Video: Cá sấu mất ná»a bá» hà m sau khi bại tráºn trÆ°á»c Äá»ng loại (Tháng mười một 2024)
Một người chạy trốn khỏi hiện trường vụ án tự nhiên thu hút sự quan tâm của các cảnh sát viên. Nếu đơn vị chó bắt gặp ai đó trốn trong một bãi rác gần đó, cảnh sát chắc chắn sẽ muốn một số câu hỏi được trả lời. Các nhà nghiên cứu của Intel Rodrigo Branco (ảnh trên, bên trái, với Neil Rubenking) và Gabriel Negreira Barbosa đã áp dụng cùng một kiểu suy nghĩ để phát hiện phần mềm độc hại. Tại hội nghị Black Hat 2014, họ đã trình bày một trường hợp ấn tượng để phát hiện phần mềm độc hại dựa trên chính các kỹ thuật mà nó sử dụng để trốn tránh phát hiện.
Trên thực tế, cả hai đã trình bày kỹ thuật này tại Black Hat trước đây. "Kỳ vọng của chúng tôi là ngành công nghiệp AV sẽ sử dụng ý tưởng của chúng tôi (đã được chứng minh bằng số lượng phổ biến) để cải thiện đáng kể phạm vi phòng chống phần mềm độc hại", Branco nói. "Nhưng không có gì thay đổi. Trong khi đó, chúng tôi đã cải thiện các thuật toán phát hiện, sửa lỗi và mở rộng nghiên cứu lên hơn 12 triệu mẫu."
"Chúng tôi làm việc cho Intel, nhưng chúng tôi thực hiện xác nhận bảo mật và nghiên cứu bảo mật phần cứng", Branco nói. "Chúng tôi rất biết ơn về tất cả các cuộc thảo luận tuyệt vời với các nhân viên bảo mật Intel. Nhưng bất kỳ sai lầm hoặc câu chuyện dở khóc dở cười nào trong bài trình bày này hoàn toàn là lỗi của chúng tôi."
Phát hiện Evasion
Một sản phẩm chống phần mềm độc hại điển hình sử dụng kết hợp phát hiện dựa trên chữ ký cho phần mềm độc hại đã biết, phát hiện heuristic các biến thể phần mềm độc hại và phát hiện dựa trên hành vi cho các ẩn số. Những kẻ tốt tìm kiếm phần mềm độc hại và hành vi độc hại đã biết, và kẻ xấu cố gắng ngụy trang và tránh bị phát hiện. Kỹ thuật của Branco và Barbosa tập trung vào các kỹ thuật trốn tránh này để bắt đầu; lần này, họ đã thêm 50 "đặc điểm không phòng thủ" mới và phân tích hơn 12 triệu mẫu.
Để tránh bị phát hiện, phần mềm độc hại có thể bao gồm mã để phát hiện ra rằng nó đang chạy trong một máy ảo và không chạy nếu có. Nó có thể bao gồm mã được thiết kế để làm cho việc gỡ lỗi hoặc tháo gỡ khó khăn. Hoặc đơn giản là nó có thể được mã hóa theo cách che khuất những gì nó thực sự đang làm. Đây có lẽ là những kỹ thuật trốn tránh dễ hiểu nhất mà các nhà nghiên cứu đã theo dõi.
Các kết quả nghiên cứu và cơ sở dữ liệu phổ biến được cung cấp miễn phí cho các nhà nghiên cứu phần mềm độc hại khác. "Cơ sở dữ liệu mẫu phần mềm độc hại cơ bản có kiến trúc mở cho phép các nhà nghiên cứu không chỉ xem kết quả phân tích mà còn phát triển và cắm các khả năng phân tích mới, " Branco giải thích. Trên thực tế, các nhà nghiên cứu muốn dữ liệu được phân tích theo những cách mới có thể gửi email cho Branco hoặc Barbosa và yêu cầu phân tích mới, hoặc chỉ yêu cầu dữ liệu thô. Việc phân tích mất khoảng 10 ngày và phân tích dữ liệu sau đó mất thêm ba ngày nữa, vì vậy họ sẽ không nhận được sự thay đổi ngay lập tức.
Các công ty khác sẽ tận dụng loại phân tích này để cải thiện phát hiện phần mềm độc hại? Hoặc họ sẽ chùn bước vì họ nghĩ rằng nó đến từ Intel và bởi phần mở rộng từ công ty con của Intel là McAfee? Tôi nghĩ họ nên cho nó một cái nhìn nghiêm túc.