來源：How to Choose the Right Malware Classification Scheme to Improve Incident Response，https://securityintelligence.com/how-to-choose-the-right-malware-classification-scheme-to-improve-incident-response/

惡意軟件感染是計算機安全中最常見的威脅之一。根據“2017年ENISA威脅環境報告”，一些防病毒供應商每天檢測到400多萬個惡意軟件樣本，僅2017年一季度就檢測到7億多個樣本。

這些驚人的數字強調了建立惡意軟件事件響應計劃的重要性。然而，安全團隊不能一次處理所有的惡意軟件警報。美國國家標準與技術研究所(NIST)的“桌面和筆記本電腦惡意軟件事件預防和處理指南”概述了組織可以采取的步驟，以開發一個惡意軟件分類方案，優先處理這些事件。

事件響應計劃的分析階段包括識別和理解被檢測到的惡意軟件的類型。這個過程的結果然后作為實際惡意軟件分類的輸入。

分析可以分階段進行，從使用諸如VMRay之類的全自動工具相當容易，到涉及手動代碼逆向的非常困難的技術。分析結果應包括一套指標的破壞(IoCs)和詳細信息的特點，傳播方法和行為的惡意軟件。

為了準備未來的事件，組織應該為每個惡意軟件分類類型建立特定的劇本。這使安全團隊能夠更有效地優先處理事件。例如，根據自動傳播能力分類的惡意軟件應該優先于僅僅被歸類為不需要的程序的惡意軟件。

顯然，要使用正確的劇本，你必須首先能夠正確地分類檢測到的惡意軟件。這就是事情變得棘手的地方。

一、理想情況下的惡意軟件分類

在理想的情況下，一個分類方案會將惡意軟件類型放在一個明確的分類樹中。不幸的是，真實世界的惡意軟件通常具有廣泛的惡意功能、保護方法、目標分發和傳播方法。這使得分類更加困難，并且非常依賴于安全團隊試圖實現的目標。此外，惡意軟件家族通常有許多相似之處，但在分類過程中可能會有一些小的修改，導致混淆。

通過自動分析工具(如沙箱)或通過屬性的靜態分析識別的惡意軟件通常已經被反病毒公司識別和命名。您可以使用這些信息開始，但是僅根據惡意軟件名稱進行分類是有限制的。

二、現有的分類方案

既然我們不是生活在一個理想的世界，讓我們仔細看看一些現有的分類方案，并討論它們如何幫助安全團隊優先處理惡意軟件威脅和優化他們的事件響應過程。

2.1按圖像分類

計算機科學實驗室發表的一篇論文描述了一種使用圖像進行惡意軟件二進制分類的靜態技術。在計算圖像的基于文本的特征來描述惡意軟件之前，先將惡意軟件二進制文件轉換為圖像。由于使用固定大小的加密密鑰，這種分類方法對包裝策略具有彈性。它還使安全團隊能夠可視化地描述和分類惡意軟件樣本。

2.2惡意軟件聚類

惡意軟件聚類提供了惡意軟件之間關系的可視化表示。這些結果可以極大地提高分析人員識別大量惡意軟件樣本之間的相似性的能力，并使他們能夠更快地識別已知樣本或與已知惡意軟件共享相似性的樣本。最終，這解放了安全團隊，讓他們可以專注于新型的惡意軟件。

通過結合使用impfuzzy和Neo4J圖形數據庫，分析人員可以生成快速而有意義的結果。Impfuzzy使用模糊哈希來計算導入API的哈希值。它也是一個波動性插件。

雖然它不是專門設計來表示惡意軟件集群，但VirusTotal圖形工具可以幫助分析人員理解惡意軟件文件之間的關系。它提供了對整個VirusTotal數據集的可見性，以及一個直觀的界面來透視和導航它們。

2.3防病毒廠商命名約定

防病毒供應商喜歡使用基于簽名的方法為惡意軟件分配古怪的名稱。頂級分類通常是通過一個基本的命名約定來完成的。通常，惡意軟件名稱前綴表示目標平臺或惡意軟件功能，然后是惡意軟件家族名稱(例如，“Trojan.Win32”)。

