从零开始学习恶意软件聚类可视化
0x00前言 本文章数据集来自Mandiant对某APT组织样本的整理,分析结果仅做学习探讨之用。 0x01 在本文开始之前,我们首先要明白为什么要做恶意样本的聚类分析。针对APT活动而言,我们需要知道一点,单纯的被动防御是没有胜算的,必须要学会主动防御。什么是主动防御呢?由于APT攻击的特性,总是一点点进行渗透,不会一下子造成大动静,我们要做的就是从其前期的攻击行为中归纳出攻击者的特征、行为,才能帮助我们可以进行更好的防御。而对恶意软件的聚类分析,就是其中不可或缺的一环。通过聚类,我们可以知道哪些恶意软件是属于同一家族的,知道他们可能是同属于某个APT组织等等,这样就方便我们之后针对性地防御、溯源。 ● 那么如何进行恶意软件的聚类分析呢? 最简单的,也是最容易想到的就是通过主机名。我们知道,被投递的恶意软件都必不可少的一个功能就是将窃取的信息回传到攻击者掌控的主机上。一般而言,这些回连的主机名都是硬编码在恶意软件中的。举个简单的例子,我们如果发现有两个恶意软件,都会回连到cfxvrdf@231$$%.dd域名(这个域名不常见又毫无规律可言),那么在相当大的概率上可以断定这两个软件出自...
