อุตสาหกรรมป้องกันไวรัสจะต้องมุ่งเน้นการตรวจจับตามพฤติกรรม

ไวรัสคอมพิวเตอร์มีมานานหลายปีแล้ว ในวันแรก ๆ การตรวจจับเป็นเรื่องง่าย ๆ ของการจับคู่ไฟล์กับชุดของลายเซ็นที่รู้จัก โปรแกรมป้องกันไวรัสบางโปรแกรมยังมีรายการภัยคุกคามทั้งหมดที่สามารถตรวจพบได้ ทุกวันนี้มีหลายสิ่งหลายอย่างที่แตกต่างกันนักเขียนมัลแวร์ทำงานอย่างหนักเพื่อสร้างมัลแวร์ที่มีรูปร่างและวิวัฒนาการไม่สามารถตรวจจับได้โดยการตรวจจับจากลายเซ็น ฉันได้พูดคุยกับ Roger Thompson หัวหน้านักวิจัยภัยคุกคามสำหรับ ICSA Labs เกี่ยวกับวิธีที่โปรแกรมมัลต้องเปลี่ยนและวิธีการทดสอบผลิตภัณฑ์เหล่านี้จำเป็นต้องเปลี่ยน

สิ่งที่เป็นอยู่

Rubenking : คุณสามารถพูดสองสามคำเกี่ยวกับ ICSA Labs ได้อย่างแน่นอนและมันทำอะไรได้บ้าง

Thompson : เรารับรองผลิตภัณฑ์ป้องกันไวรัสตามเงื่อนไขที่ตกลงกันไว้ ย้อนกลับไปในยุค 90 มีความจำเป็นที่จะต้องแยกแยะความแตกต่างระหว่างแอนตี้ไวรัสและผลที่เกิดขึ้นจริงในโลกแห่งความเป็นจริง ในขณะที่คุณจำได้ผู้คนสามารถพูดสิ่งที่พวกเขาชอบเกี่ยวกับผลิตภัณฑ์ของพวกเขาและไม่มีใครสามารถพิสูจน์หรือพิสูจน์ได้ มีความต้องการคนที่มีสมองที่จะพูดว่า "งานนี้ไม่ได้ผลนี่ไม่ได้ทำในสิ่งที่พูด"

ผู้ขายตกลงว่าพวกเขาต้องการบุคคลที่สามที่เป็นกลางในการทำเช่นนี้ แน่นอนว่าการทดสอบกับไวรัสมีความสำคัญมากกว่าการใช้ "สวนสัตว์" ที่เป็นที่รู้จัก ดังนั้นรายการเพิ่มขึ้นจากความต้องการนั้น - คอมโพสิตที่เป็นกลางจากผู้ขายของมัลแวร์ที่รู้จัก

อลันโซโลมอนเชื่อว่าทุกคนในยุค 90 กลับมาเชื่อว่าวิธีการตรวจจับมัลแวร์ประเภททั่วไปเป็นแนวคิดที่ไม่ดี สิ่งที่ต้องการก็คือสแกนเนอร์บางตัวที่สามารถระบุได้ อย่างชัดเจน ว่ามีไวรัสตัวใดอยู่บ้างและจะลบอย่างไร โลกตกลงและลงคะแนนให้กับพ็อกเก็ตบุ๊คเพื่อสนับสนุนเครื่องสแกนประเภทนั้น

ปัญหาเกี่ยวกับการตรวจจับทั่วไปในอดีตคือมันทำให้เกิดการโทรสนับสนุน โปรแกรมป้องกันไวรัสกล่าวว่าเราเห็นกระบวนการบางอย่างในระบบของคุณกำลังแก้ไขไฟล์ที่เรียกทำงานหรือไฟล์บางไฟล์ที่เปลี่ยนแปลงได้; คุณเปลี่ยนมันไหม ผลลัพธ์นั้นเป็นสายสนับสนุนและ Fortune 500 ไม่อนุมัติ โปรแกรมป้องกันไวรัสที่ใช้ลายเซ็นอาจบอกว่า "มันเป็นไวรัส!" หรือไม่พูดอะไรเลย

มันจะเป็นอย่างไร

Thompson : ยังมีความต้องการขั้นพื้นฐานในการทดสอบเครื่องสแกนตามลายเซ็นเพื่อให้แน่ใจว่าพวกเขาติดตาม พวกเขาสามารถตรวจจับได้หรือไม่ นั่นคือสิ่งที่ได้ทำไปแล้วและยังมีความต้องการ อย่างไรก็ตามตัวเลขมีการเปลี่ยนแปลงมากมีหลายสิ่งที่ปุยสร้างขึ้นทุกวัน สิ่งที่ต้องการตอนนี้ก็เพื่อทดสอบความสามารถในการต่อต้านมัลแวร์เพื่อตรวจจับสิ่งที่พวกเขาไม่เคยเห็นมาก่อน

Rubenking : สิ่งที่ปุย? คุณหมายความว่ายังไง?

