セキュリティウォッチ マルウェアは非表示にしようとすることでそれ自体を放棄します

マルウェアは非表示にしようとすることでそれ自体を放棄します

ビデオ: オヤツの時間はてんやわんや (十一月 2024)

ビデオ: オヤツの時間はてんやわんや (十一月 2024)
Anonim

犯罪現場から逃げる人は、当然、対応する役員の関心を引き付けます。 犬のユニットが近くのゴミ箱に隠れている人を見つけた場合、警察は間違いなくいくつかの質問に答えたいと思うでしょう。 Intelの研究者であるRodrigo Branco(上写真、左、Neil Rubenking氏)とGabriel Negreira Barbosaは、マルウェアの検出にも同じ考え方を適用しています。 Black Hat 2014カンファレンスで、彼らは検出を回避するために使用するまさにその技術に基づいてマルウェアを検出するための印象的なケースを提示しました。

実際、この2人は以前この技術をBlack Hatで発表しました。 「私たちの期待は、AV業界がマルウェアの普及率を大幅に改善するために(有病率で証明された)私たちのアイデアを使用することでした」とBranco氏は述べています。 「しかし、何も変わっていません。その間、検出アルゴリズムを改善し、バグを修正し、研究を1200万サンプル以上に拡大しました。」

「私たちはIntelで働いていますが、セキュリティの検証とハードウェアセキュリティの研究を行っています」とBranco氏は述べています。 「インテルのセキュリティ担当者との素晴らしい議論に感謝しています。しかし、このプレゼンテーションでの間違いや悪い冗談は完全に私たちの責任です。」

検出回避の検出

典型的なマルウェア対策製品は、既知のマルウェアのシグネチャベースの検出、マルウェアバリアントのヒューリスティック検出、および未知の動作ベースの検出の組み合わせを使用します。 善人は既知のマルウェアと悪意のある動作を探し、悪人は自分自身を偽装して検出を回避しようとします。 Branco and Barbosaの手法は、これらの回避手法に焦点を当てています。 今回は、50の新しい「非防御特性」を追加し、1200万を超えるサンプルを分析しました。

検出を回避するために、マルウェアには、仮想マシンで実行されていることを検出するコードが含まれ、実行されている場合は実行を控えることがあります。 デバッグまたは逆アセンブリを困難にするように設計されたコードが含まれている場合があります。 または、実際に実行していることをわかりにくくするような方法で単純にコーディングすることもできます。 これらはおそらく、研究者が追跡した最も簡単に理解できる回避技術です。

研究結果と有病率データベースは、他のマルウェア研究者が自由に利用できます。 「基礎となるマルウェアサンプルデータベースには、研究者が分析結果を見るだけでなく、新しい分析機能を開発してプラグインできるオープンアーキテクチャがあります」とBranco氏は説明しました。 実際、新しい方法でデータを分析したい研究者は、BrancoまたはBarbosaにメールを送信して新しい分析を要求するか、生データを要求することができます。 分析には約10日かかり、その後データを解析するのにさらに3日かかるため、すぐに結果を得ることができません。

他社はこの種の分析を利用してマルウェア検出を改善しますか? それとも、Intelからのものであり、Intelの子会社McAfeeから拡張されたものだと考えるので、彼らは衰弱しますか? 彼らはそれを真剣に見せるべきだと思う。

マルウェアは非表示にしようとすることでそれ自体を放棄します