Jaunākie draudi: tieši jums radīts vīruss

Datorvīruss Flashback ieguva bēdīgu slavu šā gada sākumā kā pirmā ļaunprogrammatūra, kas guvusi panākumus pret Apple salīdzinoši neskarto operētājsistēmu Mac OS X, inficējot aptuveni 600 000 upuru mašīnas uzliesmojuma kulminācijas laikā.





Taču datorzinātniekus un drošības speciālistus vairāk uztrauca kāds cits ļaunprogrammatūras aspekts. Flashback autori izmantoja paņēmienu, ko Holivuda bieži izmanto, lai novērstu filmu un mūzikas failu kopēšanu — viņi pievienoja funkcijas, kas saistīja vīrusu katrai inficētajai sistēmai. Šīs metodes izmantošana neļāva drošības uzņēmumiem palaist vīrusu savās laboratorijās.

Jauni pētījumi liecina, ka tehnikas uzlabošana varētu padarīt automātisku ļaunprātīgas programmatūras analīzi gandrīz neiespējamu. Pols Royal, pētnieks ar Džordžijas Tehnoloģiju institūta Informācijas drošības centrs , plāno atklāt darbu pie Melnās cepures konference šonedēļ Lasvegasā.

Rojals un viņa kolēģi no Georgia Tech parāda, ka pretkopēšanas aizsardzības veids, ko sauc par resursdatora identitāti balstītu šifrēšanu, var šifrēt ļaunprātīgas programmatūras programmas kritiskās daļas ar atslēgām, pamatojoties uz informāciju, kas iegūta no upura sistēmas, tādējādi padarot parauga analīzi vēl grūtāku. cita mašīna.



Ļaunprātīgas programmatūras analīze, ko noziedznieki izmanto, lai inficētu cilvēku datorus, ir laikietilpīga, tomēr nepieciešama darbība. Pretvīrusu programmatūras veidotāji regulāri vāc ļaunprātīgas programmatūras paraugus un pēc tam izmanto automatizētu analīzi, lai ģenerētu identifikācijas pazīmju kolekciju, ko parasti sauc par parakstu.

Lai gan atsevišķs analītiķis var apiet ļaunprātīgas programmatūras autoru noteiktos ierobežojumus — tāpat kā pirāti var apiet filmu aizsardzību pret kopēšanu —, neļaujot drošības uzņēmumiem automātiski apstrādāt lielus failu apjomus, tiks sabojāta to spēja tikt galā ar uzbrucējiem.

Pretvīrusu modelim tas ievērojami sarežģī ļaunprātīgas programmatūras ugunsdzēsības šļūtenes daudzuma noņemšanu un atšķiršanu apakškopā, ko var praktiski analizēt cilvēku analītiķis, saka Royal.



Tā kā pretvīrusu programmatūra ir atkarīga no šādu parakstu izmantošanas, lai notvertu ļaunprātīgu programmatūru, tiešsaistes noziedznieki regulāri mēģina padarīt analīzi grūtāku. Piemēram, pēdējās desmitgades laikā uzbrucēji ir izmantojuši polimorfismu — paņēmienu, kas ļauj mainīt programmas katru reizi, kad tās tiek kopētas jaunā mašīnā, lai padarītu identifikāciju grūtāku. Šī tendence pēdējos gados ir palielinājusies (skatiet Antivīrusu ēra ir beigusies).

Ļaunprātīgo programmu datu bāze, ko uztur Symantec ietilpst aptuveni 19 miljoni parakstu . Ikgadējā interneta drošības apdraudējuma ziņojumā, kas tika publicēts šī gada sākumā, Symantec norādīja, ka tās automatizētās analīzes sistēmas 2011. gadā analizēja 403 miljonus unikālu ļaunprātīgu programmu variantu, kas ir par 41% vairāk nekā 286 miljoni, kas tika analizēti 2010. gadā. Bez automatizācijas šis uzdevums būtu daudz sarežģītāks. grūtāk.

Ja ļaunprātīgas programmatūras lietotāji var nonākt līdz stadijai, kad pat tad, ja jums ir [fails], tas ir saistīts ar noteiktu mašīnu, tas sarežģī mūsu dzīvi, saka. Roels Šovenbergs , vecākais pētnieks par Kaspersky , cita programmatūras drošības firma. Kaspersky 2011. gadā apstrādāja vairāk nekā miljardu paraugu, izmantojot savas automatizētās sistēmas.



Ja Flashback ir nākotnes norāde un automatizācija vairs nevar likvidēt analizējamo failu uzbrukumus, pretvīrusu uzņēmumi varētu redzēt, ka to izmaksas strauji pieaugs.

No mūsu viedokļa mēs analizējam simtiem tūkstošu paraugu dienā, saka Dīns De Bērs, uzņēmuma galvenais tehnoloģiju speciālists. DraudiGRID , ļaunprātīgas programmatūras analīzes pakalpojumu uzņēmums. Tagad viņi met šo līkumu, un mums ir jāsēž un jāsaka: 'Kas mums jādara, lai nodrošinātu, ka mēs varam savākt paraugu?'

Pretvīrusu uzņēmumi varētu mēģināt novērst šādu ļaunprātīgu programmatūru, izveidojot virtuālo mašīnu, kas šķiet identiska upura sistēmai. Taču tas lietotāju vidū var radīt bažas par privātumu. Lai padarītu analīzi sarežģītāku, ļaunprātīgas programmatūras autori varētu izveidot funkcijas, kas interpretē komandas no komandu un vadības serveriem, izmantojot atslēgu, kas izveidota no informācijas par datora tīkla atrašanās vietu. Šī tehnika, kas pazīstama kā instrukciju kopas lokalizācija, padarītu komandas, kas paredzētas Sanfrancisko iekārtai, neatpazīstamas Bostonā esošajai iekārtai.



Pretvīrusu firmas cer, ka Royal turpinās diskusiju augstā līmenī, lai nesniegtu uzbrucējiem precīzus padomus par to, kā uzlabot viņu spēju bloķēt ļaunprātīgu programmatūru inficētajās iekārtās. Flashback bija sāpes, saka Šovenbergs. Ja runa ir par to, kā to ļoti viegli padarīt uzbrucējam, tad es to negaidu.

Royal cer, ka prezentācija kalpos kā brīdinājums, ka aizstāvjiem šī problēma ir ātri jāatrisina. Viņš saka, ka šī prezentācija nav iemesls, lai izmestu ļaunprātīgas programmatūras analīzes rīkus. Tam vajadzētu būt brīdinājumam. Mums visiem ir jāsagatavojas.

paslēpties