通过下载器的图谱分析提前9天发现恶意软件
今天的恶意软件传播主要依靠分发网络+释放器(Dropper)完成,恶意软件分发渠道主要包括恶意广告、社工、捆绑安装、漏洞利用等,主要用来投放 Dropper,也就是所谓的下载木马,然后通过木马来下载恶意代码执行信息窃取和破坏等任务。
由于恶意软件的Dropper与正常应用中的下载器(downloader)行为模式类似,而且往往有正式的数字签名(例如Stuxnet),因此往往能绕过杀毒软件,在被提交到Virual Total曝光之前,这些恶意软件通常能够“逍遥”80多天。
近日马里兰洲立大学的助理教授Tudo Dumitras通过机器学习对这些下载器的行为路径进行图谱分析(上图),可以提前识别相关恶意软件(比提交到 Virus Total的样本平均提前9天),准确率高达96%。
该研究的论文地址(PDF)如下:The Dropper Effect: Insights into Malware Distribution with Downloader Graph Analytics
第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom
除非注明,本站文章均为原创或编译,未经许可严禁转载。
相关文章: