27、恶意软件分类与系统发育分析指南

恶意软件分类与系统发育分析指南

1. 恶意软件分类与系统发育分析概述

在对恶意代码样本进行动态和静态分析，明确其性质、目的和功能后，对样本进行编目和分类，以确定其与其他样本的系统发育关系。创建和维护一个编目和分类的恶意软件样本库，对数字调查人员的恶意软件实验室来说是一项有价值且值得推荐的工作。精心分类的恶意软件样本库是比较和关联新样本的强大资源，具有以下好处：
- 规范每个恶意软件样本的信息收集和报告，提高分析和报告的一致性。
- 可复用已完成的分析知识，节省恶意软件分析的时间和精力，特别是在处理加密等具有挑战性的特征时。
- 以易于理解且对其他数字调查人员分析有用的格式交换恶意软件细节。
- 揭示恶意软件感染的趋势，有助于防范未来攻击。
- 发现相关恶意软件之间的关系，洞察其起源、组成和发展，可能揭示多起事件由同一攻击组织所为。

恶意软件分类，即通过文件分析、行为和静态分析收集样本信息，确定样本的性质、目的和功能，将样本归入同类样本类别，借鉴了传统生物分类学。在某些情况下，需要超越分类，识别特定恶意软件样本的进化、特征和结构相似性，或与其他样本的关系。例如，在调查中发现受害者数月来遭受攻击，攻击者的恶意软件因受害者的反制措施而变得更复杂，此时检查所有样本的系统发育关系，可识别恶意软件的重要相互关系和进化迹象。

在生物学中，系统发育学研究各种生物群体之间的进化关系。应用于恶意软件，系统发育是对一组恶意软件样本之间进化关系的估计。以下是一些关于恶意软件系统发育建模的研究：
| 研究人员 | 研究内容 | 模型 |
| — | — | — |
| Hayes, Walenstein, & Lakh