恶意软件命名与描述规范研究

一、 引言

近两年来，恶意软件大肆传播，其复杂度也越来越高，给网络安全造成了巨大威胁，所有行业更加重视恶意软件的预防、检测、取证、关联分析等工作，国家也颁布相关法律法规针对恶意软件的检测与防治，例如《网络安全法》提及不得设置恶意程序和不得提供恶意程序等明文条款；《网络安全等级保护条例》也对防范恶意代码提出了明确要求。

恶意软件攻击手段复杂多变，利用技术穷举不尽，传统的单打独斗的防御方式已经不能抵御新时代的恶意软件攻击，需要各部门紧密配合共同进行恶意软件的防治工作。

因此，需要研究分析并提供规范的恶意软件命名和描述，有利于公司内外的各产品、平台、情报、分析团队进行恶意软件信息交流，更好地进行恶意软件检测、分析、防护、响应和处置等工作。

本次研究主要在调研国内外业界主要标准的基础上，分析当前恶意软件命名与描述方面存在的问题，并对新制定的恶意软件命名和描述规范进行介绍。

二、 主要概念

1.恶意软件 Malware[1]

编写者以破坏计算机系统的安全性、可用性、完整性和正常使用为目的的软件程序，通过互联网进行传播，并可以在未经授权的情况下，在信息系统本地安装，并可通过本地运行或者互联网远程执行以达到不正当目的。

2.恶意软件样本 MalwareSample[1]

互联网恶意软件的文件实体形态，其可以是独立的恶意代码载体文件，被感染型恶意代码感染后的文件对象，也可以是非文件载体恶意代码的文件镜像（包括但不限于引导性病毒的文件镜像、内存恶意代码的文件镜像、以及网络恶意代码的数据包文件）。

3.恶意软件家族 MalwareFamily

具有同源攻击行为的恶意软件集合。

三、 国内标准现状

国内虽然已经有多个跟恶意软件相关的标准，但是还缺少全面的、覆盖最新攻击类型的恶意软件命名与描述标准规范。

3.1 “恶意软件定义”细则[2]

中国互联网协会反恶意软件协调工作组，在2007年6月审议通过了《“恶意软件定义”细则》。为了保证“恶意软件定义”的可操作性性，方便广大互联网用户理解、掌握和自行判断恶意软件的特征，《细则》从八种行为特征判定恶意软件，这八种行为包括：强制安装、难以卸载、浏览器挟持、广告弹出、恶意收集用户信息、恶意卸载、恶意捆绑、其他侵犯用户知情权、选择权的恶意行为。

整体上来说该标准对恶意软件行为进行了定义，但是这些行为没有覆盖目前新型恶意软件的行为特征，例如勒索恶意软件的文件加密行为、逃逸沙箱行为等，另外，该规范没有给出对恶意软件命名的定义规范。

3.2 移动互联网恶意程序描述格式[3]

《移动互联网恶意程序描述格式》是由中国通信标准化协会提出并归口，并由中华人民共和国工业和信息化部于2012年12月发布，为了加强移动互联网恶意程序信息共享、规范移动互联网恶意程序的判定、增进社会对恶意程序的辨识度。

该规范定义的恶意程序命名格式依次由受影响操作系统编码、恶意程序属性主分类编码、恶意程序名称、变种名称、和可选的扩展字段组成，中间以“.”分割。其中，恶意程序属性主分类分为：恶意扣费，信息窃取，远程控制，恶意传播，资费消耗，系统破坏，诱骗欺诈，流氓行为八种分类。

