Video: Informatica&Sicurezza - I diversi tipi di virus e malware esistenti (Settembre 2024)
Una persona che sta scappando da una scena del crimine attira naturalmente l'interesse degli agenti rispondenti. Se l'unità canina scopre che qualcuno si nasconde in un cassonetto vicino, la polizia vorrà sicuramente rispondere ad alcune domande. I ricercatori di Intel Rodrigo Branco (nella foto sopra, a sinistra, con Neil Rubenking) e Gabriel Negreira Barbosa hanno applicato lo stesso tipo di pensiero per rilevare il malware. Alla conferenza di Black Hat 2014 hanno presentato un caso impressionante per rilevare malware basato sulle stesse tecniche utilizzate per eludere il rilevamento.
In realtà, i due hanno presentato questa tecnica al Black Hat prima. "La nostra aspettativa era che l'industria AV avrebbe usato le nostre idee (provate con numeri di prevalenza) per migliorare in modo significativo la copertura di prevenzione del malware", ha affermato Branco. "Ma nulla è cambiato. Nel frattempo, abbiamo migliorato i nostri algoritmi di rilevamento, risolto i bug e esteso la ricerca a oltre 12 milioni di campioni".
"Lavoriamo per Intel, ma facciamo ricerche sulla convalida della sicurezza e sulla sicurezza dell'hardware", ha affermato Branco. "Siamo grati per tutte le grandi discussioni con i responsabili della sicurezza Intel. Ma qualsiasi errore o brutta battuta in questa presentazione è totalmente colpa nostra."
Rilevazione dell'evasione del rilevamento
Un tipico prodotto anti-malware utilizza una combinazione di rilevamento basato su firma per malware noto, rilevamento euristico di varianti di malware e rilevamento basato sul comportamento per incognite. I bravi ragazzi cercano malware noti e comportamenti dannosi, e i cattivi cercano di mascherarsi ed evitare il rilevamento. La tecnica di Branco e Barbosa si concentra su queste tecniche di evasione per iniziare; questa volta, hanno aggiunto 50 nuove "caratteristiche non difensive" e analizzato oltre 12 milioni di campioni.
Per evitare il rilevamento, il malware può includere codice per rilevare che è in esecuzione in una macchina virtuale e astenersi dall'eseguirlo. Può includere codice progettato per rendere difficile il debug o lo smontaggio. Oppure può essere semplicemente codificato in modo tale da oscurare ciò che sta realmente facendo. Queste sono probabilmente le tecniche di evasione più facilmente comprensibili che i ricercatori hanno seguito.
I risultati della ricerca e il database di prevalenza sono disponibili gratuitamente per altri ricercatori di malware. "Il database di esempio del malware sottostante ha un'architettura aperta che consente ai ricercatori non solo di vedere i risultati dell'analisi, ma anche di sviluppare e collegare nuove funzionalità di analisi", ha spiegato Branco. In effetti, i ricercatori che desiderano analizzare i dati in modi nuovi possono inviare un'e-mail a Branco o Barbosa e richiedere una nuova analisi o semplicemente richiedere i dati grezzi. L'analisi richiede circa 10 giorni e successivamente l'analisi dei dati ne richiede altri tre, in modo da non ottenere immediatamente un'inversione di tendenza.
Altre società trarranno vantaggio da questo tipo di analisi per migliorare il rilevamento del malware? O si opporranno perché pensano che provenga da Intel e per estensione dalla consociata Intel McAfee? Penso che dovrebbero dare un'occhiata seria.
