利用开源情报发现并解释恶意行为

admin 2022年3月26日11:31:20评论119 views字数 1518阅读5分3秒阅读模式

利用开源情报发现并解释恶意行为

原文标题:Open Source Intelligence for Malicious Behavior Discovery and Interpretation
原文作者:Yi-Ting Huang, Chi Yu Lin, Ying-Ren Guo, Kai-Chieh Lo, Yeali S. Sun, Meng Chang Chen
原文链接:https://ieeexplore.ieee.org/abstract/document/9566808/
原文来源:TDSC'21
笔记作者:2rrrr@SecQuan
文章小编:cherry@SecQuan

介绍

目前的主动防御系统能否有效应用的关键,在于是否了解恶意软件的特点,比如它们在目标机器上的各种行为和操作的资源。这篇文章提出了一个基于ATT&CK框架的恶意软件行为分析系统MAMBA(MITRE ATT&CK based Malicious Behavior Analysis),MAMBA首先从MITRE网站和引用的参考文献中提取TTP及其相应的资源,并通过精心设计的神经网络模型从恶意软件中发现TTP及其相应的API执行调用序列。ATT&CK中对TTP的高层次描述可作为恶意行为的解释,并可以通过MAMBA链接到恶意软件的低层次执行痕迹。

方法

利用开源情报发现并解释恶意行为

MAMBA的主要设计目标是将ATT&CK中带有TTP注释的资源与恶意软件使用的受控资源对齐。上图是MAMBA的整体流程图,由提取阶段、融合阶段和威胁识别阶段组成。

提取阶段包括从ATT&CK中进行的知识抽取,以及生成恶意软件在沙箱中的执行跟踪。知识抽取的方式使用的是正则表达式,从ATT&CK的每项技术的介绍页面中匹配出相关的资源名,如下表所示。经过人工验证,知识抽取的准确率达到90%左右。

利用开源情报发现并解释恶意行为

融合阶段包括资源的embedding和资源与技术绑定,将提取阶段中收集到的ATT&CK资源名和沙箱执行记录映射到固定长度的向量空间。由于这两者之间的表示方式有所不同,比如ATT&CK中的启动文件夹路径是由Users[Username]组成,而沙箱记录中则是Users\Baka,作者选择了基于skip-gram的PV-DM算法来进行向量映射,来保证两者在向量空间中的紧密性。

提取和融合阶段完成后,进入威胁识别阶段,通过恶意软件样本中的技术来识别威胁。该阶段的流程图如下图所示,首先从融合阶段的输出生成API调用embedding,然后输入GRU网络得到隐藏向量,第一层注意力机制用于强调API调用与资源间的相关性,第二层注意力机制用于强调绑定组嵌入之间的依赖关系。

利用开源情报发现并解释恶意行为

实验

作者首先设计实验来对比MAMBA与其他传统机器学习等方法在分类性能上的结果,如下表所示。

利用开源情报发现并解释恶意行为

可以看出,MAMBA的准确率、召回率和F1都优于对比的其他方法,证明ATT&CK这类开源情报确实能够提供从沙盒执行结果中提取TTP的有用知识,但由于恶意软件样本和TTP标签的数量有限,得到的结果在60%左右,性能适中。

另一个实验中,作者针对APT29组织使用到的相关恶意样本进行评估,并与ATT&CK上一些安全厂商的评估结果进行对比。ATT&CK上的结果共列出了56个TTP,而作者在310个样本中共提取到了6种战术共67个TTP,下图显示了两者结果的对比,圆圈越大,表示识别出该TTP的安全厂商越多。

利用开源情报发现并解释恶意行为

从结果上看,文章提出的MAMBA确实具有不错的TTP识别能力,证明了从恶意软件样本中提取TTP的可行性;但由于深度学习的统计特性和ATT&CK数据集的大小限制,在准确率等性能方面仍然存在一定不足。


安全学术圈招募队友-ing 
有兴趣加入学术圈的请联系 secdr#qq.com

利用开源情报发现并解释恶意行为


原文始发于微信公众号(安全学术圈):利用开源情报发现并解释恶意行为

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年3月26日11:31:20
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   利用开源情报发现并解释恶意行为http://cn-sec.com/archives/842857.html

发表评论

匿名网友 填写信息