當涉及到用深奧的編程語言編寫的新惡意軟件時,藍隊的捍衛者幾乎沒有機會確保他們組織中的所有端點都能夠檢測和/或緩解這種惡意軟件。
安全專業人員很快就意識到了這一問題,并建立了一個有效的管道來識別新發布的獨特惡意軟件并開發檢測方法。這個防御者管道阻礙了威脅行為者在世界各地的網絡中輕易部署有害和破壞性的惡意軟件。
許多大公司在發現新發布的惡意軟件或漏洞后,立即公開發布這些檢測結果,從而為信息安全社區做出貢獻。這不僅展示了公司的安全態勢,還致力于幫助其他維權者。
NVIDIA 已經對其安全態勢進行了定位,以便能夠為更廣泛的安全社區做出貢獻,幫助應對此類威脅。這篇文章解釋了 NVIDIA 安全團隊如何與信息安全領域的開源開發人員合作,以幫助增強更廣泛社區的防御能力。
NVIDIA 安全團隊開源協作
NVIDIA 安全團隊由具有各種背景和才能的人員組成,如 SOC 分析師、 Red Teamers 、 Threat Hunters 、 Capability Developers 等。憑借如此廣泛的人才, NVIDIA 安全團隊不斷關注向公眾發布的新威脅、研究或功能。
舉個例子, NVIDIA 安全團隊的一名成員注意到著名的紅隊開源開發者 Cas van Cooten 的一個 Tweet 。推特呼吁更廣泛的社區提供援助,幫助開發新的指揮和控制框架的檢測。這個框架是用一種相當新的編程語言 Nim 編寫的。由于尼姆是獨一無二的,并且受到許多安全公司的關注,范庫滕知道,即使是最先進的安全產品在首次發布時,他的框架也很可能不會被發現。
作為整個信息安全社區的一員,范·庫滕明白,真正的、惡意結盟的威脅行為者會利用他的項目對世界各地的網絡造成傷害。注意到這一任務, NVIDIA 安全團隊的一名成員聯系了 van Cooten ,進一步了解該團隊如何提供幫助。
NVIDIA 安全團隊黑客馬拉松和 YARA 規則開發
NVIDIA 安全團隊在發布前花了一整天的時間查看開源開發者提供的源代碼。其目的是幫助提供針對該工具的武裝防御者的通用檢測。
第一步是嘗試在一個孤立的環境中編譯和運行該惡意軟件,以了解其全部功能和基本行為。基本的功能理解可以幫助 NVIDIA 安全團隊開始深入研究特定的行為、字符串,最重要的是,揭示開發檢測所需的獨特方面。
在黑客馬拉松期間, NVIDIA 安全團隊開發了一個強大且包羅萬象的“內存中” YARA 規則。它包括在惡意軟件的多種不同配置中發現的基于字符串的檢測,包括:
- 為特定功能嵌入的靜態字符串
- 用于默認配置的基于 HTTP 的字符串和用于檢測可能實現的任何變體的基于正則表達式的規則
- 在惡意軟件中唯一找到的 Nim 特定字符串/導入
除了這些基于字符串的檢測, NVIDIA 安全團隊還構建了一套更復雜的規則,這些規則包括:
- 基于其他字符串檢測可執行文件入口點的原始偏移量
- 導入檢測庫以幫助識別可執行文件,這有助于掃描
- 不僅檢測. exe 文件,還檢測. dll 和. bin 文件
任何組織的安全操作中心都可以接受該規則集。該規則集內置于 YARA 語言中,在許多現代安全解決方案中普遍實現。
總結
NVIDIA 安全團隊開發的檢測將與開源項目一起發布。這些檢測將對確保世界各地的組織(包括 NVIDIA )在該框架推出時做好防御準備產生重大影響。傳統上,這些類型的檢測只有在攻擊框架發布并已經造成破壞后才能開發出來。
有興趣向 NVIDIA 網絡安全團隊了解更多信息嗎? Register for GTC 2023 for free ,并于 3 月 20-23 日加入我們,參加 Connect with the Experts: Using AI to Modernize Cybersecurity 和更多相關會議。
?
