Людина, яка тікає з місця злочину, природно привертає інтерес відповідальних працівників. Якщо собачий підрозділ виявить когось, що переховується у сміттєзвалищі поблизу, поліція обов'язково захоче відповісти на деякі запитання. Дослідники Intel Родріго Бранко (на фото вище, зліва, Ніл Рубенкінг) та Габріель Негрейра Барбоса застосовували однаковий спосіб мислення для виявлення шкідливих програм. На конференції Black Hat 2014 вони представили вражаючий випадок виявлення зловмисного програмного забезпечення на основі тих самих методів, які він використовує для ухилення від виявлення.
Насправді вони раніше представляли цю техніку у Black Hat. "Ми очікували, що AV-галузь використовуватиме наші ідеї (доведені з поширеністю), щоб значно покращити охоплення шкідливих програм", - сказав Бранко. "Але нічого не змінилося. Тим часом ми вдосконалили наші алгоритми виявлення, виправили помилки та розширили дослідження до понад 12 мільйонів вибірок".
"Ми працюємо для Intel, але робимо перевірку безпеки та дослідження безпеки обладнання", - сказав Бранко. "Ми вдячні за всі чудові дискусії з хлопцями з безпеки Intel. Але будь-які помилки чи погані жарти в цій презентації - абсолютно наша вина".
Виявлення виявлення ухилення
У типовому продукті проти зловмисного програмного забезпечення використовується комбінація виявлення на основі підписів відомих зловмисних програм, евристичного виявлення варіантів зловмисного програмного забезпечення та виявлення на основі поведінки невідомих. Хороші хлопці шукають відомі шкідливі програми та шкідливі поведінки, а погані намагаються замаскуватися і уникати виявлення. Техніка Бранко і Барбоса зосереджується на цих техніках ухилення; цього разу вони додали 50 нових "не захисних характеристик" та проаналізували понад 12 мільйонів проб.
Щоб уникнути виявлення, зловмисне програмне забезпечення може містити код для виявлення того, що він працює у віртуальній машині, і утримуватися від запуску, якщо так. Він може включати код, призначений для ускладнення налагодження чи розбирання. Або його просто можна закодувати таким чином, щоб затьмарити те, що він насправді робить. Це, мабуть, найбільш легко зрозумілі методи ухилення, які досліджували дослідники.
База даних результатів досліджень і поширеності є вільно доступними для інших дослідників шкідливих програм. "База даних зразків зловмисного програмного забезпечення має відкриту архітектуру, яка дозволяє дослідникам не тільки бачити результати аналізу, але і розробляти та використовувати нові можливості аналізу", - пояснив Бранко. Насправді, дослідники, які хочуть, щоб дані аналізувались по-новому, можуть надіслати електронний лист Бранку чи Барбосі та подати запит на новий аналіз або просто попросити необроблені дані. Аналіз займає близько 10 днів, а згодом аналіз даних займає ще три, тому вони не отримають негайного повороту.
Чи будуть інші компанії скористатися таким аналізом для покращення виявлення зловмисних програм? Або вони розмовлятимуть, бо думають, що це походить від Intel, а також від дочірньої компанії McAfee? Я думаю, що вони повинні надати цьому серйозний вигляд.