Domov Securitywatch Antivírusový priemysel sa musí zamerať na detekciu založenú na správaní

Antivírusový priemysel sa musí zamerať na detekciu založenú na správaní

Video: VI3E - Bassface mix vol.1 (November 2024)

Video: VI3E - Bassface mix vol.1 (November 2024)
Anonim

Počítačové vírusy existujú už mnoho rokov. V prvých dňoch bola detekcia jednoduchou záležitosťou porovnania súborov so známou sadou podpisov. Niektoré antivírusové programy dokonca obsahovali zoznam všetkých hrozieb, ktoré mohli zistiť. Veci sú v dnešnej dobe úplne iné, pretože autori škodlivého softvéru tvrdo pracujú na vytvorení škodlivého softvéru, ktorý sa mení a vyvíja, takže ho nemožno zachytiť detekciou založenou na podpise. Hovoril som s Rogerom Thompsonom, hlavným výskumným pracovníkom Emerging Threat Researcher pre laboratóriá ICSA, o tom, ako je potrebné zmeniť programy proti škodlivému softvéru a ako sa musí zmeniť testovanie týchto produktov.

Spôsob, akým boli veci

Rubenking: Môžete povedať pár slov o tom, čo presne je to laboratórium ICSA a čo robí?

Thompson: Certifikujeme antivírusové produkty na základe dohodnutých historických kritérií. Už v 90. rokoch bolo potrebné rozlišovať medzi antivírusovým humbukom a skutočnými výsledkami v reálnom svete. Ako si spomínate, vtedy ľudia mohli povedať, čo sa im na ich produktoch páčilo, a nikto to nemohol dokázať ani vyvrátiť. Bolo potrebné, aby niekto s mozgom povedal: „Toto funguje, to nefunguje, nerobí to, čo sa hovorí.“

Predajcovia sa dohodli, že na to potrebujú neutrálnu tretiu stranu. Samozrejme, že je vždy dôležitejšie testovať vírusy, ktoré sa skutočne vyskytujú vo voľnej prírode, ako proti známej „zoo“. Z tohto dôvodu divoký zoznam vyrastal - dodávateľovo neutrálny súbor známych škodlivých kódov.

Aj v 90-tych rokoch Alan Solomon presvedčil každého, že generické metódy detekcie škodlivého softvéru sú zlým nápadom. Namiesto toho sa hľadal nejaký skener, ktorý dokáže presne určiť , ktorý vírus je prítomný a ako presne ho odstrániť. Svet súhlasil a hlasoval so svojimi vreckovými knižkami, aby podporil tento druh skenera.

Historický problém s generickou detekciou spočíva v tom, že spôsobuje výzvy na podporu. Antivírus hovorí, že vo vašom systéme vidíme proces, ktorý upravuje spustiteľné súbory alebo došlo k zmene niektorého spustiteľného súboru; zmenili ste to? Výsledkom je výzva na podporu a Fortune 500's neschvaľuje. Antivírus založený na podpise buď hovorí: „je to vírus!“ alebo vôbec nehovorí.

Ako to bude

Thompson: Stále existuje základná potreba testovať skenery založené na podpisoch, aby sa zabezpečilo, že držia krok. Môžu to zistiť? To sa stalo a stále existuje potreba. Avšak čísla sa toľko zmenili, každý deň sa vytvára veľké množstvo chmýří. Teraz je potrebné otestovať schopnosť anti-malware zistiť veci, ktoré nikdy predtým nevideli.

Rubenking: Chmýří veci? Čo tým myslíš?

Thompson: Vieš, nikto nepozná skutočné čísla. Chlapci spoločnosti ESET mi na pivo povedali, že každý deň vidia 600 000 nových, jedinečných vzoriek škodlivého softvéru. Pamätám si správu spoločnosti Symantec, v ktorej sa každý deň uvádza milión nových a jedinečných položiek. Pravda však je, že väčšina sa vytvára algoritmom. Zlí ľudia jednoducho zmenia nejaký nepodstatný kód, skompilujú, prebalia a znovu zašifrujú. Potom skontrolujú, či súčasné skenery detekujú novú verziu. Ak nie, uvoľnia ho.

Je skutočne ľahké zistiť, o čom už viete. Je to ako na akciovom trhu; „len“ nakupujte nízko a predávajte vysoko. Ide o to, že s týmito jedinečnými vírusmi sa základné správanie nezmení, iba nadýchané kúsky. Aktivita, zmena registra, zmena súborov… toto správanie sa nemení. Testovanie sa preto musí presunúť tak, aby zahŕňalo blokovanie správania ako súčasť dohody.

Rubenking: Pridáte čoskoro toto testovanie novej generácie?

Thompson: Snažíme sa prinútiť dodávateľov, aby sa dohodli, že je to dobrá vec. Všeobecne sa zhodujú, ale testovanie nie je v skutočnosti také ľahké.

Rubenking: Aký je váš nový proces?

Thompson: Je to ťažké; to je dôvod, prečo to ľudia nechcú robiť. Začnete s čistým systémom, spustíte malware a uvidíte, či sa inštaluje. Potom musíte byť schopní systém preveriť forenzne. Infikoval malvér systém? Zmenili ste kľúče databázy Registry? Stalo sa to trvalým, aby prežilo opätovné spustenie? Potom sa musíte vrátiť k čistej základnej línii, aby ste to znova urobili.

Rubenking: To znie podobne ako dynamické testovanie vykonávané spoločnosťou AV-Comparatives.

Thompson: Áno, je to veľmi podobné.

Rubenking: Ste pripravení ísť, ale predajcovia nie sú? Takže nevieš, kedy začne nové testovanie platiť?

Thompson: Sme pripravení ísť. Neviem, aký je stav u predajcov; vrátime sa k vám.] Súčasťou problému je aj hľadanie vlastných zdrojov škodlivého softvéru, získavanie spamových kanálov a podobne. Potrebujeme vedieť, čo sa tam naozaj deje.

Urobte život tvrdým chlapcom

Thompson: Toto je správna cesta vpred. Nemôžeme prestať robiť to, čo sme vždy robili, ale keď dodávatelia antivírusového softvéru pridajú blokovanie založené na správaní, pre zbabelcov bude oveľa ťažšie ich poraziť. Môžu poraziť podpisy vyladením nepodstatných vecí, ale ak chcú poraziť blokovanie správania, musia skutočne zmeniť správanie a zaoberať sa rôznymi definíciami správania.

Rubenking: Takže rozmanitá skupina predajcov antivírusového softvéru s rôznymi typmi blokovania správania sťaží život zloduchom?

Thompson: Presne tak. Je to ako analógia švajčiarskych syrov. Jeden kúsok syra má diery, ale ak nanesiete vrstvu na ďalší kúsok, zakryje otvory. Nasaďte dostatok bitov a nezostanú žiadne otvory.

Rubenking: Ďakujem, Roger!

Antivírusový priemysel sa musí zamerať na detekciu založenú na správaní