فيديو: اÙÙضاء - عÙÙ٠اÙÙÙÙ ÙÙÙر٠اÙØاد٠ÙاÙعشرÙÙ (سبتمبر 2024)
الشخص الذي يهرب من مسرح الجريمة يجذب بشكل طبيعي اهتمام الضباط المجيبين. إذا ظهرت وحدة الكلاب على شخص مختبئ في مخبأ قريب ، فستريد الشرطة بالتأكيد بعض الأسئلة. قام باحثو إنتل رودريجو برانكو (في الصورة أعلاه ، إلى اليسار ، مع نيل روبنكينج) وغابرييل نيجريرا باربوسا بتطبيق نفس النوع من التفكير على اكتشاف البرامج الضارة. في مؤتمر Black Hat 2014 ، قدّموا حالة رائعة لاكتشاف البرامج الضارة استنادًا إلى التقنيات ذاتها التي يستخدمها للتهرب من الاكتشاف.
في الواقع ، قدم الاثنان هذه التقنية في Black Hat من قبل. وقال برانكو: "توقعنا أن تستخدم صناعة AV أفكارنا (المثبتة بأعداد الانتشار) لتحسين تغطية الوقاية من البرامج الضارة بشكل ملحوظ". "لكن لم يتغير أي شيء. في غضون ذلك ، قمنا بتحسين خوارزميات الكشف لدينا ، والبق الثابتة ، وتوسيع نطاق البحث لأكثر من 12 مليون عينة."
وقال برانكو: "إننا نعمل لصالح شركة إنتل ، لكننا نقوم بالتحقق من الأمان وأبحاث أمان الأجهزة". "نحن ممتنون لجميع المناقشات العظيمة مع رجال الأمن من إنتل. لكن أي أخطاء أو نكات سيئة في هذا العرض التقديمي هي خطأنا تمامًا."
الكشف عن كشف التهرب
يستخدم منتج مكافحة البرامج الضارة النموذجي مزيجًا من الكشف المستند إلى التوقيع للبرامج الضارة المعروفة ، والكشف عن مجريات الأمور للمتغيرات الخبيثة ، والكشف القائم على السلوك للمجهول. يبحث الأشخاص الطيبون عن البرامج الضارة المعروفة والسلوكيات الضارة ، ويحاول الأشرار إخفاء أنفسهم وتجنب اكتشافهم. تركز تقنية برانكو وباربوسا على تقنيات التهرب هذه لتبدأ ؛ هذه المرة ، أضافوا 50 "خصائص غير دفاعية" جديدة وقاموا بتحليل أكثر من 12 مليون عينة.
لتجنب الاكتشاف ، قد تتضمن البرامج الضارة رمزًا للكشف عن تشغيله في جهاز افتراضي ، والامتناع عن التشغيل إذا كان الأمر كذلك. قد تتضمن تعليمة برمجية مصممة لجعل تصحيح الأخطاء أو التفكيك أمرًا صعبًا. أو ربما يتم ترميزها بطريقة تحجب ما تقوم به بالفعل. ربما تكون هذه هي أساليب التهرب الأكثر سهولة الفهم التي تتبعها الباحثون.
تتوفر نتائج البحوث وقاعدة بيانات الانتشار مجانًا للباحثين عن البرامج الضارة الأخرى. وشرح برانكو قائلاً: "تحتوي قاعدة بيانات نموذج البرمجيات الخبيثة على بنية مفتوحة تتيح للباحثين ليس فقط رؤية نتائج التحليل ، ولكن أيضًا لتطوير قدرات التحليل الجديدة وتوصيلها". في الواقع ، يمكن للباحثين الذين يريدون تحليل البيانات بطرق جديدة إرسال بريد إلكتروني إلى Branco أو Barbosa وطلب تحليل جديد ، أو فقط طلب البيانات الأولية. يستغرق التحليل حوالي 10 أيام ، ويستغرق تحليل البيانات بعد ذلك ثلاثة أيام أخرى ، لذلك لن يحصل على تحول فوري.
هل ستستفيد الشركات الأخرى من هذا النوع من التحليل لتحسين اكتشاف البرامج الضارة؟ أم هل سيتعثرون لأنهم يعتقدون أنه يأتي من Intel ومن الامتداد من McAfee التابعة لـ Intel؟ أعتقد أنهم يجب أن يعطوها نظرة جادة.
