Thursday, January 21, 2010

Attribution Is Not Just Malware Analysis

In a recent Tweet I recommended reading Joe Stewart's insightful analysis of malware involved in Google v China. Joe's work is stellar as always, but I am reading more and more commentary that shows many people don't have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right frame of reference to understand this problem.

In brief, too many people are focusing on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware alone. This is probably due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people making cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se comments have little to no experience with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 broader problems caused by advanced persistent threat. It's enough for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n move to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next sample, or devise cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir next exploit, and so on. Those of us responsible for defending an enterprise can't just look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem from a malware, or even a technical, perspective.

I was reminded of this imperative when I read Waziristan: The Last Frontier in a recent Economist magazine.

[I]t is tempting to think Waziristan has hardly changed since those colonial days... Mostly, [cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Pakistani Frontier Corps] discuss cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir belief that India is behind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current troubles on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 frontier. Lieutenant-Colonel Tabraiz Abbas, just in from fighting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mehsud militants, describes finding Indian-made arms on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 battlefield. Substitute “Russian” for “Indian” and you have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 standard British Great-Game gripe. As late as 1930, a senior British official, in dispatches stored in India’s national archives, reported that a clutch of Russian guns had been found in Waziristan: “Of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se 36 are stamped with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ‘Hammer and Sickle’ emblem of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Soviet government, while one is an English rifle bearing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Czarist crest.

Imagine if policy decisions were made on "rifle analysis" alone. Think of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 havoc that an interloper could introduce by scattering weapons from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r armies where a target of psychological operations would find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

In summary, malware analysis is definitely an important part of attribution, but it's not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only part. Malware analysis is also not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only relevant aspect of Google v China. If you address cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware you won't solve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem. The same goes for any vulnerabilities discovered during this event.

For some related thoughts on profiling an adversary using indicators and not just malware, see Mike Cloppert's post Security Intelligence: Attacking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Kill Chain.

6 comments:

extraexploit said...

I'm totally agree with you but, for example, I have received requests for change position of intelligence related news for give more evidence to malware and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r stuff on my blog post about. I think that for many people is more interesting malware analysis racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than intelligence facts behind threats like this one.

http://extraexploit.blogspot.com

Anonymous said...

Just because people found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware analysis more interesting and less obvious than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 persistence of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacks doesn't mean cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't know about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 persistence.

Nope said...

I don't quite understand what you're driving at with 'attribution'. Attribution of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack to Chinese government supported attackers? You seem to lead cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re in your last sentence.

I find it interesting that you choose to not really explain what it means to "not have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right frame of reference" but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n go on to attack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 experience of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people who fall under this undefined category:

"cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people making cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se comments have little to no experience with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 broader problems caused by advanced persistent threat"

The people making what comments?

I think what you're saying is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious software, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital DNA as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NY Times put it, that Joe talks about (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 modules copied from a Chinese author) is but one piece of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 puzzle to be matched with determining who benefits from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack, its characteristics, and so forth to get a good view of what happened with Google.

There's a larger, likely compelling post here somewhere, but it needs to be fully explained.

Those representing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise who choose to focus on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technical aspects of this attack are not only likely not wrong, but are focusing on those aspects of this cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have some influence over or can grasp, since geopolitical relations with foreign governments are somewhat out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir sphere of influence.

H. Carvey said...

Those of us responsible for defending an enterprise can't just look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem from a malware, or even a technical, perspective.

And yet, in many instances, that's all that folks focus on.

Anonymous said...

Not to mention Joe Stewart is wrong. His “Chinese code” now appears to be a 4-bt (nibble) CRC algorithm that’s been around for years in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 embedded world:

http://www.cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365register.co.uk/2010/01/26/aurora_attack_origins/

Anonymous said...

I may not be an expert, but I am in charge of my (small) company's security. We use anti-malware from Sophos, but only as part of a total security strategy. If you are saying that malware cannot be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sole focus of an organization in regard to threat protection, you are, of course, correct. However, I would not criticize anyone for being diligent in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir approach, especially in today's world of imminent threats..