폼은 맬웨어의 변종을 식별할 수 있다. 이 연구는 새로운 형태의 침입 탐지를 낳을 수 있다. 이들은 맬웨어를 심도 있게 분석하여 이러한 지문을 찾아 맬웨어 의도에 따라 구성된 위협 대응 팀에 할당합니다.
예를 들어, 맬웨어가 개인의 신용 카드 계좌를 훔치는 것을 목표로 하는 경우, 회사는 회사의 지적 재산권을 훔치는 맬웨어에 비해 전자를 회사에 위협이 적은 맬웨어로 나열할 수 있습니다.
호그렌드는 이렇게 말합니다. "당신은 이 나쁜 사람들을 당신의 네트워크 밖으로 가로막는 데 성공할 수 없습니다. 그러나 가능한 한 빨리 그것들을 발견할 수 있다면 손실을 막을 수 있다. "
그의 연설에서 호그렌드는 그가 몇 가지 도표를 보여줄 것이라고 말했다. 지문 일치 정도, 이 차트들은 팀이 감지한 50 만 개의 맬웨어를 분류했다. 그는 50 만 개의 맬웨어가 분류되면 그 수가 줄어들고 수천 개가 아닌 수백 개로 변한다는 것을 사람들에게 보여 주고 싶다고 말했다.
그가 말했듯이, 이러한 지문을 맬웨어의 특징으로 탐지하면 침입 탐지 엔진은 맬웨어가 침입할 때 사용하는 껍데기가 아닌 맬웨어를 필터링하는 데 집중합니다. 공격자가 코드를 변경하는 속도가 느리기 때문에 보다 안정적인 맬웨어 기능 라이브러리가 구축됨을 의미합니다. 이러한 IDS 기능은 장기적이고 효율적으로 작동할 것입니다.
이를 위해 IDS 는 코드를 실행하는 터미널에 설치해야 하며 컴퓨터 메모리에서 사람이 읽을 수 있는 텍스트로 간주될 수 있습니다. 네트워크 계층에서 패키지화된 실행 파일에는 이러한 속성이 표시되지 않습니다.
회의에서 Hoglund 는 Fingerprint 라는 도구를 발표할 예정이다. 이 도구는 서로 다른 맬웨어의 유사성을 분석하고 비교합니다. 회사는 이 도구를 사용하여 인식 가능한 해커가 어떤 코드를 작성했는지, 그리고 그들의 의도가 무엇인지 확인할 수 있다.
이 방법은 회사가 그들이 협동 공격을 받았는지 무작위 공격을 받았는지 식별하는 데 도움이 될 수 있다. 호그렌드는 이런 유형의 분석을 통해 국방부를 공격할 수 있는 해커를 발견했고, 이 해커도 5 년 전에 군사 기지를 공격했다고 말했다.
지문은 공격자가 같은 사람이라는 것을 보여준다. 공격자가 사용하는 언어 개발 환경은 공격자가 온 국가를 보여 주며, 공격자가 사용하는 소스 코드 중 일부는 해당 국가의 해커 웹 사이트에 있는 코드 사본입니다.