Videó: Джеймс Лайн: Ежедневные киберпреступления и как им противостоять (November 2024)
Az ismeretlen szoftverek dinamikus elemzése ellenőrzött környezetben - vagy „homokozó” - egy hatékony eszköz, amelyet a biztonsági szakemberek használnak a rosszindulatú programok kiszűrésére. A rossz fiúk azonban bölcs módon alkalmazzák a technikát, és új trükköket vezettek be, hogy kitörjenek a homokozóból és a rendszerébe.
"A dinamikus elemzés a helyes út, és sok ember csinálja" - mondta Christopher Kruegel, a LastLine biztonsági társaság alapítója és tudósa. "De valójában ez csak a felület karcolása." Az AV megoldások régi modellje az ismert rosszindulatú programok listáira összpontosított, és bármi ellen védett, amely megegyezett a listával. A probléma az, hogy ez a módszer nem képes megvédeni a nulla napos kizsákmányolást vagy a meglévő rosszindulatú programok számtalan változatát.
Írja be a sandboxing alkalmazást, amely ismeretlen szoftvereket hajt végre egy ellenőrzött környezetben, mint például egy virtuális gép, és figyeli, hogy vajon rosszindulatú programokként viselkedik-e. A folyamat automatizálásával az AV cégek valós idejű védelmet tudtak biztosítani olyan fenyegetések ellen, amelyeket még soha nem láttak.
A homokozó megtörése
Nem meglepő, hogy a rossz fiúk új eszközöket vezettek be a homokozó dobozok becsapására, hogy figyelmen kívül hagyják a rosszindulatú programokat és engedjék át azokat. Kruegel kétféleképpen megemlítette, hogy a rosszindulatú programok elkezdték ezt: az egyik a környezeti eseményindítók használata, ahol a rosszindulatú program finoman ellenőrzi, hogy egy homokozóban működik-e. A rosszindulatú programok néha megvizsgálják a merevlemez nevét, a felhasználó nevét, ha bizonyos programok telepítve vannak, vagy más kritériumokat.
A Kruegel által leírt második és kifinomultabb módszer olyan rosszindulatú programok, amelyek valójában kitűnnek a homokozóból. Ebben a forgatókönyvben a rosszindulatú programnak nem kell ellenőrzéseket futtatnia, hanem használhatatlan számításokat végez, amíg a homokozó elégedett. Miután a homokozó lejárt, továbbadja a rosszindulatú szoftvert a tényleges számítógépnek. "A rosszindulatú program végrehajtódik az igazi gazdagépen, elvégzi a hurkot, majd rossz dolgokat végez" - mondta Kruegel. "Jelentős veszélyt jelent minden olyan rendszer számára, amely dinamikus elemzést használ."
Már a vadonban
Ezeknek a homokozó-szakító technikáknak a változatai már megtalálják az utat a magas szintű támadásokba. Kruegel szerint a múlt héten a dél-koreai számítógépes rendszerek elleni támadás rendkívül egyszerű rendszerrel szolgálta a felderítést. Ebben az esetben Kruegel elmondta, hogy a rosszindulatú program csak egy adott dátumon és időben fog futni. "Ha a homokozó megkapja másnap, vagy előző nap, akkor semmit sem tesz" - magyarázta.
Kruegel hasonló technikát látott az Aramco támadás során, amikor a rosszindulatú programok több ezer számítógépes terminált hoztak le egy közel-keleti olajipari társaságnál. "Ellenőrizték, hogy az IP-címek a régió részét képezik-e, ha a homokozó nem ebben a térségben van, akkor nem hajtja végre" - mondta Kruegel.
A LastLine által megfigyelt rosszindulatú programok közül Kruegel azt mondta a SecurityWatch-nek, hogy legalább öt százalékuk már észlelési kódot használ.
Az AV fegyververseny
A digitális biztonság mindig is az eszkalációt jelentette, amikor az ellenintézkedések örökre felteszik az új ellentámadásokat. A homokozó dobozok elkerülése nem különbözik egymástól, mivel a Kruegel cég LastLine már igyekezett mélyebben megvizsgálni a lehetséges rosszindulatú programokat egy kód emulátor segítségével, és soha nem engedte meg, hogy a potenciális rosszindulatú programok közvetlenül végrehajtják magukat.
Kruegel elmondta, hogy a potenciális rosszindulatú programokat is megpróbálják a rossz magatartásba "bejuttatni" azzal, hogy megpróbálják megtörni a lehetséges akadályokat.
Sajnos a rosszindulatú szoftverek gyártói végtelenül innovatívak és bár csak öt százalékuk kezdett küzdeni a homokozódobozok legyőzésével, az biztos, hogy vannak olyanok is, akikről nem tudunk. "Amikor a gyártók új megoldásokkal állnak elő, a támadók alkalmazkodnak, és ez a homokozó probléma sem különbözik" - mondta Kruegel.
A jó hír az, hogy bár a technológiai push and pull esetleg nem fog véget érni hamarosan, mások olyan módszereket céloznak meg, amelyeket a rosszindulatú programok gyártói pénzt keresnek. Lehet, hogy ez meg fogja sújtani a rossz fiúkat, ahol még a legokosabb programozás sem tudja megvédeni őket: pénztárcáikat.
