Video: Virus.Win32.Sality.gen vs Windows 10: файловые вирусы возвращаются! (September 2024)
En person som flyr från en brottsplats lockar naturligtvis intresset av svarande officerare. Om hundenheten dyker upp någon som gömmer sig i en dumpster i närheten, kommer polisen definitivt att ha några frågor besvarade. Intel-forskarna Rodrigo Branco (bilden ovan till vänster med Neil Rubenking) och Gabriel Negreira Barbosa har använt samma typ av tänkande för att upptäcka skadlig programvara. På Black Hat 2014-konferensen presenterade de ett imponerande fall för att upptäcka skadlig programvara baserat på de tekniker som den använder för att undvika upptäckt.
Egentligen har de två presenterat denna teknik på Black Hat tidigare. "Vår förväntan var att AV-industrin skulle använda våra idéer (bevisade med prevalensnummer) för att avsevärt förbättra täckningen av förebyggande av skadlig programvara, " sade Branco. "Men ingenting förändrades. Under tiden förbättrade vi våra detekteringsalgoritmer, fixade buggar och utökade forskningen till mer än 12 miljoner prover."
"Vi arbetar för Intel, men vi gör säkerhetsvalidering och hårdvarosäkerhetsforskning, " sade Branco. "Vi är tacksamma för alla bra diskussioner med Intel-säkerhetskompisarna. Men alla misstag eller dåliga skämt i denna presentation är helt vårt fel."
Upptäcka upptäcktsundvikelse
En typisk anti-malware-produkt använder en kombination av signaturbaserad detektion för känd skadlig programvara, heuristisk upptäckt av skadlig programvarianter och beteendebaserad detektion för okända. De goda killarna letar efter känt skadlig programvara och skadligt beteende, och de dåliga killarna försöker dölja sig och undvika upptäckt. Branco och Barbosa teknik fokuserar på dessa undvikelsestekniker att börja; den här gången har de lagt till 50 nya "icke-defensiva egenskaper" och analyserat över 12 miljoner prover.
För att undvika upptäckt kan skadlig kod inkludera kod för att upptäcka att den körs i en virtuell maskin och avstå från att köra om så är fallet. Det kan innehålla kod som är utformad för att göra felsökning eller demontering svårt. Eller så kan den helt enkelt kodas på ett sådant sätt att den döljer vad den faktiskt gör. Detta är förmodligen de mest lättförståelige undvikelsesteknikerna som forskarna har spårat.
Forskningsresultaten och databasen för prevalens är fritt tillgängliga för andra skadliga forskare. "Den underliggande exempeldatabasen för skadlig kod har en öppen arkitektur som gör det möjligt för forskare att inte bara se resultaten av analysen, utan också att utveckla och ansluta nya analysfunktioner, " förklarade Branco. Faktum är att forskare som vill ha informationen analyserade på nya sätt kan skicka e-post till Branco eller Barbosa och begära en ny analys, eller bara be om rådata. Analysen tar cirka tio dagar, och att analysera data efteråt tar ytterligare tre, så att de inte får omedelbar vändning.
Kommer andra företag att dra nytta av denna typ av analys för att förbättra upptäckten av skadlig programvara? Eller kommer de att lugna för att de tror att det kommer från Intel och i förlängningen från Intel-dotterbolaget McAfee? Jag tycker att de borde se det seriöst.
