Ikke alt tungsinn og undergang for antivirus: En samtale med Mario Vuksan

Jepp, jeg jager fremdeles potensielle kunder om hva - om noe - kan gjøres for å kryptere skadelig programvare. Jeg arrangerte å intervjue Mario Vuksan, en sikkerhetsekspert med tilknytning til mange av de store antivirushusene. Planen min? Spør Mario hva som vil skje hvis det ikke lenger er mulig å opprette den helt viktige signaturfilen som er nødvendig for å oppdage malware.

Etter introduksjonen avvæpnet Mario meg forsvarlig og nevnte hvordan han likte å lese de to tidligere artiklene mine om tradisjonelt antivirus. "Vel, takk, Mario."

"Men du har noen ting galt, " nevnte han, og brått avsluttet enhver tanke om min skuespill. "Og det er mer som skjer enn du er klar over."

Alt jeg kunne mønstre var: "Vel, som hva?"

Hvem er denne fyren?

Mario har vært intimt involvert i den tekniske siden av digital sikkerhet i mange år, spesielt på Bit9, der Mario var forskningsdirektør. For fire år siden bestemte Mario at en endring var i orden, så han startet ReversingLabs.

Sannheten skal sies, navnet ReversingLabs er det som opprinnelig fanget min oppmerksomhet. Min siste brikke fokuserte på manglende evne til å dekonstruere malcode, så radaren min var fortsatt innstilt på noe angående omvendt prosjektering.

La oss se på hva jeg tok feil.

Første leksjon

Mario startet med å forklare at jeg er for bekymret for skadelig programvare som bruker Host Identity-basert kryptering (HIE) for å forhindre at analytikere kan dechiffrere malkoden. HIE har eksistert i minst ti år, og etter all den tiden, fremdeles ikke en betydelig spiller - kan aldri bli en.

Mario forklarte at selv om det ikke er snakk om effektivitet, skyldes mangelen på popularitet utelukkende kompleksiteten ved å integrere HIE i malware. Kompleksitet tilfører deretter kostnader, nesten til det punktet hvor det er for dyrt for de fleste (hint antydning) å sette i spill.

Det Mario sier er fornuftig, men da taper jeg hva som forårsaker epidemien til vellykkede infeksjoner med malware. Mario hadde allerede et svar for det.

Leksjon to

Mario begynte med å påpeke at skurkene ikke kunne bry seg mindre om hvordan det blir der. De vil bare ha en rimelig og enkel måte å installere skadepakkepakken på datamaskinens offer, og ha den forbli ubemerket så lenge som mulig.

Den "billigere og enklere" metoden bruker malware-pakker. I følge Mario er Ultimate Packer for eXecutables (UPX) den malware-pakkeren du velger. UPX er gratis, rask, enkel å bruke og åpen kildekode.

Open source er uten tvil det operative ordet. Det lar malware-utviklere raskt opprette en ny versjon når de mistenker at den nåværende versjonen er blitt isolert av analytikere og lagt til signaturdatabaser.

Leksjon tre

Mario nevnte at disse "enkle og billige" pakkevariantene utgjør en betydelig del av de 50 000 nye stykkene malware som vises hver dag, ikke 50 000 forskjellige typer malkoder, hadde jeg antatt.

Så trikset er hvordan du raskt kan dekonstruere malware-pakkeren slik at antivirushuset kan avgjøre om det har en signaturfil med den ondsinnede koden i databasen eller ikke.

Hva jeg ikke visste

Ovennevnte leksjoner var det jeg hadde tatt feil, nå vil jeg diskutere det jeg ikke visste.

Som Mario nettopp nevnte, er det 50 000 nye ondsinnede prøver hver dag, og tallet øker. Dette har antivirushus overveldet, enkelt og enkelt. Jada, det er automatiserte metoder for å analysere potensiell skadelig programvare, men de er ikke idiotsikre. Og ordet kommer raskt rundt når et visst stykke malkode smitter et større selskaps arbeidsstasjoner fordi antivirusprogrammet deres savnet det.

