Malware Theory - Imphash algorithm explained
Malware Theory - Imphash algorithm explained
Mandiant article: https://cloud.google.com/blog/topics/threat-intelligence/tracking-malware-import-hashing/
Earlier mentions of import hashing: https://cloud.google.com/blog/products/identity-security/protecting-supply-chains-and-vendor-connections
Defeating imphash: https://malcomvetter.medium.com/defeating-imphash-fb7cf0183ac
pefile: https://github.com/erocarrera/pefile
Fuzzy import hashing: https://pure.port.ac.uk/ws/portalfiles/portal/23272948/FUZZ_IEEE_20_Fuzzy_Import_Hashing.pdf
TypeRef hash article: https://www.gdatasoftware.com/blog/2020/06/36164-introducing-the-typerefhash-trh
TypeRef hash implementation on Github https://github.com/secana/PeNet/blob/master/docfx/articles/typerefhash.md
00:06 Введение в IMPES
• IMPES был представлен компанией Mandiant Fireeye в 2014 году.
• IMPES использует порядок импорта файлов для отслеживания вредоносных программ.
• Один и тот же IMPES в разных файлах указывает на общее происхождение кода.
01:04 Принятие IMPES
• IMPES принят многими поставщиками средств безопасности и инструментов.
• Virustotal и PE Studio используют IMPES для обнаружения вредоносных программ.
• IMPES используется в сигнатурах для обнаружения на основе искусственного интеллекта.
02:05 Алгоритм IMPES
• IMPES собирает все импортные товары PE, удаляет расширения и исправляет имена.
• Строится строка из записей таблицы импорта, которая затем хэшируется с помощью MD5.
• Разные порядки функций приводят к разным хэшам, но имена функциональных модулей не влияют.
03:04 Ограничения и улучшения
• Использование MD5 для хэширования приводит к значительным изменениям при небольших изменениях входных данных.
• Некоторые части IMPES можно было бы спроектировать лучше, например, использование хэша, сохраняющего сходство.
• IMPES полезен для поиска и кластеризации вредоносных программ, но недостаточен для их обнаружения.
04:05 Проблемы и решения
• IMPES не подходит для сетевого вредоносного ПО, которое использует поддельный импорт.
• Для сетевого вредоносного ПО рекомендуется использовать хэш типа ref, разработанный Стефаном Хаусордером.
• Ссылки на статьи и реализации хэширования будут в описании видео.
Что делает видео по-настоящему запоминающимся? Наверное, та самая атмосфера, которая заставляет забыть о времени. Когда вы заходите на RUVIDEO, чтобы посмотреть онлайн «Malware Theory - Imphash algorithm explained», вы рассчитываете на нечто большее, чем просто загрузку плеера. И мы это понимаем. Контент такого уровня заслуживает того, чтобы его смотрели в HD 1080, без дрожания картинки и бесконечного буферизации.
Честно говоря, Rutube сегодня — это кладезь уникальных находок, которые часто теряются в общем шуме. Мы же вытаскиваем на поверхность самое интересное. Будь то динамичный экшн, глубокий разбор темы от любимого автора или просто уютное видео для настроения — всё это доступно здесь бесплатно и без лишних формальностей. Никаких «заполните анкету, чтобы продолжить». Только вы, ваш экран и качественный поток.
Если вас зацепило это видео, не забудьте взглянуть на похожие материалы в блоке справа. Мы откалибровали наши алгоритмы так, чтобы они подбирали контент не просто «по тегам», а по настроению и смыслу. Ведь в конечном итоге, онлайн-кинотеатр — это не склад файлов, а место, где каждый вечер можно найти свою историю. Приятного вам отдыха на RUVIDEO!
Видео взято из открытых источников Rutube. Если вы правообладатель, обратитесь к первоисточнику.