Вредоносное ПО выдает себя, пытаясь спрятаться

Человек, убегающий с места преступления, естественно, вызывает интерес у реагирующих офицеров. Если кинологическое отделение обнаружит, что кто-то прячется в мусорном баке поблизости, полиция определенно захочет получить ответы на некоторые вопросы. Исследователи Intel Родриго Бранко (на фото выше, слева, с Нилом Рубенкингом) и Габриэль Негрейра Барбоза применили такой же подход к обнаружению вредоносных программ. На конференции Black Hat 2014 они представили впечатляющий пример обнаружения вредоносных программ на основе тех самых методов, которые используются для обхода обнаружения.

На самом деле, эти двое уже представляли эту технику в Black Hat. «Мы ожидали, что индустрия аудио-видео будет использовать наши идеи (подтвержденные цифрами распространенности), чтобы значительно улучшить защиту от вредоносных программ», - сказал Бранко. «Но ничего не изменилось. Тем временем мы улучшили наши алгоритмы обнаружения, исправили ошибки и расширили исследование до более чем 12 миллионов образцов».

«Мы работаем на Intel, но проводим проверку безопасности и исследования безопасности оборудования», - сказал Бранко. «Мы благодарны за все отличные обсуждения с сотрудниками службы безопасности Intel. Но любые ошибки или плохие шутки в этой презентации полностью наша вина».

Обнаружение уклонения от обнаружения

Типичный продукт для защиты от вредоносных программ использует комбинацию обнаружения на основе сигнатур для известных вредоносных программ, эвристического обнаружения вариантов вредоносных программ и обнаружения на основе поведения для неизвестных. Хорошие парни ищут известные вредоносные программы и вредоносное поведение, а плохие парни пытаются замаскировать себя и избежать обнаружения. Техника Бранко и Барбозы фокусируется на этих методах уклонения; на этот раз они добавили 50 новых «не оборонительных характеристик» и проанализировали более 12 миллионов образцов.

Чтобы избежать обнаружения, вредоносная программа может включать в себя код, чтобы обнаружить, что он работает на виртуальной машине, и воздерживаться от запуска, если это так. Он может включать код, разработанный для затруднения отладки или разборки. Или это может быть просто закодировано таким образом, чтобы скрыть то, что он на самом деле делает. Это, пожалуй, наиболее понятные методы уклонения, которые исследователи отслеживали.

Результаты исследований и база данных распространенности свободно доступны для других исследователей вредоносных программ. «Базовая база данных образцов вредоносных программ имеет открытую архитектуру, которая позволяет исследователям не только видеть результаты анализа, но также разрабатывать и подключать новые возможности анализа», - пояснил Бранко. На самом деле, исследователи, которые хотят, чтобы данные анализировались по-новому, могут отправить Бранко или Барбозу по электронной почте и запросить новый анализ, или просто запросить необработанные данные. Анализ занимает около 10 дней, а последующий анализ данных - еще три, так что они не получат немедленного изменения.

Будут ли другие компании использовать преимущества такого анализа для улучшения обнаружения вредоносных программ? Или они будут отказываться, потому что они думают, что это исходит от Intel и, как следствие, от дочерней компании Intel McAfee? Я думаю, что они должны серьезно взглянуть на это.