不幸的是，這種命名約定通常僅限于單個供應商，這使得共享信息變得更加困難。此外，這種技術并不總是描述惡意軟件的全部功能。

卡巴斯基實驗室根據一個分類樹對惡意軟件進行分類。惡意軟件樣本按照兩個基本規則放在圖中:

（1）威脅最小的行為顯示在圖的下方。

（2）構成最大威脅的行為顯示在圖表的上半部分。

例如，如果電子郵件蠕蟲比internet中繼聊天(IRC)蠕蟲具有更高的風險，則電子郵件蠕蟲將被放置在圖的頂部和IRC蠕蟲之上。

2.4CARO

微軟使用計算機防病毒研究組織(CARO)的惡意軟件命名方案，根據以下格式:

類型-惡意軟件的行為。例如，它是一個特洛伊木馬，垃圾郵件或遠程訪問工具?

平臺——目標平臺、編程語言或文件格式。

家族-基于共同特征的分組，包括歸屬于同一作者。

變種-一個不同版本的惡意軟件。

附加信息-額外的細節，包括如何使用它作為一個多組件威脅的一部分。例如,“!指示威脅組件是一個快捷方式。

CARO是一個由跨越公司和學術邊界的個人組成的組織，它的目的是研究和研究惡意軟件。自1990年成立以來，它一直在推動一項命名標準。

2.5MAEC

惡意軟件屬性枚舉和描述(MAEC)是一種社區開發的結構化語言，用于基于行為、工件和惡意軟件樣本之間的關系等屬性對惡意軟件信息進行編碼。它可以用于非基于簽名的惡意軟件特征描述。MAEC與STIX類似——如果您使用STIX或TAXII，那么MAEC當然值得研究。

MAEC語言由兩個規范文檔定義:

具有高級用例的核心概念以及數據類型和頂級對象的定義;和

具有顯式值的詞匯表文檔。

MAEC有JavaScript對象表示法(JSON)模式和Cuckoo報告模塊。還有一個模塊用于將VirusTotal 報告轉換為MAEC。

2.6Machine-Parsable惡意軟件分類

一些威脅情報共享平臺，如惡意軟件信息共享平臺(MISP)，支持惡意軟件的分類方案，帶有可由機器解析的標簽和人類可讀的描述。同時使用這兩種分類方法有助于使事件響應過程更加流暢。

機器可解析標記允許分析人員輕松地包含自動化步驟和可以推送到其安全解決方案的保護規則。例如，一旦分析了一個樣本并將威脅事件的所有特征添加到平臺上，安全團隊就可以在遏制和消除階段自動部署入侵檢測系統(IDS)規則。與此同時，人類可讀的標記允許分析人員快速創建摘要報告。在威脅信息共享平臺中立即提供集成，使得與對等方交換這些信息變得更加容易

三、選擇正確的惡意軟件分類方法

有許多不同的方法來分類惡意軟件。選擇正確的方案取決于您的具體用例。

如果您對發現惡意軟件樣本之間的關系和相似性感興趣，那么基于圖像表示和惡意軟件聚類技術的分類方案當然值得研究。如果您的目標是改進處理惡意軟件爆發的事件響應過程，那么分類應該考慮優先級和緊急性標準。

惡意軟件的功能和行為將定義它對您的環境的影響。例如，它的設計目的是竊取用戶憑證、泄漏敏感數據、允許遠程訪問或破壞您的系統嗎?更高的影響力需要更高的優先級。您還應該考慮是否有可能妨礙或減慢您的分析的保護措施。

惡意軟件瞄準的任何平臺都可以作為輸入來確定其優先級。惡意軟件的目標是那些沒有部署在您的環境中的平臺，或者那些使用自動過濾的文檔格式的平臺，這些惡意軟件與其說是真正的威脅，不如說是一種麻煩。

傳播方法也將有助于確定事件的緊迫性。沒有用戶交互就能自動傳播的惡意軟件需要立即跟進。另一方面，你的安全解決方案已經識別和過濾的惡意軟件可以歸類為不那么緊急的。

如果您只是從一個分類方案開始，那么基于CARO的惡意軟件命名約定是一個很好的基礎。您還應該為最常見的惡意軟件類型準備劇本，以確保您的團隊在發生意外時不會措手不及。無論您選擇哪種分類方案，都要確保構建的方式能夠輕松地在事件響應策略中包含自動化步驟。