Koti Securitywatch Haittaohjelma antaa itsensä pois yrittämällä piiloutua

Haittaohjelma antaa itsensä pois yrittämällä piiloutua

Video: 10 DIY Storage Solution Projects for Small Kitchens (Marraskuu 2024)

Video: 10 DIY Storage Solution Projects for Small Kitchens (Marraskuu 2024)
Anonim

Rikospaikalta pakeneva henkilö herättää luonnollisesti vastaavien virkamiesten kiinnostuksen. Jos koirayksikkö osoittaa, että joku piiloutuu läheisyydessä olevaan kaatopaikkaan, poliisi haluaa ehdottomasti vastauksen kysymyksiin. Intelin tutkijat Rodrigo Branco (kuvassa yllä, vasen, Neil Rubenking) ja Gabriel Negreira Barbosa ovat käyttäneet samanlaista ajattelua haittaohjelmien havaitsemiseen. Black Hat 2014 -konferenssissa he esittivät vaikuttavan tapauksen haittaohjelmien havaitsemiseksi niiden tekniikoiden perusteella, joita se käyttää havaitsemisen kiertämiseen.

Itse asiassa nämä kaksi ovat esittäneet tätä tekniikkaa Black Hatissa aiemmin. "Odotimme, että AV-teollisuus käyttäisi ideoitamme (jotka ovat todistettu levinneisyysluvuilla) parantaakseen merkittävästi haittaohjelmien estämistä", sanoi Branco. "Mutta mikään ei muuttunut. Sillä välin paransimme havaintoalgoritmejamme, korjasimme virheitä ja laajensimme tutkimusta yli 12 miljoonaan näytteeseen."

"Teemme töitä Intelille, mutta teemme turvallisuuden validointia ja laitteistoturvallisuustutkimuksia", sanoi Branco. "Olemme kiitollisia kaikista hienoista keskusteluista Intelin tietoturvakaverien kanssa. Mutta kaikki esityksen virheet tai huonot vitsit ovat täysin meidän syytä."

Havaitsemispetosten havaitseminen

Tyypillinen haittaohjelmien torjunta käyttää tunnetun haittaohjelman allekirjoituspohjaisen havaitsemisen, haittaohjelmavaihtoehtojen heuristisen havaitsemisen ja tuntemattomien käyttäytymiseen perustuvan havaitsemisen yhdistelmää. Hyvät kaverit etsivät tunnettuja haittaohjelmia ja haittaohjelmia, ja pahat yrittävät naamioida itsensä ja välttää havaitsemista. Brancon ja Barbosan tekniikka keskittyy aloittamiseen näihin veropetostekniikoihin; tällä kertaa he ovat lisänneet 50 uutta "ei-puolustavaa ominaisuutta" ja analysoineet yli 12 miljoonaa näytettä.

Havaitsemisen välttämiseksi haittaohjelmat voivat sisältää koodin, jolla havaitaan, että se toimii virtuaalikoneessa, ja pidättäytyä käynnistämästä, jos niin. Se voi sisältää koodin, jonka tarkoituksena on tehdä virheenkorjauksesta tai purkamisesta vaikeaa. Tai se voidaan yksinkertaisesti koodata siten, että se peittää sen, mitä se todella tekee. Nämä ovat luultavasti helpoimmin ymmärrettäviä veropetostekniikoita, joita tutkijat ovat seuranneet.

Tutkimustulokset ja esiintyvyystietokanta ovat vapaasti muiden haittaohjelmatutkijoiden käytettävissä. "Perustana olevalla haittaohjelma-näytteen tietokannalla on avoin arkkitehtuuri, jonka avulla tutkijat eivät vain näe analyysin tuloksia, vaan myös kehittää ja kytkeä uusia analyysiominaisuuksia", Branco selitti. Itse asiassa tutkijat, jotka haluavat, että tietoja analysoidaan uudella tavalla, voivat lähettää sähköpostia Brancoon tai Barbosaan ja pyytää uutta analyysiä tai vain pyytää raakadataa. Analyysi kestää noin 10 päivää, ja tietojen kerääminen jälkeenpäin vie vielä kolme, joten ne eivät saa välitöntä käännöstä.

Hyödyntävätkö muut yritykset tällaista analyysiä haittaohjelmien havaitsemisen parantamiseksi? Vai he paahtavat, koska heidän mielestään se tulee Inteliltä ja laajennettuna Intelin tytäryhtiöltä McAfeelta? Mielestäni heidän pitäisi näyttää sille vakavasti.

Haittaohjelma antaa itsensä pois yrittämällä piiloutua