【公益译文】运用MAEC和STIX描述恶意软件特征

前面给大家介绍了 STIX是一种描述网络威胁信息的结构化语言 ,那么怎么用这种语言来描述网络威胁信息呢?在遇到恶意软件的时候用,它与恶意软件描述语言MAEC又有怎样的区别和配合呢?

本文介绍了恶意软件属性枚举和特征描述(MAEC)及结构化威胁信息表达(STIX)与语言在恶意软件特征及恶意软件元数据交换环境中的运用。通过描述语言之间的关系并详细介绍每种语言获取恶意软件相关信息的能力,本文回答了“何时使用MAEC,何时使用STIX,以及何时使用两者”的问题。

MAEC是什么

这种语言在国际范围内,提供公众免费使用。MAEC 是一种高逼真度信息标准化的语言,基于恶意软件的行为、 工件和攻击模式等属性,进行编码和信息交流。

通过消除当前恶意软件描述中的歧义和不准确性,减少对签名的依赖,MAEC 旨在改善恶意软件的信息交流,这包括人与人、 人工具、 工具和工具与人之间的沟通;减少研究人员对恶意软件分析中发生重复工作;能够利用以前观察到的恶意软件实例特征,实现更快的应对策略。

STIX与MAEC有什么区别

MAEC 和STIX 在设计时使用了截然不同的用例,因此在获取恶意软件信息时扮演的角色也不相同。MAEC 旨在提供全面的、结构化的获取恶意软件样本详细信息的方法,因此使用对象主要是恶意软件分析师。STIX 是为了获取各种网络威胁相关的信息,包括恶意软件的基本信息。因此它的受众更多样化。

MAEC 内容也可以嵌入到STIX 中,使两种语言相互补充。若同时使用,它们可以获取详细的恶意软件信息和网络威胁相关的信息,可在恶意软件和更大的网络威胁环境之间建立有用的、更细粒度的关系。

另一方面,CybOX 为MAEC 和STIX 获取与每种语言相关的可观察物提供共同的基础。虽然CybOX 不能作为一种独立的语言来获取有意义的恶意软件上下文,但它在MAEC 和STIX 中的使用使这两种语言在获取恶意软件相关的可观察物方面可以互通。

STIX和MAEC在描述恶意软件方面的应用

STIX 和MAEC 均可独立用以获取恶意软件信息。然而,在某些情况下,最好是将MAEC 内容嵌入到STIX 文档中。表1 中分别列出了这三种方式(MAEC、STIX、嵌入STIX 的MAEC)获取的恶意软件信息的类型。表中还列出了每种情况的上下文及目标受众。

流程图是为了进一步帮助读者了解在哪些情况下应使用MAEC、STIX 或嵌入STIX 的MAEC。

用STIX描述网络威胁信息

STIX 能够以标准化和结构化的方式获取更广泛的网络威胁信息,包括详细的指标、活动、威胁源起方和TTP(战术、技术和程序)。STIX 还可以提供关于恶意软件样本、族或类别的基本识别信息。因此,概况的网络威胁信息可与明确的恶意软件样本进行直接关联(例如,STIX 指标可与具体的待检测恶意软件样本进行关联)。然而,独立的STIX 内容设计并不包括恶意软件本身的详细特征;只适合STIX 以这种方式来获取更广泛的适用数据,如被人们所熟知的利用恶意软件的威胁源起方。

在恶意软件相关信息方面,STIX 能够独立获取和交换以下信息:

  • 提供一个或多个恶意软件样本的轻量级描述的TTP
  • 与一个或多个恶意软件样本相关的指标,如对某个被恶意软件样本丢弃的文件的描述
  • 利用了一个或多个恶意软件样本的安全事件
  • 与一个或多个恶意样本相关的活动
  • 利用一个或多个恶意软件样本的威胁源起方

STIX 能够获取所描述的恶意软件的类型(如实例或族)、名称,以及通过TTP 组件架构提供的恶意软件简介。一般来说,创建STIX 包应包括多个TTP,每个被识别的恶意软件实例、族或类别都有一个TTP。其他的高级STIX 实体(如指标)可参考这些恶意软件相关的TTP 来提供相关恶意软件实体的基本上下文。

免责声明

本文原文来自于互联网的公共方式,由“安全加”社区出于学习交流的目的进行翻译,而无任何商业利益的考虑和利用,“安全加”社区已经尽可能地对作者和来源进行了通告,但不保证能够穷尽,如您主张相关权利,请及时与“安全加”社区联系。
“安全加”社区不对翻译版本的准确性、可靠性作任何保证,也不为由翻译不准确所导致的直接或间接损失承担责任。在使用翻译版本中所包含的技术信息时,用户同意“安全加”社区对可能出现的翻译不完整、或不准确导致的全部或部分损失不承担任何责任。用户亦保证不用做商业用途,也不以任何方式修改本译文,基于上述问题产生侵权行为的,法律责任由用户自负。

更多内容,请下载附件:【公益译文】运用MAEC和STIX描述恶意软件特征20170111

如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-68438880

发表评论