Video: Anti-Virus taajuus - Immuunijärjestelmän Booster - Puhdistamaa infektioita, virusten, bakteerien (Marraskuu 2024)
Dynaamisen analysoinnin tekeminen tuntemattomille ohjelmistoille hallitussa ympäristössä - tai "hiekkalaatikossa" - on tehokas työkalujen tietoturva-ammattilainen, joka huuhtelee haittaohjelmia. Pahat pojat ovat kuitenkin viisaita tekniikan suhteen ja ovat ottaneet käyttöön uusia temppuja puhkeamiseksi hiekkalaatikosta järjestelmään.
"Dynaaminen analyysi on oikea tapa, ja monet ihmiset tekevät sen", kertoi turvayrityksen LastLine perustaja ja päätutkija Christopher Kruegel. "Mutta todella, se vain raaputtaa pintaa." AV-ratkaisujen vanha malli keskittyi tunnettujen haittaohjelmien luetteloihin ja suojasi kaikelta, mikä vastasi kyseistä luetteloa. Ongelmana on, että tämä menetelmä ei voi suojata nollapäivän hyväksikäyttöä tai olemassa olevien haittaohjelmien lukemattomia variaatioita.
Anna hiekkalaatikko, joka suorittaa tuntemattomia ohjelmistoja hallitussa ympäristössä, kuten virtuaalikoneessa, ja tarkkailee, käyttäyttääkö se haittaohjelmia. Automatisoimalla prosessia AV-yritykset ovat kyenneet tarjoamaan reaaliaikaisen suojan uhkilta, joita he eivät ole koskaan nähneet.
Rikkoa hiekkalaatikko
Ei ole yllättävää, että pahat pojat ovat ottaneet käyttöön uusia työkaluja huijauskoteloiden huijaamiseksi haittaohjelmien sivuuttamiseen ja päästämiseen läpi. Kruegel mainitsi kaksi tapaa, jolla haittaohjelmat ovat alkaneet tehdä tämän: ensimmäinen on ympäristön liipaisujen käyttö, jossa haittaohjelma tarkistaa hienovaraisesti nähdäkseen, toimiiko se hiekkalaatikkoympäristössä. Haittaohjelmat tarkistavat joskus kiintolevyn nimen, käyttäjän nimen, jos tietyt ohjelmat on asennettu, tai jonkin muun kriteerin.
Toinen ja hienostuneempi menetelmä, jota Kruegel kuvasi, oli haittaohjelma, joka tosiasiassa erottuu hiekkalaatikosta. Tässä tilanteessa haittaohjelman ei tarvitse suorittaa tarkistuksia, vaan suorittaa sen sijaan turhia laskelmia, kunnes hiekkalaatikko on tyytyväinen. Kun hiekkalaatikko on vanhentunut, se siirtää haittaohjelman oikealle tietokoneelle. "Haittaohjelmat suoritetaan todelliselle isännälle, suorittavat silmukansa ja tekevät sitten pahoja asioita", Kruegel sanoi. "Se on merkittävä uhka kaikille järjestelmille, jotka käyttävät dynaamista analyysiä."
Jo luonnossa
Näiden hiekkalaatikon murto-tekniikoiden variantit ovat jo löytäneet tiensä korkean profiilin hyökkäyksiin. Kruegelin mukaan Etelä-Korean tietokonejärjestelmiin kohdistuvalla hyökkäyksellä viime viikolla oli hyvin yksinkertainen järjestelmä havaitsemisen välttämiseksi. Tässä tapauksessa Kruegel sanoi, että haittaohjelmat toimisivat vain tietyllä päivämääränä ja kellonaikana. "Jos hiekkalaatikko saa sen seuraavana päivänä tai edeltävänä päivänä, se ei tee mitään", hän selitti.
Kruegel näki samanlaisen tekniikan Aramco-hyökkäyksessä, jossa haittaohjelmat laskivat tuhansia tietokonepäätteitä Lähi-idän öljy-yhtiöltä. "He tarkistivat, olivatko IP-osoitteet osa kyseistä aluetta. Jos hiekkalaatikkosi ei ole tällä alueella, se ei toimisi", Kruegel sanoi.
LastLine: n havaitsemista haittaohjelmista Kruegel kertoi SecurityWatchille, että heidän mielestään vähintään viisi prosenttia käytti jo pysähtymiskoodia.
AV-aseiden kilpailu
Digitaalinen turvallisuus on aina ollut eskaloitumista vastatoimilla, jotka kohtaavat uusia vastahyökkäyksiä ikuisesti. Hiekkalaatikoista kiertäminen ei ole eroa, koska Kruegelin yritys LastLine on jo pyrkinyt tutkimaan mahdollisia haittaohjelmia syvemmin käyttämällä koodiemulaattoria ja koskaan sallimatta mahdollisten haittaohjelmien suorittaa itsensä suoraan.
Kruegel kertoi yrittävänsä myös "työntää" potentiaalisia haittaohjelmia huonoon käyttäytymiseen yrittämällä katkaista mahdolliset pysähtymispiirit.
Valitettavasti haittaohjelmien tuottajat ovat loputtomasti innovatiivisia ja vaikka vain viisi prosenttia on alkanut lyödä hiekkalaatikoita, se on varma veto, että on muitakin, joista emme tiedä. "Aina kun myyjät keksivät uusia ratkaisuja, hyökkääjät sopeutuvat, ja tämä hiekkalaatikkokysymys ei ole erilainen", Kruegel sanoi.
Hyvä uutinen on, että vaikka teknologinen push and pull -toiminto ei välttämättä lopu milloin tahansa, toiset kohdistavat menetelmiä, joita haittaohjelmien tuottajat käyttävät ansaitakseen rahaa. Ehkä tämä osuu pahoihin kavereihin, joissa edes tajuin ohjelmointi ei voi suojata heitä: heidän lompakkoaan.