Vídeo: Knock Down The House | FULL FEATURE | Netflix (De novembre 2024)
Una persona fugint d’una escena del crim atrau naturalment l’interès dels agents que responen. Si la unitat canina apareix amagada en un dipòsit proper, la policia sens dubte voldrà respondre algunes preguntes. Els investigadors d'Intel, Rodrigo Branco (a la foto superior, a l'esquerra, amb Neil Rubenking) i Gabriel Negreira Barbosa han aplicat el mateix pensament per detectar programari maliciós. A la conferència de Black Hat 2014, van presentar un cas impressionant per detectar programari maliciós basat en les tècniques que utilitza per evadir la detecció.
En realitat, tots dos han presentat aquesta tècnica a Black Hat abans. "La nostra expectativa era que la indústria AV utilitzés les nostres idees (provades amb números de prevalença) per millorar significativament la cobertura de prevenció de programari maliciós", va dir Branco. "Però no va canviar res. Mentrestant, vam millorar els algorismes de detecció, vam solucionar errors i vam ampliar la recerca a més de 12 milions de mostres".
"Treballem per a Intel, però fem validació de seguretat i investigació en seguretat de maquinari", va dir Branco. "Agraïm totes les grans converses amb els nois de seguretat d'Intel. Però els nostres errors o bromes dolentes en aquesta presentació són culpa nostra".
Detectar l'evasió de detecció
Un producte anti-malware típic utilitza una combinació de detecció basada en signatures per a programari maliciós conegut, detecció heurística de variants de programari maliciós i detecció basada en el comportament per a incògnites. Els nois bons busquen comportaments maliciosos i maliciosos coneguts, i els dolents intenten dissimular-se i evitar la detecció. La tècnica de Branco i Barbosa es centra en aquestes tècniques d’evasió; Aquest cop han afegit 50 noves "característiques no defensives" i han analitzat més de 12 milions de mostres.
Per evitar la detecció, el programari maliciós pot incloure codi per detectar que funciona en una màquina virtual i evitar que s’executi en cas afirmatiu. Pot incloure codi dissenyat per dificultar la depuració o el desmuntatge. O, simplement, es pot codificar de manera que s’obsteni el que està fent realment. Probablement aquestes són les tècniques d’evasió més fàcilment enteses que han fet el seguiment dels investigadors.
Altres investigadors de programari maliciós tenen a la seva disposició lliure els resultats de la investigació i la base de dades de prevalença. "La base de dades de mostres de programari maliciós subjacent té una arquitectura oberta que permet als investigadors no només veure els resultats de l'anàlisi, sinó també desenvolupar i connectar noves capacitats d'anàlisi", va explicar Branco. De fet, els investigadors que vulguin que les dades analitzades de noves maneres puguin enviar per correu electrònic a Branco o Barbosa i sol·licitar una nova anàlisi, o simplement demanar les dades en brut. L'anàlisi té una durada aproximada de deu dies i, després, analitzar les dades es necessiten tres altres, de manera que no s'obtindrà el resultat immediat.
Altres empreses aprofitaran aquest tipus d’anàlisi per millorar la detecció de programari maliciós? O ho faran, perquè pensen que prové d’Intel i per extensió de la filial Intel McAfee? Crec que haurien de donar un aspecte seriós.