Høres dødsnakken for tradisjonelt antivirus?

Utviklere av tradisjonelt antivirus er avhengig av:

  • Muligheten til å kjøre malware i laboratoriene sine.
  • Muligheten til automatisk å analysere skadelig programvare.

Hva om de heller ikke kunne gjort det?

Hvorfor avhengigheten?

Den tradisjonelle antivirus-klienten refererer stadig til en database som inneholder signaturer av identifisert skadelig programvare. Å opprette en oppføring for signaturdatabasen krever analyse av en kopi av skadelig programvare. Hvis det ikke er mulig, er malware fritt til å gjøre sitt skitne arbeid, og antivirus-klienten er ingen av de klokere.

Neste problem. Nefarious-typer skaper mer enn 50 000 nye malware-stammer hver dag. Analyse av malware er arbeidsintensivt, så antivirusbedrifter har automatisert analyseprosessen for å holde databasene sine rimelig oppdatert.

Hvis det ikke lenger var mulig å analysere malware-prøver automatisk, ville det store antallet nye skadelige skadestammer raskt gjøre signaturdatabasen håpløst uaktuell.

Den dårlige nyheten

"Vi demonstrerer teknikker som, hvis de er adoptert av den kriminelle undergrunnen, permanent vil skade automatisert malware-analyse ved å gjøre den ineffektiv og uskalelig."

Sitatet ovenfor er fra introduksjonen til en forskningsartikkel av Chengyu Song og Paul Royal, forskere ved Georgia Techs informasjonssikkerhetssenter. For å drive poenget hjem, avsluttet forskerne papiret med dette:

"Flashbacks bruk av et infisert systems maskinvare UUID som en dekrypteringsnøkkel viser at malware-forfattere allerede har begynt å bruke beskyttelser som de som er beskrevet i denne artikkelen."

Flashback, kanskje du husker forårsaket ganske mye røre. Det var den første virkelige trusselen mot Mac-operativsystemer. Enda viktigere var det banebrytende krypteringsteknikker.

Denne artikkelen fra Daryl Ashley fra University of Texas beskriver i detalj hvordan deler av Flashbacks malkode ble kryptert ved bruk av datamaskinens Universally Unique Identifier. Det er ikke uhørt, men å bruke krypteringsteknikker for å gjøre den tilslørte koden unik lisensiert til en bestemt datamaskin.

Vertsidentitetsbasert kryptering

Du kjenner kanskje igjen den nye tilslørningsteknikken kalt Host Identity-based Encryption (HIE). Det ligner på hva film- og musikkindustriene bruker for å forhindre kopiering. La oss se på hvordan det fungerer.

Ved å bruke en av flere teknikker får malware-lasteren fotfeste på en sårbar datamaskin. Når lasteren for skadelig programvare er forskjøvet, samler den inn informasjon som er spesifikk for datamaskinen som blir angrepet. Ved å bruke den innsamlede informasjonen oppretter skadelig programvare-lasteren en krypteringsnøkkel som vil kryptere viktige deler av nyttelasten til skadelig programvare.

Neste trinn er å laste nyttelasten til skadelig programvare.

Lasteren for skadelig programvare samler inn den samme informasjonen og henter den samme nøkkelen. Nå er det her det blir litt rart. Malware-lasteren bruker deretter nøkkelen til å dekryptere malcode, som deretter installerer og går ut på det skitne arbeidet.

Jeg sier rart, da det virker dumt å først kryptere, for så å snu og dekryptere. Etter litt hodebeskjæring, innså jeg at det ikke er tullete i det hele tatt; å samle informasjon, lage nøkkelen og kryptere malkoden utløser ingen alarmer. Og enda viktigere er det, hvis et antivirusprogram fanger feilkoden, under installasjonen.

Alt som ble tatt er feilkode som er spesifikk for offerdatamaskinen. Malekoden kjøres ikke andre steder, fordi dekryptering mislykkes . Mening, eksperten som sitter fast reverse engineering denne typen malware må først finne ut hvordan jeg kan dekryptere koden. Song og Royal's papir utvider fordelene med HIE:

  • Den bruker moderne kryptografi. Kunnskap om hvordan en nøkkel er avledet, berører ikke integriteten til beskyttelsen. Med mindre forsvareren kan gjette den samme dekrypteringsnøkkelen, kan de ikke låse opp prøven.
  • To eksempler på skadelig programvare vil inneholde forskjellige dekrypteringsnøkler, noe som betyr at intelligensen som samles fra vellykket analyse av en malware instans ikke gir noen fordel i å analysere den andre.

Hvilken informasjon brukes til å lage nøkler?

Forskerne innså at informasjon samlet for å lage krypteringsnøkkelen er opp til malware-utvikleren. For å bevise sin teori, brukte de følgende identifikatorer i testene sine:

  • Miljøblokk: Når en prosess opprettes, lagrer Windows miljøinformasjon i prosessens adresseområde. I designen bruker vi prosesseeierens brukernavn, datamaskinnavn og CPU-identifikator. Siden miljøblokken er direkte tilgjengelig med kode som kjøres i en gitt prosess, kan denne informasjonen lett oppnås.
  • MAC-adresse: MAC-adressen til NIC kan fås fra GetAdaptersInfo API.
  • Informasjon om grafikkbehandlingsenhet (GPU): GPU-informasjon kan fås fra GetAdapterIdentifier-metoden i IDirect3D9Ex-grensesnittet. I designen vår bruker vi enhetsbeskrivelsen.
  • Brukersikkerhetsidentifikator (SID): Ved å bruke etiketten til en prosess, kan GetTokenInformation API brukes til å skaffe SID til prosessens eier. Denne identifikatoren er unik på tvers av et Windows-domene.

Flere dårlige nyheter

Hvis det ikke er ille nok, har Dancho Danchev tidligere i år skrevet en interessant blogg for WebRoot, og påpekt når det kommer til å tilsløre malcode, er malware-utviklere harde i jobb. Her er to eksempler:

  • Helt uoppdagelige kryptorer: Verktøy designet for å maskere malware, og forhindrer datasikkerhetsprogrammer i å oppdage skadelig programvare. Tanken er å fortsette å endre kryptoren til skadelig programvare blir ugjenkjennelig for antivirus-skanninger.
  • Polymorfisme på serversiden: Malware som forandrer utseendet hver gang den kjører. Og eksterne servere kontrollerer mutasjonene og forhindrer undersøkelse fra sikkerhetsselskaper.

mottiltak

Da jeg leste gjennom papiret, begynte jeg å lure på om de to forskerne ga en løsning. De ga følgende forslag:

  • Analyser skadelig programvare i det opprinnelige miljøet, for eksempel honningpotter.
  • Samle verts- og nettverksmiljøinformasjon og dupliser den på en kontrollert datamaskin.

Forskerne ser ut til å snakke seg ut av andre løsninger slik de presenterte dem - ikke et godt tegn.

Siste tanker

Jeg hadde ikke noen intensjon om å gjøre problemene rundt tradisjonell skadelig programvare om til en serie. Men dette er informasjon vi alle må være klar over. HIE-basert malware, som Flashback og nå Gauss, er der ute og banker på døra.

Også min henvisning til det beste forsvaret å være brukerutdanning i det første innlegget er nå mer relevant enn noen gang. Vi kan ikke la skadelig programvare få den første fotfasen ... perioden.

Jeg vil takke Chengyu Song, Paul Royal, Dancho Danchev og deres respektive organisasjoner for å belyse svikt i det tradisjonelle antivirusprogrammet.

© Copyright 2021 | mobilegn.com