וִידֵאוֹ: ª (אוֹקְטוֹבֶּר 2024)
אדם שבורח מזירת פשע מושך באופן טבעי את האינטרס של קצינים מגיבים. אם יחידת הכלבים תעלה מישהו שמתחבא באשפה הסמוכה, המשטרה בהחלט תרצה לקבל כמה שאלות. חוקרי אינטל, רודריגו ברנקו (בתמונה למעלה, משמאל, עם ניל רובנקינג) וגבריאל נגרהירה ברבוסה, השתמשו באותה חשיבה על גילוי תוכנות זדוניות. בכנס Black Hat 2014 הם הציגו מקרה מרשים לגילוי תוכנות זדוניות על סמך עצם הטכניקות בהן היא משתמשת כדי להתחמק מגילוי.
למעשה, השניים הציגו את הטכניקה הזו ב- Black Hat בעבר. "הציפייה שלנו הייתה שתעשיית ה- AV תשתמש ברעיונות שלנו (מוכחים עם מספרים שכיחים) כדי לשפר משמעותית את הכיסוי למניעת תוכנות זדוניות", אמרה ברנקו. "אבל שום דבר לא השתנה. בינתיים שיפרנו את אלגוריתמי הגילוי שלנו, תיקנו באגים והרחבנו את המחקר ליותר מ 12 מיליון דגימות."
"אנו עובדים עבור אינטל, אך אנו מבצעים אימות אבטחה ומחקר אבטחת חומרה", אמר ברנקו. "אנו מודים על כל הדיונים הנהדרים עם אנשי האבטחה של אינטל. אבל טעויות או בדיחות גרועות במצגת זו הם לגמרי אשמתנו."
גילוי התחמקות מאיתור
מוצר טיפוסי נגד תוכנות זדוניות משתמש בשילוב של איתור מבוסס חתימה עבור תוכנות זדוניות ידועות, איתור היוריסטי של גרסאות זדוניות וגילוי מבוסס התנהגות עבור אלמונים. החבר'ה הטובים מחפשים תוכנות זדוניות ידועות והתנהגויות זדוניות, והרעים מנסים להסוות את עצמם ולהימנע מגילוי. הטכניקה של ברנקו וברבוסה מתמקדת בטכניקות ההתחמקות הללו להתחיל; הפעם הם הוסיפו 50 "מאפיינים לא הגנתיים" חדשים וניתחו למעלה מ 12 מיליון דגימות.
כדי להימנע מגילוי, תוכנה זדונית עשויה לכלול קוד כדי לגלות שהיא פועלת במכונה וירטואלית ולהימנע מלהפעיל אם כן. זה עשוי לכלול קוד שנועד להקשות על ניפוי באגים או פירוק. או שפשוט זה יכול להיות מקודד באופן שיטשטש את מה שהוא עושה בפועל. אלה ככל הנראה טכניקות ההתחמקות שהכי אפשר להבין היטב אחריהן עקבו החוקרים.
תוצאות המחקר ומסד הנתונים של שכיחות זמינים באופן חופשי לחוקרי תוכנות זדוניות אחרות. ברנקו הסביר, "בבסיס הנתונים המדגימה הבסיסי הבסיסי יש ארכיטקטורה פתוחה המאפשרת לחוקרים לא רק לראות את תוצאות הניתוח, אלא גם לפתח ולחבר יכולות ניתוח חדשות. למעשה, חוקרים שרוצים שהנתונים ינותחו בדרכים חדשות יכולים לשלוח דוא"ל לברנקו או לברבוסה ולבקש ניתוח חדש, או סתם לבקש את הנתונים הגולמיים. הניתוח אורך כעשרה ימים, וניתוח הנתונים לאחר מכן לוקח עוד שלושה, כך שהם לא יקבלו תפנית מיידית.
האם חברות אחרות ינצלו ניתוח מסוג זה כדי לשפר את איתור תוכנות זדוניות? או שמא הם יתפזרו בגלל שהם חושבים שזה מגיע מאינטל ובשלוחה של חברת הבת של אינטל מקאפי? אני חושב שהם צריכים לתת לזה מבט רציני.