该规范枚举了各种属性分类定义和对应的行为列表，当一个可运行于移动终端上的程序具有这些行为中的一种或多种，可判定为移动互联网恶意程序。

例如恶意扣费的行为属性如下：

在用户不知情或未授权的情况下，通过隐蔽执行、欺骗用户点击等手段，订购各类收费业务或使用移动终端支付，导致用户经济损失的，具有恶意扣费属性。

包括但不限于具有以下任意一种行为的移动互联网恶意程序具有恶意扣费属性：

——在用户不知情或未授权的情况下，自动订购移动增值业务的；

——在用户不知情或未授权的情况下，自动利用移动终端支付功能进行消费的；

——在用户不知情或未授权的情况下，自动拨打收费声讯电话的；

——在用户不知情或未授权的情况下，自动订购其它收费业务的；

——在用户不知情或未授权的情况下，自动通过其它方式扣除用户资费的。

该规范规定了移动互联网恶意程序的定义、行为属性、判定及命名格式，适用于移动互联网恶意程序认定及恶意程序信息数据交换。没有涉及非移动端的恶意软件命名与描述，尤其恶意程序属性主分类缺少目前流行的勒索软件、挖矿软件等类型。

3.3 网络安全威胁信息格式规范[4]

2018年10月我国正式发布《信息安全技术网络安全威胁信息格式化规范》，该标准是由全国信息安全标准化技术委员会（SAC/TC260）提出并归口，中国电子技术标准化研究院牵头制定，通过结构化、标准化的方法描述网络安全威胁信息，实现不同组织之间网络安全威胁信息的共享和利用，在此基础上进行主动性、协同式的威胁网络安全威胁预警、检测和响应，进而实现对复杂网络安全威胁的及时发现和快速响应处理。

该标准规定了网络安全威胁信息模型和网络安全威胁信息组件，及其各组件的属性和属性值格式等信息，威胁信息组件包含：可观测数据、攻击指标、安全事件、攻击活动、威胁主体、攻击目标、攻击方式和应对措施共8个组件。适用于网络安全威胁信息供方和需方之间进行网络安全威胁信息的生成、共享和使用，网络安全威胁信息共享平台的建设和运营可参考使用。

例如，针对文件信息基本记录的属性包含：文件名称，文件类型，文件路径，文件MD5值，文件证书发布者，文件导出函数，文件导入函数，文件编译时间，PE文件资源信息，文件大小，文件数字签名等；针对安全事件的属性包含：时间，版本，位置链接，描述，简要描述，类别，关系者，状态，影响评估，影响资产，获取权限，发现方法，应对措施等。

该标准定义了网络安全威胁维度的信息格式，没有对恶意软件单独展开描述，不过，恶意软件样本描述规范的部分内容可参考本标准提及的文件内容规范。

四、 国际标准现状

国际对恶意软件命名和描述已经有比较成熟全面的标准，但是标准也是比较多，并且没有统一，粒度和维度各不一样，需要调研这些标准的细节，结合实际工作，进行我们的恶意软件命名与描述规范制订工作。

4.1 Computer Antivirus Research Organization恶意软件命名计划[5]

计算机反病毒研究组织(CARO)恶意软件命名计划,最初发布于1991年，在2002年又进行了修订。大多数安全厂商使用基于CARO计划的命名规则，只有很小的变化，但是对于同一个威胁的家族名及其变种名在不同厂商中的命名可能不同。

病毒的全名由最多四个部分组成，由点（'.'）组成。在命名时可以不全部出现，但至少有一部分存在，一般格式为：

Malware_Type:Platform/Family_Name.Group_Name.Major_Variant.Minor_Variant [[：Modifier]。

该命名计划对恶意软件家族命名进行了规范约束，提供不同级别的遵守规则，例如：

1） 强制遵守规则，提出不能用公司名称、品牌名、人名、令人反感的名字等；

2） 应该遵守规则，提出不能用激活日期、发现点的地理名称等；

CARO的命名规则虽然显得稍微有点过时，但是它是大多数反病毒公司曾采用过的标准，例如微软MMPC的恶意软件命名例子（Backdoor:Win32/Caphaw.D!lnk），考虑到要跟业界防病毒厂商接轨，在制定恶意软件命名规范时会参考该标准，同时也会根据目前安全新现状和需求场景进行优化调整。

