Video: What’s New in Google’s IoT Platform? Ubiquitous Computing at Google (Google I/O '17) (Oktober 2024)
En person, der løber væk fra en kriminalscene, tiltrækker naturligvis den reaktion, de responderende officerer har. Hvis hundeenheden dukker op, som gemmer sig i en dumpster i nærheden, vil politiet helt sikkert have nogle spørgsmål besvaret. Intel-forskerne Rodrigo Branco (på billedet ovenfor, til venstre, sammen med Neil Rubenking) og Gabriel Negreira Barbosa har anvendt den samme slags tankegang til at opdage malware. På Black Hat 2014-konferencen præsenterede de en imponerende sag til at opdage malware baseret på netop de teknikker, den bruger til at undgå detektion.
Faktisk har de to præsenteret denne teknik på Black Hat før. "Vores forventning var, at AV-industrien ville bruge vores ideer (bevist med udbredelsesnumre) til at forbedre dækningen af malware-forebyggelse betydeligt, " sagde Branco. "Men intet ændrede sig. I mellemtiden forbedrede vi vores detekteringsalgoritmer, fikserede fejl og udvidede forskningen til mere end 12 millioner prøver."
"Vi arbejder for Intel, men vi udfører sikkerhedsvalidering og hardware-sikkerhed, " sagde Branco. "Vi er taknemmelige for alle de gode diskussioner med Intel-sikkerhedsgutterne. Men eventuelle fejl eller dårlige vittigheder i denne præsentation er helt vores skyld."
Registrering af detektionsunddragelse
Et typisk anti-malware-produkt bruger en kombination af signaturbaseret detektion til kendt malware, heuristisk detektion af malware-varianter og adfærdsbaseret detektion for ukendte. De gode fyre kigger efter kendt malware og ondsindet opførsel, og de onde prøver at forklæde sig og undgå opdagelse. Branco og Barbosas teknik fokuserer på at undgå teknikker til at starte; denne gang har de tilføjet 50 nye "ikke-defensive egenskaber" og analyseret over 12 millioner prøver.
For at undgå detektering kan malware indeholde kode til at opdage, at den kører i en virtuel maskine, og afholder sig fra at køre, hvis det er tilfældet. Det kan omfatte kode, der er designet til at gøre fejlsøgning eller demontering vanskelig. Eller det kan simpelt hen være kodet på en sådan måde, at det skjuler, hvad det rent faktisk gør. Dette er sandsynligvis de mest let forståelige undgåelsesteknikker, som forskerne har sporet.
Forskningsresultaterne og databasen med udbredelse er frit tilgængelig for andre malware-forskere. "Den underliggende malware-eksempeldatabase har en åben arkitektur, der tillader forskere ikke kun at se resultaterne af analysen, men også til at udvikle og tilslutte nye analysefunktioner, " forklarede Branco. Faktisk kan forskere, der ønsker dataene analyseret på nye måder, e-maile Branco eller Barbosa og anmode om en ny analyse, eller bare bede om rå data. Analysen tager ca. 10 dage, og analysering af dataene derefter tager yderligere tre, så de får ikke øjeblikkelig vending.
Vil andre virksomheder drage fordel af denne form for analyse for at forbedre detektion af malware? Eller vil de blæse, fordi de tror, det kommer fra Intel og i forlængelse af Intel-datterselskabet McAfee? Jeg synes, de skal se det seriøst ud.
