Osoba utekajúca z miesta činu prirodzene priťahuje záujem reagujúcich dôstojníkov. Ak psí jednotka objaví niekoho, kto sa skrýva v blízkosti skládky, polícia určite bude chcieť odpovedať na niektoré otázky. Vedci spoločnosti Intel Rodrigo Branco (obrázok hore, vľavo, s Neilom Rubenkingom) a Gabriel Negreira Barbosa použili rovnaký spôsob myslenia na detekciu škodlivého softvéru. Na konferencii Black Hat 2014 predstavili pôsobivý prípad na detekciu škodlivého softvéru na základe techník, ktoré používa na vyhýbanie sa detekcii.
V skutočnosti dvaja už túto techniku predstavili v Black Hat. „Očakávali sme, že odvetvie AV využije naše nápady (preukázané číslami prevalencie) na výrazné zlepšenie pokrytia prevenciou škodlivého softvéru, “ uviedol Branco. "Ale nič sa nezmenilo. Medzitým sme vylepšili naše detekčné algoritmy, opravili chyby a rozšírili výskum na viac ako 12 miliónov vzoriek."
„Pracujeme pre spoločnosť Intel, ale robíme výskum zabezpečenia a hardvérového zabezpečenia, “ povedal Branco. „Sme vďační za všetky skvelé diskusie s ľuďmi z oblasti bezpečnosti spoločnosti Intel. Avšak akékoľvek chyby alebo zlé vtipy v tejto prezentácii sú úplne našou chybou.“
Detekcia úniku z detekcie
Typický produkt proti škodlivému softvéru používa kombináciu detekcie známého škodlivého softvéru na základe podpisu, heuristickej detekcie variantov škodlivého softvéru a detekcie neznámeho správania na základe správania. Dobrí chlapci hľadajú známy malware a škodlivé správanie a zlí sa snažia zakryť seba a vyhnúť sa detekcii. Technika Branca a Barbosy sa zameriava na začatie týchto techník únikov; tentokrát pridali 50 nových „defenzívnych charakteristík“ a analyzovali viac ako 12 miliónov vzoriek.
Aby sa predišlo detekcii, malware môže obsahovať kód, ktorý zisťuje, či beží na virtuálnom počítači, a ak je to tak, nemusí sa spustiť. Môže obsahovať kód určený na sťaženie ladenia alebo demontáže. Alebo to môže byť jednoducho kódované tak, aby zakrývalo, čo v skutočnosti robí. Toto sú pravdepodobne najzrozumiteľnejšie techniky úniku, ktoré vedci sledovali.
Výsledky výskumu a databáza prevalencie sú voľne dostupné ostatným výskumníkom škodlivého softvéru. „Základná vzorová databáza škodlivého softvéru má otvorenú architektúru, ktorá umožňuje vedcom nielen vidieť výsledky analýzy, ale aj vyvíjať a pripájať nové analytické schopnosti, “ vysvetlil Branco. Vedci, ktorí chcú analyzovať údaje novými spôsobmi, môžu v skutočnosti poslať e-mail spoločnosti Branco alebo Barbosa a požiadať o novú analýzu alebo len požiadať o prvotné údaje. Analýza trvá asi 10 dní a analýza údajov potom trvá ďalšie tri, takže sa im nedá okamžitý obrat.
Využijú ostatné spoločnosti túto analýzu na zlepšenie zisťovania škodlivého softvéru? Alebo sa odmietnu, pretože si myslia, že to pochádza od spoločnosti Intel a od dcérskej spoločnosti spoločnosti Intel McAfee? Myslím, že by to mali vážne zvážiť.
