Video: Hladna vojna (Oktober 2024)
Oseba, ki beži pred kraj zločina, seveda pritegne zanimanje odgovornih policistov. Če se v pasji enoti najde kdo, ki se skriva v smetišču v bližini, bo policija zagotovo želela odgovoriti na nekaj vprašanj. Intelova raziskovalca Rodrigo Branco (na sliki zgoraj, levo, Neil Rubenking) in Gabriel Negreira Barbosa sta uporabila enako razmišljanje za odkrivanje zlonamerne programske opreme. Na konferenci Black Hat 2014 so predstavili impresiven primer za odkrivanje zlonamerne programske opreme na podlagi samih tehnik, ki jih uporablja za preprečevanje odkrivanja.
Pravzaprav sta dva že prej predstavila to tehniko pri Black Hat-u. "Pričakovali smo, da bo AV industrija uporabila naše ideje (dokazano s številčnostjo razširjenosti), da bi znatno izboljšala pokritost preprečevanja zlonamerne programske opreme, " je povedal Branco. "Toda nič se ni spremenilo. Vmes smo izboljšali algoritme za odkrivanje, odpravili napake in razširili raziskave na več kot 12 milijonov vzorcev."
"Delamo za Intel, opravljamo pa preverjanje varnosti in varnostne raziskave strojne opreme, " je dejal Branco. "Hvaležni smo za vse velike razgovore z Intelovimi varnostnimi fanti. Toda za vse napake ali slabe šale v tej predstavitvi smo popolnoma krivi."
Odkrivanje zaznavanja utaje
Običajni izdelek proti zlonamerni programski opremi uporablja kombinacijo odkrivanja na podlagi podpisov za znano zlonamerno programsko opremo, hevristično odkrivanje različic zlonamerne programske opreme in odkrivanje na podlagi vedenja za neznane. Dobri fantje iščejo znano zlonamerno programsko opremo in zlonamerno vedenje, slabi pa se skušajo prikriti in se izogniti odkrivanju. Tehnika Branca in Barbose se začenja pri teh tehnikah izmikanja; tokrat so dodali 50 novih "neobrambnih lastnosti" in analizirali več kot 12 milijonov vzorcev.
Da bi se izognili odkrivanju, lahko zlonamerna programska oprema vključuje kodo, s katero ugotovi, da deluje v navideznem stroju, in se ne drži, če je tako. Vključuje lahko kodo, ki je otežila odpravljanje napak ali razstavljanje. Lahko pa je preprosto kodiran tako, da zasenči, kaj dejansko počne. To so verjetno najlažje razumljive tehnike utaje, ki so jih izsledili raziskovalci.
Podatki o rezultatih raziskav in razširjenosti so prosto dostopni drugim raziskovalcem zlonamerne programske opreme. "Osnovna zbirka podatkov o zlonamerni programski opremi ima odprto arhitekturo, ki raziskovalcem omogoča, da ne samo vidijo rezultate analize, ampak tudi razvijejo in vključijo nove zmožnosti analize, " je pojasnil Branco. Dejansko lahko raziskovalci, ki želijo, da se podatki, analizirani na nove načine, pošljejo Brancu ali Barbosi in zahtevajo novo analizo ali pa samo zahtevajo neobdelane podatke. Analiza traja približno 10 dni, razčlenitev podatkov pa traja še tri, tako da ne bodo takoj preoblikovali.
Ali bodo druga podjetja izkoristila tovrstno analizo za izboljšanje odkrivanja zlonamerne programske opreme? Ali pa se bodo pogovarjali, ker mislijo, da prihaja iz Intela in po priponki iz Intelove podružnice McAfee? Mislim, da bi morali to resno videti.
