Video: Android.Elite (Android Malware) (Oktober 2024)
Dinamična analiza neznane programske opreme v nadzorovanem okolju ali peskovništvo je močno orodje, ki ga strokovnjaki za varnost uporabljajo za odstranjevanje zlonamerne programske opreme. Vendar pa slabi fantje pametno govorijo o tehniki in uvajajo nove trike, kako izbiti iz peskovnika in v svoj sistem.
"Dinamična analiza je pravi način in veliko ljudi to počne, " je dejal Christopher Kruegel, soustanovitelj in glavni znanstvenik varnostnega podjetja LastLine. "A res, to je samo praskanje po površini." Stari model za AV rešitve se je osredotočil na sezname znanih zlonamerne programske opreme in se varoval pred vsem, kar bi ustrezalo temu seznamu. Težava je v tem, da se ta metoda ne more zaščititi pred izkoriščanjem ničelnih dni ali neštetimi različicami obstoječe zlonamerne programske opreme.
Vnesite peskovnik, ki izvaja neznano programsko opremo v nadzorovanem okolju, kot je virtualni stroj, in opazuje, ali se obnaša kot zlonamerna programska oprema. Z avtomatizacijo postopka so AV-podjetja lahko zagotovila zaščito v realnem času pred grožnjami, ki jih še nikoli niso videli.
Razbijanje peskovnika
Presenetljivo je, da so slabi fantje uvedli nova orodja, s katerimi so zaznali peskovnike, da prezrli zlonamerno programsko opremo in jo spustijo skozi. Kruegel je navedel dva načina, kako se je zlonamerna programska oprema začela ukvarjati s tem: prvi je uporaba okoljskih sprožilcev, kjer bo zlonamerna programska oprema subtilno preverila, ali se izvaja v okolju s peskovnikom. Zlonamerna programska oprema bo včasih preverila ime trdega diska, ime uporabnika, če so nameščeni nekateri programi ali kakšna druga merila.
Druga in bolj izpopolnjena metoda, ki jo je opisal Kruegel, je bila zlonamerna programska oprema, ki v peskovniku resnično zavira. V tem scenariju zlonamerni programski opremi ni treba izvajati preverjanj, temveč namesto tega izvaja nekoristne izračune, dokler ni na voljo peskovnik. Po izteku peskovnika zlonamerna programska oprema posreduje dejanskemu računalniku. "Zlonamerna programska oprema se izvrši na pravem gostitelju, naredi zanko in nato naredi slabe stvari, " je dejal Kruegel. "To je velika grožnja za vsak sistem, ki uporablja dinamično analizo."
Že v divjini
Različice teh tehnik lomljenja peskov so se že znašle v napadih odmevnih. Kot je dejal Kruegel, je imel napad na južnokorejske računalniške sisteme prejšnji teden zelo preprost sistem, da se prepreči odkrivanje. Kruegel je v tem primeru dejal, da se bo zlonamerna programska oprema začela izvajati le ob določenem datumu in času. "Če ga bo peskovnik dobil naslednji dan ali dan prej, ne naredi ničesar, " je pojasnil.
Kruegel je podobno tehniko videl tudi v napadu na Aramco, kjer je zlonamerna programska oprema zrušila tisoče računalniških terminalov v bližnjevzhodni naftni družbi. "Preverili so, ali so naslovi IP del te regije, če vaš peskovnik ni na tem območju, se ne bi izvršil, " je dejal Kruegel.
Od zlonamerne programske opreme, ki jo je opazil LastLine, je Kruegel povedal SecurityWatchu, da so ugotovili, da jih vsaj pet odstotkov že uporablja zakasnitveno kodo.
Dirka AV Arms
Digitalna varnost je bila vedno višja s protiukrepi, ki se vedno znova srečujejo z novimi protinapadi. Izmikanje peskov ni nič drugače, saj je Kruegelovo podjetje LastLine že poskušalo globlje raziskati potencialno zlonamerno programsko opremo z uporabo emulatorja kode in nikoli ne dovoli, da bi se potencialna zlonamerna programska oprema neposredno izvajala.
Kruegel je dejal, da poskušajo potencialno zlonamerno programsko opremo "potisniti" v slabo vedenje, tako da poskušajo razbiti potencialne zanke.
Žal so proizvajalci zlonamerne programske opreme neskončno inovativni, in čeprav je le pet odstotkov začelo delati, da bi premagali peskovnike, je zagotovo ostalo, o katerih ne vemo. "Kadar koli se prodajalci pojavijo z novimi rešitvami, se napadalci prilagodijo in to vprašanje peskovnika ni nič drugače, " je dejal Kruegel.
Dobra novica je, da se tehnološki pritiski in tehnološki pritiski morda ne bodo končali, vendar se drugi usmerjajo v metode, ki jih proizvajalci zlonamerne programske opreme uporabljajo za zaslužek. Morda bo to prizadelo slabe fante, kjer jih niti najbolj pametno programiranje ne more zaščititi: njihove denarnice.