ทอมป์สัน : คุณก็รู้ไม่มีใครรู้ตัวเลขจริง พวก ESET บอกฉันมากกว่าเบียร์ว่าพวกเขาเห็นตัวอย่างมัลแวร์ใหม่ที่ไม่ซ้ำใคร 600, 000 รายการทุกวัน ฉันจำรายงานจากไซแมนเทคที่อ้างว่ามีรายการใหม่ ๆ ที่ไม่เหมือนใครทุกวัน แต่ความจริงคือส่วนใหญ่ถูกสร้างอัลกอริทึม คนเลวเพียงแค่เปลี่ยนรหัสที่ไม่สำคัญบางครั้งคอมไพล์ใหม่บรรจุใหม่และเข้ารหัสใหม่ จากนั้นพวกเขาตรวจสอบว่าสแกนเนอร์ปัจจุบันตรวจพบเวอร์ชันใหม่หรือไม่ ถ้าไม่พวกเขาปล่อยมัน

มันง่ายมากที่จะตรวจสอบสิ่งที่คุณรู้อยู่แล้ว มันเหมือนกับตลาดหุ้น "แค่" ซื้อต่ำและขายสูง สิ่งที่เป็นกับไวรัสที่ไม่ซ้ำกันเหล่านี้พฤติกรรมพื้นฐานไม่เปลี่ยนแปลงเพียงบิตปุย กิจกรรมการปรับเปลี่ยนรีจิสทรีการเปลี่ยนไฟล์ … พฤติกรรมนั้นไม่เปลี่ยนแปลง ดังนั้นการทดสอบจะต้องย้ายเพื่อรวมการบล็อกพฤติกรรมเป็นส่วนหนึ่งของข้อตกลง

Rubenking : คุณจะเพิ่มการทดสอบรุ่นต่อไปในไม่ช้านี้หรือไม่?

Thompson : เรากำลังพยายามให้ผู้ขายยอมรับว่าเป็นเรื่องดี โดยทั่วไปแล้วพวกเขาเห็นด้วย แต่การทำการทดสอบไม่ใช่เรื่องง่าย

Rubenking : กระบวนการใหม่ของคุณเป็นอย่างไร

Thompson : มันยาก นั่นเป็นเหตุผลที่คนไม่ต้องการทำมัน คุณเริ่มต้นด้วยระบบที่สะอาดเรียกใช้มัลแวร์และดูว่าได้รับการติดตั้งหรือไม่ คุณต้องสามารถตรวจสอบระบบได้หลังจากนั้น มัลแวร์ติดระบบหรือไม่ มันเปลี่ยนรีจิสตรีคีย์หรือไม่ มันกลายเป็นแบบถาวรเพื่อเอาตัวรอดจากการรีสตาร์ทหรือไม่? จากนั้นคุณจะต้องกู้คืนสู่พื้นฐานที่สะอาดเพื่อทำอีกครั้ง

Rubenking : ฟังดูเหมือนการทดสอบแบบไดนามิกที่ดำเนินการโดย AV-Comparatives

Thompson : ใช่มันคล้ายกันมาก

Rubenking : คุณพร้อมที่จะไป แต่ผู้ขายไม่ใช่ไหม? ดังนั้นคุณไม่ทราบว่าการทดสอบใหม่จะมีผลเมื่อใด

Thompson : เราพร้อมแล้ว ฉันไม่ค่อยรู้ว่าสถานะคืออะไรกับผู้ขาย; เราจะติดต่อกลับไปหาคุณ ] นอกจากนี้ปัญหาส่วนหนึ่งคือการค้นหาแหล่งที่มาของมัลแวร์ของเราการรวบรวมฟีดสแปมและสิ่งอื่น ๆ เราจำเป็นต้องรู้ว่ามีอะไรเกิดขึ้นจริง

ทำให้ชีวิตที่ยากลำบากสำหรับคนเลว

Thompson : นี่คือวิธีที่ถูกต้องในอนาคต เราไม่สามารถหยุดทำสิ่งที่เราทำมาตลอดได้ แต่เมื่อผู้ค้าแอนตี้มัลแวร์เพิ่มการบล็อกตามพฤติกรรมมันกลายเป็นเรื่องยากสำหรับคนเลวที่จะต้องเอาชนะ พวกเขาสามารถเอาชนะลายเซ็นได้โดยการปรับแต่งสิ่งที่ไม่สำคัญ แต่เพื่อเอาชนะพฤติกรรมการปิดกั้นพวกเขาจะต้องเปลี่ยนพฤติกรรมจริง ๆ และจัดการกับคำจำกัดความต่าง ๆ ของพฤติกรรม

Rubenking : ดังนั้นผู้ค้าแอนตี้มัลแวร์ที่หลากหลายที่มีการปิดกั้นพฤติกรรมประเภทต่าง ๆ จะทำให้ชีวิตของคนเลวเป็นเรื่องยากหรือไม่

Thompson : อย่างแน่นอน มันเหมือนกับการเปรียบเทียบชีสสวิส หนึ่งบิตของชีสมีรู แต่ถ้าคุณเลเยอร์บนอีกบิตมันจะครอบคลุมรู ใส่บิตให้เพียงพอและไม่มีช่องว่างเหลือ

Rubenking : ขอบคุณ Roger!