4.2 Malware Attribute Enumeration and Characterization 标准[6]

MAEC（恶意软件属性枚举和特性）是由MITRE公司提出的，提供通用标准恶意软件信息交流方式，通过结构化语言对恶意软件进行编码和共享保真信息，例如：恶意软件的行为、工件、攻击模式和恶意软件之间关系等信息。降低目前恶意软件描述的不准确性和随意性，并降低对签名的依赖，MAEC可以减少研究人员对恶意软件分析重复工作，能够利用以前观察到的恶意软件实例，快速进行应对策略。

该标准重点并详细描述了关键对象：行为对象、恶意软件动作对象、恶意软件行为对象、恶意软件家族对象、恶意软件实例对象和关系对象等。

对恶意软件家族和恶意软件实例进行了比较全面的描述，具体实例如下：

1）恶意软件家族对象属性包括：唯一编号、家族名称、别名、标签、描述信息、最近发现时间、最早发现时间、通用能力、通用代码片段、通用恶意软件行为、关系等信息；

2）恶意软件实例对象属性包括：唯一编号、实例对象、恶意软件名称、别名、标签、描述信息、最近发现时间、最早发现时间、操作系统支持、CPU架构、能力、动态信息、静态信息、分析引擎信息、触发签名数据、关系等内容。

该标准同时给出了多种开发词汇表，例如分析环境列表、分析类型列表、能力列表、传播方式列表、恶意软件动作列表、恶意软件行为列表、恶意软件类型标签、操作系统列表、混淆算法列表、CPU架构列表等。

MAEC通用的恶意软件实例描述方法和恶意软件家族描述方法，可以作为本报告中的恶意软件样本描述规范和恶意软件家族描述规范参考，MAEC的恶意软件类型标签类别可以作为威胁类型列表的参考。

4.3 Structured Threat Information Expression标准[7]

STIX2.0（结构化威胁信息表达式）也是由MITRE公司提出，该标准可以通过对象和描述关系清晰的表示威胁情报中的多方面特征，可以进行威胁分析、威胁分类、安全事件应急响应、威胁情报分享和数字取证等应用。

该标准提供了12个domain对象和2个关系对象，包含：attack pattern，campaign，course of action，identity，indicator，intrusion set，Malware，observed data，report，threat actor，tool和exploit共12个domain对象，关系和观察两个关系对象。

Malware对象用于描述恶意软件对象，主要包括：标签，恶意软件名称，描述内容，标签，杀伤链阶段，关系等信息。其中的标签主要描述恶意软件的威胁类型。标准共定义了17中威胁类型，如Adware，backdoor，bot，ddos，dropper等。

STIX2.0对恶意软件描述相对比较简单，但是其描述方法和恶意软件标签列表，也可以作为本报告中的恶意软件样本描述规范和恶意软件家族描述规范参考，基于实际需求场景和安全威胁动态，进行优化调整命名和描述规范。

4.4 Malware Information Sharing Platform标准[8]

MISP是开源的威胁情报分享与交换的平台和相关标准，用于共享、存储和关联攻击目标、威胁情报、金融欺诈、漏洞信息和反恐信息的指标，目前MISP不仅应用于存储、共享、IOC协作，而且还使用IOC和相关信息去检测并防御对基础设施、组织和人员的攻击和威胁。

MISP开源项目提供了恶意软件分类，要求恶意软件样本都可以划分到他们的分类列表中，例如：virus，worm，trojan，ransomware，rootkit，downloader，adware，spyware，botnet等。

MISP的恶意软件类型都比较通用，但是缺少最近流行的威胁类型，在制定软件命名和描述规范时会参考该标准，同时也会根据目前安全新现状和需求场景进行优化调整，输出目前最常见、客户关注的威胁类型列表。

