当涉及到用深奥的编程语言编写的新恶意软件时,蓝队的捍卫者几乎没有机会确保他们组织中的所有端点都能够检测和/或缓解这种恶意软件。
安全专业人员很快就意识到了这一问题,并建立了一个有效的管道来识别新发布的独特恶意软件并开发检测方法。这个防御者管道阻碍了威胁行为者在世界各地的网络中轻易部署有害和破坏性的恶意软件。
许多大公司在发现新发布的恶意软件或漏洞后,立即公开发布这些检测结果,从而为信息安全社区做出贡献。这不仅展示了公司的安全态势,还致力于帮助其他维权者。
NVIDIA 已经对其安全态势进行了定位,以便能够为更广泛的安全社区做出贡献,帮助应对此类威胁。这篇文章解释了 NVIDIA 安全团队如何与信息安全领域的开源开发人员合作,以帮助增强更广泛社区的防御能力。
NVIDIA 安全团队开源协作
NVIDIA 安全团队由具有各种背景和才能的人员组成,如 SOC 分析师、 Red Teamers 、 Threat Hunters 、 Capability Developers 等。凭借如此广泛的人才, NVIDIA 安全团队不断关注向公众发布的新威胁、研究或功能。
举个例子, NVIDIA 安全团队的一名成员注意到著名的红队开源开发者 Cas van Cooten 的一个 Tweet 。推特呼吁更广泛的社区提供援助,帮助开发新的指挥和控制框架的检测。这个框架是用一种相当新的编程语言 Nim 编写的。由于尼姆是独一无二的,并且受到许多安全公司的关注,范库滕知道,即使是最先进的安全产品在首次发布时,他的框架也很可能不会被发现。
作为整个信息安全社区的一员,范·库滕明白,真正的、恶意结盟的威胁行为者会利用他的项目对世界各地的网络造成伤害。注意到这一任务, NVIDIA 安全团队的一名成员联系了 van Cooten ,进一步了解该团队如何提供帮助。
NVIDIA 安全团队黑客马拉松和 YARA 规则开发
NVIDIA 安全团队在发布前花了一整天的时间查看开源开发者提供的源代码。其目的是帮助提供针对该工具的武装防御者的通用检测。
第一步是尝试在一个孤立的环境中编译和运行该恶意软件,以了解其全部功能和基本行为。基本的功能理解可以帮助 NVIDIA 安全团队开始深入研究特定的行为、字符串,最重要的是,揭示开发检测所需的独特方面。
在黑客马拉松期间, NVIDIA 安全团队开发了一个强大且包罗万象的“内存中” YARA 规则。它包括在恶意软件的多种不同配置中发现的基于字符串的检测,包括:
- 为特定功能嵌入的静态字符串
- 用于默认配置的基于 HTTP 的字符串和用于检测可能实现的任何变体的基于正则表达式的规则
- 在恶意软件中唯一找到的 Nim 特定字符串/导入
除了这些基于字符串的检测, NVIDIA 安全团队还构建了一套更复杂的规则,这些规则包括:
- 基于其他字符串检测可执行文件入口点的原始偏移量
- 导入检测库以帮助识别可执行文件,这有助于扫描
- 不仅检测. exe 文件,还检测. dll 和. bin 文件
任何组织的安全操作中心都可以接受该规则集。该规则集内置于 YARA 语言中,在许多现代安全解决方案中普遍实现。
总结
NVIDIA 安全团队开发的检测将与开源项目一起发布。这些检测将对确保世界各地的组织(包括 NVIDIA )在该框架推出时做好防御准备产生重大影响。传统上,这些类型的检测只有在攻击框架发布并已经造成破坏后才能开发出来。
有兴趣向 NVIDIA 网络安全团队了解更多信息吗? Register for GTC 2023 for free ,并于 3 月 20-23 日加入我们,参加 Connect with the Experts: Using AI to Modernize Cybersecurity 和更多相关会议。
