Методика идентификации скрытого вредоносного программного обеспечения на основе технологий статического и динамического анализа сетевого трафика
Читать статью полностью
Методика идентификации скрытого вредоносного программного обеспечения на основе технологий статического и динамического анализа сетевого трафика(819,37 KB)Аннотация
В статье рассмотрены особенности воздействия новейших образцов вредоносного программного обеспечения (ВПО) на информационную инфраструктуру организации. Разработана технология синтаксического анализа для получения и анализа файлов-вложений из почтовых писем, а также подсистема идентификации ВПО. Обоснована архитектура системы автоматизированного выявления ВПО на основе методов статического и динамического анализа файлов. Представлены результаты исследования подозрительных файлов и ссылок на предмет выявления в них вредоносного содержания (контента). Показано, что разработанная система обеспечивает высокую эффективность анализа файлов на наличие в них ВПО.
Ключевые слова:
вредоносное программное обеспечение – malicious software; электронная почта – email; статический и динамический анализ – static and dynamic analysis; инструмент «Parsing» – "Parsing" tool; анти-спам система – anti-spam system.
Список литературы
1. Статистика спам атак [Электронный ресурс] / CleanTalk. – Режим доступа: https://cleantalk.org/ru/spam-stats [дата обращения 23.06.2021], свободный. – Загл. с экрана.
2. Best Email Anti-spam Software [Электронный ресурс] / Email Anti-spam Software. – Режим доступа: https://www.g2.com/categories/email-anti-spam [дата обращения 23.06.2021], свободный. – Загл. с экрана.
3. Barracuda Spam Firewall [Электронный ресурс] / Barracuda. – Режим доступа: http://www.barracudaspam.co.uk/features.htm [дата обращения 24.06.2021], свободный. – Загл. с экрана.
4. Barracuda Networks Emai Security Technology [Электронный ресурс] / Barracuda Spam Firewall. – Режим доступа: https://www.barraguard.com/datasheets/products/Barracuda_Spam_Virus_Firewall_TDS_Email_Security_Technology_US.pdf [дата обращения 24.06.2021], свободный. – Загл. с экрана.
5. Proofpoint Q2 2019 Threat Report – Emotet’s hiatus, mainstream impostor techniques, and more [Электронный ресурс] / Proofpoint. – Режим доступа: https://www.proofpoint.com/us/threat-insight/post/proofpoint-q2-2019-threat-reportemotets-hiatus-mainstream-impostor-techniques [дата обращения 24.06.2021], свободный. – Загл. с экрана.
6. Why You Need Static Analysis, Dynamic Analysis, and Machine Learning? [Электронный ресурс] / Paloalto. – Режим доступа: https://www.paloaltonetworks.com/cyberpedia/why-you-need-static-analysis-dynamic-analysis-machinelearning [дата обращения 24.06.2021], свободный. – Загл. с экрана.
7. Топ–4 самых опасных типа вложенных файлов [Электронный ресурс] / Kaspersky daily. – Режим доступа: https://www.kaspersky.ru/blog/top4-dangerousattachments-2019/22767/ [дата обращения 24.06.2021], свободный. – Загл. с экрана.
8. Свойства документов PDF и метаданные [Электронный ресурс] / Adobe. – Режим доступа: https://helpx.adobe.com/ru/acrobat/using/pdf-properties-metadata.html [дата обращения 24.06.2021], свободный. – Загл. с экрана.
9. Carbon Black TAU & ThreatSight Analysis: GandCrab and Ursnif Campaign [Электронный ресурс] / VMWare. – Режим доступа: https://www.carbonblack.com/blog/carbonblack-tau-threatsight-analysis-gandcrab-and-ursnif-campaign/ [дата обращения 02.07.2021], свободный. – Загл. с экрана.
10. Cisco AMP tracks new campaign that delivers Ursnif [Электронный ресурс] / Talos. – Режим доступа: https://blog.talosintelligence.com/2019/01/amp-tracks-ursnif.html [дата обращения 02.07.2021], свободный. – Загл. с экрана.
11.Virustotal [Электронный ресурс]. – Режим доступа: https://www.virustotal.com/gui/ [дата обращения 02.07.2021], свободный. – Загл. с экрана.
12. Руководство пользователя VirusTotal API / Cryptoworld. – Режим доступа: https://cryptoworld.su/rukovodstvopolzovatelya-virustotal-api/ [дата обращения 02.07.2021], свободный. – Загл. с экрана.
13. Расследование ИБ-инцидентов с использованием профилирования поведения динамических сетевых объектов / В.Н. Калинин [и др.] // Защита информации. Инсайд. – 2018. – № 3 (81). – С. 58–67.