En løsning

Mario føler at han har en løsning. ReversingLabs er posisjonert for å formidle, avkode malware-pakkeren og klargjøre den kompilerte informasjonen på en måte som kan brukes av antivirusindustrien - og gjøre det raskt.

Mario kaller løsningen Automated Static Decomposition.

Slik beskriver han det:

Denne teknologien pakker ut ukjente filer automatisk for å eksponere deres underliggende objektstruktur (f.eks. Innebygde kjørbare filer, biblioteker, dokumenter, ikoner), trekker ut interne metadata statisk og verifiserer den interne strukturen.

De ekstraherte filene blir reparert for å muliggjøre ytterligere analyse med en sandkasse, de-kompilator eller feilsøking. Metadataene og filen kan også lagres i en database for etterfølgende datakorrelasjon. Denne informasjonen hjelper utøvere med å bestemme om en prøve er ondsinnet eller ikke.

ReversingLabs har gjort denne typen analyser på over en milliard rene og ondsinnede filer og har resultater tilgjengelig gjennom webtjenester.

Mario nevnte at kunder generelt foretrekker en detaljert XML-rapport som er kompatibel med deres backend-systemer og databaser.

Ramme for desinfeksjon av filer

En sterk drakt av ReversingLabs er å vite hvordan du kan returnere filer til deres pre-infeksjonstilstand. For å oppnå dette, med støtte fra DARPA, lanserte ReversingLabs nettopp File Desinfection Framework som et åpen kildekodeverktøy:

"File Desinfection Framework vil forenkle og øke utviklingen av de målrettede rutinene som kreves for å desinfisere angrep og forhindre hyppig infeksjon på grunn av bruk av dårlig skrevne eller generiske desinfiseringsrutiner."

Jeg liker ideen om å kjempe mot åpen kildekode for skadelig programvare med åpen kildekodeverktøy.

Spørsmålet om million dollar

Jeg hadde et spørsmål til Mario - et slags filosofisk. Jeg spurte hva som skal til for å fikse dette i ett fall. Han delte svaret sitt i to deler, noe jeg synes var interessant. Den første innebærer en gjør-over:

Forutsetning nummer én er et nytt operativsystem. Apples iOS er et godt eksempel:
  • Sportslig en kontrollert apputgivelse (egentlig en kontrollert tillitskjede).
  • En sjakket bruksrettighetsmodell
  • Implementere både svartelisting og hviteliste for å håndtere eventuelle unntak.

Det vil fortsatt være behov for manuell forskning og plattformforbedringer som svar på de siste hendelsene.

Deretter tilbød Mario en mer pragmatisk visning:

I det eksisterende miljøet, for eksempel Windows, må vi gjøre en bedre statisk analyse for å:
  • Reduser antall unødvendige signaturer.
  • Utvid gjenkjenning til flere polymorfe malware-prøver.
  • Øk ytelsen.

Deteksjon må utvikle seg fra mønsterpassing til et komplekst trusselklassifiseringssystem som kombinerer statisk analyse, kontrollert emulering, dynamisk oppførsel, nettverkets omdømme og tillitsvalidering.

Mange produkter vil hevde visse aspekter, men dette systemet må fungere som en motor med de beste spesifikasjonene for rasefunksjonaliteten (i motsetning til hva kundene tåler i dag) på alle kjente ondsinnede og ikke-ondsinnede prøver samtidig.

Siste tanker

Jeg ser fremdeles problemer fremover for tradisjonelle antivirusprogrammer. Men hvis folk som Mario kan få en bransje som ikke kan standardisere hva de skal kalle et nytt stykke malware for å bruke vanlige databaser og rammer, kan det være håp.

Jeg vil også takke Mario Vuksan for at han tålmodig har forklart de vanskelige forholdene til antivirus-teknologi.

© Copyright 2020 | mobilegn.com