4.5 ATT&CK标准[9]

ATT&CK（Adversarial Tactics, Techniques, and Common Knowledge ）是由MITRE公司提出，是一个攻击行为知识库和模型，主要应用于评估攻防能力覆盖、APT情报分析、威胁狩猎及攻击模拟等领域。该标准自从2018 年开始获得爆发式关注和使用，所有国际安全主流厂商的产品都开始支持ATT&CK，并且将自己发现的黑客手法和攻击行为补充给ATT&CK 知识库。

该标准定义了tactics，techniques，mitigations，groups和software。

techniques枚举了目前常见的技术手段，例如T1193:（SpearPhishing Attachment）是Initial Access下面的一个技术手段，并说明其适用平台、攻击模式、过程使用实际案例、减缓措施、检测机制等信息。

software枚举了目前常见的恶意软件和工具，会说明这些恶意软件的类型、使用平台、所用技术手段、相关攻击组织等信息。

ATT&CK作为目前流行的知识库和框架，恶意软件描述需要提供相关技术手段关联，通过这些技术手段可以进行恶意软件的进一步分析（例如知识图谱建立、同源分析等）。

五、 恶意软件命名与描述规范

近两年，恶意样本数量爆炸式增长，对安全企业提出了越来越高的要求，每日都会输出大量的恶意软件行为、静态信息以及恶意软件名称，现在正在沿用的恶意软件命名方法和描述方法，不能直接得体现出恶意软件的关键特点，无法直接反映出恶意软件的主要特性，而这正是所有防守方所关心和需要的。因此，在现有的命名方法和描述方法基础上，进行改进和完善，满足日益复杂的需求。

根据业界标准分析成果、结合恶意软件的各种需求场景，研究并定义了恶意软件命名和描述规范。

制定恶意软件命名格式主要形式：主功能.平台.类型.家族名.变种名，即与业界防病毒厂商已有命名方式接轨，又能体现恶意软件的关键特性和新兴特点，该规范同时给出了各字段的具体枚举列表，保证不同产品、平台、系统和研究团队的理解和使用一致性。

制定威胁类型词汇表，结合国内外标准、需求场景和业界流行的威胁类型进行分析整理，输出20多种常见威胁类型：僵尸网络、蠕虫、木马、下载器、拒绝服务、勒索、挖矿等，并提供每种类型的中英文描述。同时，支持可扩展性，在新型威胁类型出现时，及时补充完善此词汇表。

制定恶意软件样本描述规范和恶意软件家族描述规范，有利于公司内外部的各产品、平台、情报、分析团队对恶意软件信息交流使用，更好地进行恶意软件检测、分析、防护和处置响应工作，例如：可根据恶意软件的威胁程度和家族事件启动不同级别的应急处理措施；可基于恶意软件样本的文件元信息、回联地址、流量信息等进行多维度日志告警的关联分析工作，追溯攻击来源或失陷主机；可通过ATT&CK通用技术手段和通用漏洞等进行样本的同源分析工作。

六、 总结

本研究项目调研了国内外恶意软件相关标准规范，分析了目前恶意软件检测、分析、防护和响应处理等实际工作中遇到的问题和诉求，制订了满足最新需求场景的恶意软件命名与描述规范。

同时，绿盟恶意软件检测分析相关产品、平台、系统、研究团队已经逐步落实该标准，实现恶意软件（尤其高级、复杂、未知威胁攻击软件）及时检测和快速响应的终极目标。

参考文献：

[1].《信息安全技术互联网恶意软件定义与描述规范》研究报告,国家计算机网络应急技术处理协调中心

[2].“恶意软件定义”细则,中国互联网协会

[3].YD/T 2439-2012 移动互联网恶意程序描述格式

[4].GB/T 36643-2018 信息安全技术网络安全威胁信息格式规范

[5].http://www.caro.org/

[6].http://maecproject.github.io/releases/5.0/

[7].https://stixproject.github.io/

[8].https://github.com/MISP/misp-taxonomies/

[9].https://attack.mitre.org/matrices/enterprise/

内容编辑：绿盟科技 张英 责任编辑：肖晴