Зловредният софтуер се раздава, като се опитва да се скрие

Лице, бягащо от местопрестъплението, естествено привлича интереса на реагиращите служители. Ако кучешката единица се окаже, че някой се крие в сметище наблизо, полицията определено ще иска да отговори на някои въпроси. Изследователите на Intel Родриго Бранко (на снимката по-горе, отляво, с Нийл Рубенкинг) и Габриел Негрейра Барбоса са приложили същия вид мислене за откриване на зловреден софтуер. На конференцията Black Hat 2014 те представиха впечатляващ случай за откриване на злонамерен софтуер въз основа на самите техники, които използва за избягване на откриването.

Всъщност двамата са представяли тази техника в Black Hat и преди. „Очакванията ни бяха AV индустрията да използва нашите идеи (доказано с разпространение), за да подобри значително покритието за предотвратяване на злонамерен софтуер“, каза Бранко. "Но нищо не се промени. Междувременно подобрихме алгоритмите си за откриване, поправихме грешки и разширихме изследванията до повече от 12 милиона проби."

"Ние работим за Intel, но правим проверка на сигурността и проучване на хардуерната сигурност", каза Бранко. „Благодарим за всички страхотни дискусии с момчетата по сигурността на Intel. Но грешките или лошите шеги в това представяне са изцяло по наша вина“.

Откриване на Откриване Откриване

Типичният анти-злонамерен софтуер използва комбинация от разпознаване на базата на подписи за известни злонамерен софтуер, евристично откриване на варианти на зловреден софтуер и за непознаване на основата на поведение. Добрите момчета търсят известни злонамерени програми и злонамерени поведения, а лошите се опитват да се дегизират и да избегнат откриването. Техниката на Бранко и Барбоса се съсредоточава върху тези техники на избягване, за да започне; този път те добавиха 50 нови „незабранителни характеристики“ и анализираха над 12 милиона проби.

За да се избегне откриването, зловредният софтуер може да включва код, за да открие, че работи във виртуална машина, и да се въздържа от стартиране, ако е така. Може да включва код, предназначен да затрудни отстраняването на грешки или разглобяването. Или може просто да се кодира по такъв начин, че да се скрие какво всъщност прави. Това вероятно са най-лесно разбираемите техники за избягване, които изследователите са проследили.

Базата данни за резултатите и разпространението са свободно достъпни за други изследователи на зловреден софтуер. "Основата на базата данни на примерни зловредни програми има отворена архитектура, която позволява на изследователите не само да видят резултатите от анализа, но и да разработят и включат нови възможности за анализ", обясни Бранко. Всъщност изследователите, които искат анализираните данни по нови начини, могат да изпратят имейл на Бранко или Барбоса и да поискат нов анализ или просто да поискат необработените данни. Анализът отнема около 10 дни и анализа на данните след това отнема още три, така че те няма да получат незабавен обрат.

Ще се възползват ли други компании от този вид анализ, за ​​да подобрят откриването на зловреден софтуер? Или ще говорят, защото смятат, че идва от Intel и от разширението от дъщерната компания на McAfee на Intel? Мисля, че трябва да му придадат сериозен вид.