2015_лекции / Лекция №2_2015
.pdfЯзык описания Malware Attribute Enumeration and Characterization (MAEC™)
Связь с другими стандартами
Язык описания Malware Attribute Enumeration and Characterization (MAEC™)
Артефакт:
Это изменения, вносимые в систему в результате выполнения основных функций вредоносного ПО (инфицирования, заражения и выполнения деструктивных функций). По сути это отличия в состоянии системы от ее исходного состояния до инфицирования зловредом. Например, объекты файловой системы, ключи реестра, сетевые порты и т.д.
Атрибут:
Характеристики зловредов, которые могут быть использованы для их описания.
Шаблон атаки:
Описание типичных методов получения доступа в систему и выполнения дальнейшей атаки. Пример, использование некорректно настроенных уровней безопасности SSL.
Язык описания Malware Attribute Enumeration and Characterization (MAEC™)
Поведение:
Конечный результат выполнения специфических инструкций зловреда., т.е. под поведением можно понимать последовательность действий. Например, последовательность прописывающая зловред в реестре, чтобы стать резидентным при запуске системы (поведение).
Наблюдаемые признаки
Любые данные, которые могут быть получены в результате
динамического наблюдения за выполнением зловреда в системе, с помощью некоторого инструмента. Эти данные обычно формируются в результате применения методов динамического анализа и являются платформозависимыми. По сути дела то же самое что и артефакты,
однако имеет динамическую природу: запускаемые процессы, сетевое
взаимодействие и т.д.
Язык описания Malware Attribute Enumeration and Characterization (MAEC™)
Деструктивные функции:
Специфические функции зловредов, не относящиеся к инфицированию, распространению, самозащите. В принципе это действия, которые выполняются после успешного инфицирования системы. Возможно одна из категорий высокоуровневой классификации MAEC.
Механизм размножения:
Механизм и вектор, используемый вредоносным ПО для распространения
и заражения других объектов (хостов, файлов). Эта категория является подкатегорией Деструктивные нагрузки.
Тип
Группа зловредов, имеющие одинаковые характеристики : virus, trojan, worm, backdoor, keylogger, rootkit, bot, etc.
Вектор:
Специфический метод, который используют зловред для саморазмножения: использования уязвимостей программного
обеспечения, техники социальной инженерии, и т.д..
Язык описания Malware Attribute Enumeration and Characterization (MAEC™)
3-х уровневая модель MAEC
Copyright © 2014, The MITRE Corporation. All rights reserved.
Язык описания Malware Attribute Enumeration and Characterization (MAEC™)
Модель описаний образца (MAEC-bundle)
Copyright © 2014, The MITRE Corporation. All rights reserved.
Язык описания Malware Attribute Enumeration and Characterization (MAEC™)
Ключевые элементы модель описаний образца (MAEC-bundle)
Copyright © 2014, The MITRE Corporation. All rights reserved.
Язык описания Malware Attribute Enumeration and Characterization (MAEC™)
Copyright © 2014, The MITRE Corporation. All rights reserved.
Язык описания Malware Attribute Enumeration and Characterization (MAEC™)
Элемент Action (действие)
Copyright © 2014, The MITRE Corporation. All rights reserved.
Язык описания Malware Attribute Enumeration and Characterization (MAEC™)
Пример
Copyright © 2014, The MITRE Corporation. All rights reserved.