Video: Threat Intelligence and the Limits of Malware Analysis with Joe Slowik - SANS CTI Summit 2020 (Oktober 2024)
En person som stikker av fra et forbrytelsessted tiltrekker seg naturlig nok interessen til responderende offiserer. Hvis hundeenheten dukker opp noen som gjemmer seg i en dumpster i nærheten, vil politiet definitivt ønske at noen spørsmål blir besvart. Intel-forskerne Rodrigo Branco (bildet over, til venstre, sammen med Neil Rubenking) og Gabriel Negreira Barbosa har brukt samme type tankegang for å oppdage skadelig programvare. På Black Hat 2014-konferansen presenterte de en imponerende sak for å oppdage skadelig programvare basert på selve teknikkene den bruker for å unngå deteksjon.
Egentlig har de to presentert denne teknikken på Black Hat før. "Vår forventning var at AV-bransjen ville bruke ideene våre (bevist med utbredelsestall) for å forbedre dekningen av skadelig programvare betydelig", sa Branco. "Men ingenting endret seg. I mellomtiden forbedret vi oppdagelsesalgoritmer, fikset feil og utvidet forskningen til mer enn 12 millioner prøver."
"Vi jobber for Intel, men gjør sikkerhetsvalidering og maskinvaresikkerhetsforskning, " sa Branco. "Vi er takknemlige for alle de gode diskusjonene med sikkerhetsgutta fra Intel. Men feil eller dårlige vitser i denne presentasjonen er helt vår skyld."
Oppdage deteksjonsundvikelse
Et typisk anti-malware produkt bruker en kombinasjon av signaturbasert deteksjon for kjent skadelig programvare, heuristisk deteksjon av malware-varianter og atferdsbasert deteksjon for ukjente. De gode gutta ser etter kjent malware og ondsinnet oppførsel, og skurkene prøver å skjule seg og unngå å oppdage. Branco og Barbosas teknikk fokuserer på disse unndragelsesteknikkene for å starte; denne gangen har de lagt til 50 nye "ikke-defensive egenskaper" og analysert over 12 millioner prøver.
For å unngå oppdagelse, kan skadelig programvare inkludere kode for å oppdage at den kjører i en virtuell maskin, og avstår fra å kjøre i så fall. Det kan inneholde kode som er utformet for å gjøre feilsøking eller demontering vanskelig. Eller det kan ganske enkelt være kodet på en slik måte at det skjuler hva det faktisk gjør. Dette er sannsynligvis de mest lettfattelige unnvikelsesteknikkene som forskerne har sporet.
Forskningsresultatene og utbredelsesdatabasen er fritt tilgjengelig for andre skadelige forskere. "Den underliggende prøvedatabasen for skadelig programvare har en åpen arkitektur som lar forskere ikke bare se resultatene av analysen, men også å utvikle og plugge inn nye analysefunksjoner, " forklarte Branco. Faktisk kan forskere som ønsker at dataene blir analysert på nye måter sende e-post til Branco eller Barbosa og be om en ny analyse, eller bare be om rå data. Analysen tar omtrent 10 dager, og å analysere dataene i etterkant tar ytterligere tre, slik at de ikke får umiddelbar snuoperasjon.
Vil andre selskaper dra nytte av denne typen analyser for å forbedre gjenkjenning av skadelig programvare? Eller vil de ha det fordi de tror det kommer fra Intel og i forlengelse fra Intel-datterselskapet McAfee? Jeg synes de burde se det seriøst.
