مكافحة الفيروسات المضاد للأسلحة: عندما يقوم البرنامج الجيد بأشياء سيئة

اجتذب مؤتمر القبعة السوداء أكثر من 7000 مشارك هذا الصيف ، وحضر 25000 مؤتمر RSA في الربيع. بالمقابل ، يقاس حضور المؤتمر الدولي الثامن للبرامج الضارة وغير المرغوب فيها بعشرات وليس بالآلاف. يهدف إلى تقديم أحدث الأبحاث العلمية في مجال الأمن ، في جو يسمح بالتفاعل المباشر والصريح بين جميع الحاضرين. تم إطلاق مؤتمر هذا العام (Malware 2013 باختصار) مع عرض رئيسي من قِبل Dennis Batchelder ، مدير مركز Microsoft Malware Protection Center ، يوضح المشاكل الصعبة التي تواجه صناعة مكافحة البرامج الضارة.

أثناء العرض التقديمي ، سألت السيد Batchelder عما إذا كان لديه أي أفكار حول سبب احتوائه على نقاط أمان Microsoft في القاع أو بالقرب منها في العديد من الاختبارات المستقلة ، وهو مستوى منخفض بما يكفي لأن العديد من المعامل تتعامل معه الآن كخط أساسي للمقارنة مع المنتجات الأخرى. في الصورة الموجودة في الجزء العلوي من هذا المقال ، يحاكي كيف لا يشعر أعضاء فريق مكافحة الفيروسات في Microsoft بهذا السؤال.

أوضح باتشيلدر كيف تريده مايكروسوفت. من الجيد أن يوضح موردو الأمان القيمة التي يمكنهم إضافتها على ما هو مدمج. كما أشار إلى أن بيانات Microsoft تظهر أن 21 بالمائة فقط من مستخدمي Windows غير محميين ، وذلك بفضل MSE و Windows Defender ، بانخفاض عن 40 بالمائة. وبالطبع في أي وقت تستطيع فيه Microsoft رفع هذا الخط الأساسي ، سيتعين على موردي الطرف الثالث بالضرورة مطابقته أو تجاوزه.

الأشرار لا يركضون

أشار Batchelder إلى تحديات كبيرة في ثلاثة مجالات رئيسية: مشكلات الصناعة ككل ، ومشاكل الحجم ، ومشاكل الاختبار. من بين هذا الحديث المذهل ، كانت إحدى النقاط التي أدهشني حقًا هي وصفه للطريقة التي يمكن بها لعصابات الجريمة أن تخدع أدوات مكافحة الفيروسات للقيام بعمل قذر لهم.

أوضح باتشيلدر أن نموذج مكافحة الفيروسات القياسي يفترض أن الأشرار يهربون ويختبئون. وقال "نحاول العثور عليهم بطرق أفضل وأفضل". "العميل المحلي أو السحابة تقول" حظره! " أو نكتشف تهديدًا ونحاول علاجه ". لكنها لم تعد تهرب ؛ انهم يهاجمون.

يتقاسم بائعو برامج مكافحة الفيروسات العينات ويستخدمون القياس عن بُعد من تحليلهم الأساسي والسمعي المثبت للكشف عن التهديدات. في الآونة الأخيرة ، على الرغم من أن هذا النموذج لا يعمل دائمًا. "ماذا لو لم تتمكن من الوثوق بهذه البيانات" ، سأل Batchelder. "ماذا لو كان الأشرار يهاجمون أنظمتك مباشرة؟"

وذكر أن Microsoft قد اكتشفت "ملفات معدّة تستهدف أنظمتنا ، وملفات معدّة تشبه اكتشاف بعض البائعين الآخرين." بمجرد أن يلتقطها أحد البائعين كتهديد معروف ، ينقلونه إلى آخرين ، مما يؤدي إلى زيادة قيمة الملف المصطنع بشكل مصطنع. "إنهم يجدون حفرة ، يصنعون عينة ، ويسببون مشاكل. يمكنهم حقن القياسات عن بعد لتزوير الانتشار والعمر ،" لاحظ باتشيلدر.

لا يمكننا جميعا فقط العمل معا؟

لذا ، لماذا تهتم نقابة الجريمة بتزويد شركات مكافحة الفيروسات بمعلومات خاطئة؟ والغرض من ذلك هو تقديم توقيع مكافحة فيروسات ضعيف ، وهو ما يتطابق أيضًا مع ملف صالح يحتاجه نظام تشغيل مستهدف. إذا نجح الهجوم ، فسيقوم بائع أو أكثر من مزودي برامج مكافحة الفيروسات بفرض عزل الملفات الأبرياء على أجهزة الكمبيوتر الضحية ، مما قد يؤدي إلى تعطيل نظام التشغيل المضيف الخاص بهم.

هذا النوع من الهجوم هو غدرا. عن طريق تمرير عمليات الكشف المزيفة في تدفق البيانات التي يتقاسمها بائعو برامج مكافحة الفيروسات ، يمكن للمجرمين إتلاف الأنظمة التي لم يضعوا عيونهم (أو أيديهم) على الإطلاق. وكميزة جانبية ، فقد يؤدي ذلك إلى إبطاء مشاركة العينات بين البائعين. إذا لم تتمكن من افتراض أن الكشف الذي تم تمريره من قِبل بائع آخر صالح ، فستضطر إلى قضاء بعض الوقت في إعادة فحصه مع الباحثين الخاصين بك.

مشكلة كبيرة جديدة

يذكر Batchelder أنهم يحصلون على حوالي 10،000 من هذه الملفات "المسمومة" شهريًا من خلال مشاركة العينات. حوالي عُشر واحد بالمائة من القياس الخاص بهم (من مستخدمي منتجات مكافحة الفيروسات من Microsoft) يتكون من هذه الملفات ، وهذا كثير.

هذا جديد بالنسبة لي ، لكنه ليس مفاجئًا. تمتلك عصابات جرائم البرمجيات الخبيثة الكثير من الموارد ، ويمكنها تخصيص بعض هذه الموارد لتخريب الاكتشاف من قبل أعدائها. سأقوم باستجواب البائعين الآخرين حول هذا النوع من "برامج مكافحة الفيروسات المسلّحة" عندما أتيحت لي الفرصة.