image

O Malware Attribute Enumeration and Characterization (MAEC) é uma linguagem estruturada usada para compartilhar e codificar informações de alta fidelidade sobre malware. O MAEC é patrocinado pelo Escritório de Cibersegurança e Comunicações do Departamento de Segurança Interna dos EUA (DHS), e é gerenciado pela MITRE Corporation, que também fornece orientação técnica aos membros da Comunidade MAEC.

A primeira versão do MAEC foi lançada em 14 de janeiro de 2011; em seguida, foi atualizado para as seguintes versões: MAEC 2.0 (abril de 2012), MAEC 3.0 (abril de 2013) e MAEC 4.0 (setembro de 2013). A versão mais recente: MAEC 5.0, foi lançada em outubro de 2017. Como em maio de 2019, o MAEC não é perseguido em um órgão formal de padrões. No entanto, uma vez alcançado um nível adequado sobre a estabilidade, maturidade e uso, a padronização internacional pode ser procurada para o MAEC.

Quais são os elementos-chave do MAEC?

Há dois elementos-chave do MAEC. O primeiro é o documento Especificações principais, que introduz o MAEC e fornece casos de uso de alto nível e define tipos de dados MAEC e objetos de nível superior. O segundo é o documento Especificações de Vocabulários, que fornece valores explícitos para cada um dos vocabulários abertos referenciados no documento de conceitos principais.

Uma vez que o MAEC fornece uma gramática e vocabulário comuns para o domínio de malware, segue-se que a maioria dos casos de uso para MAEC são motivados pela comunicação precisa e inequívoca de atributos de malware ativados pelo MAEC.

Quais são os principais casos de uso do MAEC?

Um dos principais casos de uso do MAEC inclui uma análise de malware estático, dinâmico e visual para mitigar a ameaça com uma melhor compreensão da natureza e propagação do malware). Para realizar análises estáticas, o MAEC pode ser usado para capturar os atributos detalhados de uma instância de malware, como informações sobre embalagem de instâncias, alguns trechos de código interessantes obtidos usando engenharia reversa do código de malware, etc.

Quanto à análise dinâmica, o MAEC pode ajudar a capturar detalhes de qualquer ação ou evento específico que ocorra quando o código malicioso é executado. Com o MAEC, isso pode ser feito em vários níveis de abstração. No nível mais baixo, alguma forma de chamadas de API do sistema nativo pode ser capturada, enquanto em níveis mais altos, qualquer unidade específica de funcionalidade maliciosa, como o keylogging, pode ser descrita. Além desses, outros casos de uso comum incluem análise de ameaças cibernéticas (como sistema de pontuação de ameaças de malware, proveniência e atribuição de malware) e gerenciamento de incidentes (como ter um formato uniforme de emissão de relatórios de malware, repositórios de malware e remediação de malware).

Por que você deveria se importar com maec?

A ausência de qualquer padrão amplamente aceito para caracterizar malware significa que não há técnica precisa para comunicar os atributos de malware específicos, nem para enumerar sua composição fundamental. A estrutura maec resolve esses problemas, pois a caracterização do malware usando padrões abstratos oferece uma ampla gama de benefícios sobre o uso de assinaturas físicas. Ele permite uma codificação precisa de como o malware opera e das ações particulares que ele executa. Essas informações podem ser usadas para detecção de malware, mas também para avaliar o objetivo final do malware. No geral, fornece um conjunto de ferramentas e técnicas modernas para combater e detectar malwares.

O que é a Comunidade MAEC?

O MAEC é um projeto desenvolvido pela comunidade, que envolve representantes de fornecedores de antivírus, sistemas operacionais e software, provedores de serviços de segurança, usuários de TI e outros de todas as comunidades internacionais de cibersegurança.

Os membros do MAEC podem discutir as versões mais recentes das especificações do MAEC e outras coisas através de Listas de Discussão comunitária maec. Os membros podem aproveitar a Enciclopédia de Atributos de Malware para colaborar na construção de mediaWiki semântico de malware. Os membros também podem usar o MAECProject GitHub Tools & Utilities para fazer contribuições para o desenvolvimento do MAEC de código aberto.

Quais são os benefícios do MAEC?

Ao adotar o MAEC para codificar informações relacionadas a malware de forma estruturada, as organizações podem eliminar a ambiguidade e a imprecisão nas descrições de malware e melhorar a consciência geral do malware. Isso também pode ajudar a reduzir a duplicação dos esforços de análise de malware e diminuir o tempo de resposta geral às ameaças de malware. Neste projeto desenvolvido pela comunidade, as informações são compartilhadas com base em atributos como artefatos, comportamentos e relacionamentos entre amostras de malware. O MAEC permite o desenvolvimento mais rápido de contramedidas e fornece a capacidade de aproveitar as respostas para instâncias de malware previamente observadas.

Qual é a relação entre maec e TAXII?

TaxiI (Trusted Automated eXchange of Indicator Information) usa STIX (Structured Threat Information eXpression) para constituir informações de ameaças cibernéticas. Onde o STIX caracteriza ‘o que’ está sendo compartilhado, o TAXII define ‘como’ a carga stix é compartilhada. No entanto, também é viável que a TAXII possa usar o MAEC como sua carga útil em vez de STIX. O MAEC fornece uma maneira abrangente e estruturada de capturar informações detalhadas sobre malware, visando analistas de malware, enquanto o STIX tem como alvo um público mais diversificado, capturando um amplo espectro de informações relacionadas a ameaças cibernéticas, incluindo informações básicas sobre malware.

Artigo Original