มัลแวร์ให้ตัวเองโดยพยายามซ่อน

คนที่หนีออกจากที่เกิดเหตุมักดึงดูดความสนใจของเจ้าหน้าที่ตอบโต้ หากหน่วยสุนัขปรากฎว่ามีคนซ่อนตัวอยู่ในถังขยะใกล้ ๆ ตำรวจจะต้องการคำตอบบางอย่างแน่นอน นักวิจัยของ Intel Rodrigo Branco (ในภาพด้านบนซ้ายกับ Neil Rubenking) และ Gabriel Negreira Barbosa ใช้ความคิดแบบเดียวกันกับการตรวจจับมัลแวร์ ในการประชุม Black Hat 2014 พวกเขานำเสนอกรณีที่น่าประทับใจในการตรวจจับมัลแวร์โดยใช้เทคนิคที่ใช้ในการหลบเลี่ยงการตรวจจับ

ที่จริงแล้วทั้งสองได้นำเสนอเทคนิคนี้ที่ Black Hat ก่อน "ความคาดหวังของเราคืออุตสาหกรรม AV จะใช้ความคิดของเรา (พิสูจน์ด้วยตัวเลขที่แพร่หลาย) เพื่อปรับปรุงการป้องกันมัลแวร์อย่างมีนัยสำคัญ" Branco กล่าว "แต่ไม่มีอะไรเปลี่ยนแปลงในขณะเดียวกันเราได้ปรับปรุงอัลกอริธึมการตรวจจับแก้ไขข้อบกพร่องและขยายการวิจัยเป็นตัวอย่างมากกว่า 12 ล้านตัวอย่าง"

"เราทำงานให้กับ Intel แต่เราทำการตรวจสอบความปลอดภัยและการวิจัยความปลอดภัยของฮาร์ดแวร์" Branco กล่าว "เราขอขอบคุณสำหรับการหารือที่ยอดเยี่ยมกับบรรดาเจ้าหน้าที่รักษาความปลอดภัยของ Intel แต่ความผิดพลาดหรือเรื่องตลกที่ไม่ดีในงานนำเสนอนี้เป็นความผิดของเราทั้งหมด"

การตรวจจับการหลบหลีกการตรวจสอบ

ผลิตภัณฑ์ต่อต้านมัลแวร์ทั่วไปใช้การรวมกันของการตรวจจับที่ใช้ลายเซ็นสำหรับมัลแวร์ที่รู้จักกันการตรวจสอบฮิวริสติกของตัวแปรมัลแวร์และการตรวจจับตามพฤติกรรมสำหรับสิ่งแปลกปลอม คนดีมองหามัลแวร์ที่รู้จักและพฤติกรรมที่เป็นอันตรายและคนเลวพยายามปลอมตัวเองและหลีกเลี่ยงการตรวจจับ เทคนิคของ Branco และ Barbosa เน้นที่เทคนิคการหลีกเลี่ยงเหล่านี้เพื่อเริ่มต้น คราวนี้พวกเขาได้เพิ่ม "คุณสมบัติที่ไม่ป้องกัน" ใหม่ 50 รายการและวิเคราะห์ตัวอย่างมากกว่า 12 ล้านตัวอย่าง

เพื่อหลีกเลี่ยงการตรวจจับมัลแวร์อาจมีรหัสเพื่อตรวจสอบว่ามันกำลังทำงานอยู่ในเครื่องเสมือนและงดการเรียกใช้ถ้าเป็นเช่นนั้น มันอาจรวมถึงรหัสที่ออกแบบมาเพื่อทำให้การดีบักหรือถอดแยกชิ้นส่วนทำได้ยาก หรืออาจเขียนรหัสในลักษณะที่คลุมเครือสิ่งที่กำลังทำอยู่ นี่อาจเป็นเทคนิคการหลีกเลี่ยงที่เข้าใจได้ง่ายที่สุดที่นักวิจัยติดตาม

ผลการวิจัยและฐานข้อมูลความชุกมีให้สำหรับนักวิจัยมัลแวร์รายอื่น "ฐานข้อมูลตัวอย่างมัลแวร์พื้นฐานมีสถาปัตยกรรมแบบเปิดที่ช่วยให้นักวิจัยไม่เพียง แต่จะเห็นผลลัพธ์ของการวิเคราะห์เท่านั้น แต่ยังสามารถพัฒนาและเชื่อมต่อความสามารถในการวิเคราะห์ใหม่ได้อีกด้วย" Branco อธิบาย ในความเป็นจริงนักวิจัยที่ต้องการวิเคราะห์ข้อมูลในรูปแบบใหม่สามารถส่งอีเมลถึง Branco หรือ Barbosa และขอการวิเคราะห์ใหม่หรือเพียงแค่ขอข้อมูลดิบ การวิเคราะห์ใช้เวลาประมาณ 10 วันและแยกวิเคราะห์ข้อมูลหลังจากนั้นใช้เวลาอีกสามครั้งดังนั้นพวกเขาจะไม่ได้รับการตอบสนองทันที

บริษัท อื่นจะใช้ประโยชน์จากการวิเคราะห์ประเภทนี้เพื่อปรับปรุงการตรวจจับมัลแวร์หรือไม่ หรือพวกเขาจะหยุดชะงักเพราะพวกเขาคิดว่ามันมาจาก Intel และโดยการขยายจาก McAfee ในเครือของ Intel? ฉันคิดว่าพวกเขาควรจะให้มันดูจริงจัง