Video: MAMA a aflat ce ASCUNDE Irochka Ce face ea NOAPTEA Video pentru COPII FOR KIDS (Octombrie 2024)
O persoană care fuge de la locul crimei atrage în mod firesc interesul ofițerilor care răspund. Dacă unitatea canină apare pe cineva care se ascunde într-o groapă de gunoi în apropiere, poliția va dori cu siguranță câteva răspunsuri la întrebări. Cercetătorii inteligenți Rodrigo Branco (ilustrat mai sus, stânga, cu Neil Rubenking) și Gabriel Negreira Barbosa au aplicat același fel de gândire pentru a detecta malware. În cadrul conferinței Black Hat 2014, au prezentat un caz impresionant pentru detectarea de malware bazat pe tehnicile pe care le folosește pentru a sustrage detectarea.
De fapt, cei doi au prezentat această tehnică la Black Hat înainte. "Asteptarea noastra a fost ca industria AV sa ne foloseasca ideile (dovedite cu numere de prevalenta) pentru a imbunatati semnificativ acoperirea de prevenire a malware-ului", a spus Branco. "Dar nimic nu s-a schimbat. Între timp, ne-am îmbunătățit algoritmii de detectare, am rezolvat erori și am extins cercetarea la peste 12 milioane de eșantioane."
"Lucrăm pentru Intel, dar efectuăm validarea securității și cercetarea securității hardware", a spus Branco. "Suntem recunoscători pentru toate marile discuții cu oamenii de securitate Intel. Dar orice greșeală sau glumă proastă în această prezentare sunt în totalitate vina noastră."
Detectarea evaziunii detectării
Un produs anti-malware tipic folosește o combinație de detecție bazată pe semnături pentru malware cunoscut, detectare euristică a variantelor de malware și detecție bazată pe comportament pentru necunoscute. Cei buni caută malware cunoscute și comportamente rău intenționate, iar cei răi încearcă să se deghizeze și să evite detectarea. Tehnica lui Branco și Barbosa se concentrează pe aceste tehnici de evaziune pentru a începe; de data aceasta, au adăugat 50 de noi „caracteristici non-defensive” și au analizat peste 12 milioane de probe.
Pentru a evita detectarea, programele malware pot include cod pentru a detecta că acesta funcționează într-o mașină virtuală și să se abțină de la funcționare, dacă este cazul. Poate include codul conceput pentru a face dificilă depurarea sau demontarea. Sau poate fi pur și simplu codat în așa fel încât să obscureze ceea ce face de fapt. Acestea sunt probabil cele mai ușor de înțeles tehnici de evaziune pe care cercetătorii le-au urmărit.
Rezultatele cercetării și baza de date a prevalenței sunt disponibile gratuit altor cercetători malware. „Baza de date de eșantion malware de bază are o arhitectură deschisă care permite cercetătorilor nu numai să vadă rezultatele analizei, ci și să dezvolte și să conecteze noi capacități de analiză”, a explicat Branco. De fapt, cercetătorii care doresc ca datele analizate în moduri noi să poată trimite prin e-mail Branco sau Barbosa și să solicite o nouă analiză sau să solicite doar datele brute. Analiza durează aproximativ 10 zile, iar analizarea datelor durează ulterior alte trei, astfel încât acestea să nu obțină o schimbare imediată.
Vor putea alte companii să profite de acest tip de analiză pentru a îmbunătăți detectarea malware? Sau vor echilibra, deoarece cred că provine de la Intel și prin extensie de la filiala Intel McAfee? Cred că ar trebui să îi dea un aspect serios.
