Poznaj techniki wykrywania złośliwego oprogramowania

Słabe strony wykrywania opartego na sygnaturach

Technika ta od lat stanowi podstawę wykrywania złośliwego oprogramowania i można z całą pewnością stwierdzić, że nadal jest przydatna, jeśli chodzi o znane zagrożenia. Problem pojawia się w momencie, kiedy mamy do czynienia z nowymi nieznanymi wariantami zagrożeń, z którymi firmy spotykają się dziś znacznie częściej. Nowoczesne złośliwe oprogramowanie wykorzystuje wiele zaawansowanych technik, aby pozostać niezauważone, co tylko utrudnia pracę Signature-Based Detection. Oto kilka przykładów złośliwego oprogramowania, które to robią.

Polimorficzne warianty złośliwego oprogramowania

Złośliwe oprogramowanie polimorficzne nieustannie zmienia swoje funkcje, aby uniknąć wykrycia. Twórcy tego typu oprogramowania wykorzystują polimorfizm, aby ominąć techniki wykrywania dopasowane do wzorca, stosowane w programach antywirusowych. Za pomocą mechanizmu mutacji złośliwe oprogramowanie polimorficzne może zmieniać niektóre funkcje (nazwy plików i / lub skróty), co pozwala skutecznie ukrywać kod. Obecnie 97% złośliwego oprogramowania wykorzystuje techniki polimorficzne, których sygnatury zmieniają się z każdą iteracją. Oznacza to, że chociaż warianty te oparte są na znanych rodzinach złośliwego oprogramowania, nie można ich namierzyć za pomocą rozwiązań do wykrywania opartych na sygnaturach.

Zaciemnianie kodu

Jest to kolejny zestaw technik stosowanych w celu uniknięcia wykrycia i analizy. Zaciemnianie powoduje, że kod źródłowy jest bardzo trudny do zrozumienia, a nawet nieczytelny. Ma to na celu ominięcie narzędzi analizy statycznej. Co więcej, wykorzystuje wiele metod do ukrywania kodu, w tym wprowadzanie zmian instrukcji, wstawianie dead code’u w celu zmiany wyglądu złośliwego oprogramowania oraz szyfrowanie (szyfrujące złośliwe oprogramowanie).

Nadużycie uzasadnionego podpisanego pliku binarnego systemu Windows

Atakujący mogą wykorzystywać już podpisane pliki binarne lub komponenty, takie jak Mavinject, do uruchomienia złośliwego kodu w procesach. Dzięki temu kod nie napotyka na swojej drodze metod antywirusowych opartych na sygnaturach. Warto zwrócić uwagę na to, że używanie legalnych programów w podejrzany sposób jest sygnałem mówiącym o tym, że mogliśmy paść ofiarą ataku.

Kampanie wykorzystujące nowości złośliwego oprogramowania

Prawie wszystkie nowoczesne kampanie złośliwego oprogramowania wykorzystują jeden lub więcej mechanizmów unikania wykrywania. Oto kilka znanych przykładów, które z łatwością omijają wykrywanie oparte na sygnaturach.

Qbot

Qbot zadebiutował w 2009 r. jako trojan, który „ukradł” informacje finansowe. Mimo że, od momentu pojawienia się stanowił zagrożenie dla firm i zwykłych użytkowników, dopiero w 2019 r. zaczął wyświetlać nowy zestaw funkcji pozwalających uniknąć wykrycia. W swojej ulepszonej formule wykorzystuje metody anty- analizy i zaciemnianie, aby przemknąć w sposób niezauważalny dla AV i AM. Często zmienia także serwery C2 i, według firmy Varonis, która jako pierwsza zlokalizowała nową i ulepszoną wersję Qbota, może tworzyć nowe pliki mające z pozoru przypadkowe nazwy.

Emotet Trojan

Jest to złośliwe oprogramowanie pierwotnie zaprojektowane jako trojan bankowy przeznaczony do kradzieży poufnych informacji. Cechuje go wysoki stopień zaawansowania, polimorfizm i modułowość. Warto podkreślić, że potrafi on ominąć 75% programów antywirusowych. Używa kilku różnych metod, aby utrzymać swoją trwałość. Stwierdzenie, że jest modułowy, oznacza, że używa różnych modułów, aby zmienić swój wpływ na systemy. Emotet jest również w stanie stwierdzić, czy atakuje maszynę wirtualną, co w konsekwencji powoduje, że staje się ona nieaktywna.

Stuxnet

To bohater pierwszych stron gazet z 2010 r. Od samego początku zaskakiwał swoim zaawansowaniem, i jak podkreślają specjaliści jest pierwszym tak zaawansowanym narzędziem szpiegostwa przemysłowego. W ataku na irańską elektrownię skorzystał z 4 luk 0-day, likwidując część reaktora jądrowego w zakładzie wzbogacania uranu w Natanz. Tym, co wyróżnia Stuxnet, była jego zdolność do „przeskakiwania” ze świata cyfrowego do świata fizycznego.

Ewolucja technik ochrony przed złośliwym oprogramowaniem

Kwestią oczywistą jest fakt, że samo wykrywanie oparte na sygnaturach nie jest w stanie stawić czoła zmieniającym się zagrożeniom. W miarę rozwoju złośliwego oprogramowania muszą powstawać rozwiązania, które są w stanie sprostać nowym wyzwaniom. Dlatego twórcy oprogramowania antywirusowego wprowadzili nowe narzędzia i metody, w tym te opisane poniżej.

Analiza heurystyczna

Analiza heurystyczna analizuje zachowanie systemu lub oprogramowania w celu wykrycia nowych zagrożeń, których nie ma w rozwiązaniach opartych na sygnaturach. Specyfika działania tego podejścia polega na wyznaczeniu pewnego progu dla normalnych standardowych aktywności systemu/oprogramowania, a w sytuacji będącej odstępstwem od tej reguły, jest to sygnalizowane jako nieprawidłowość.

Analiza heurystyczna jest jedną z niewielu technik wykrywania złośliwego oprogramowania, które mogą ujawnić polimorficzne zagrożenia. Co więcej, pozwala programistom na ciągłą zmianę reguł opartych na nowych rodzajach ataków i nie podaje szczegółowych informacji na temat oznaczania zagrożeń dla twórców złośliwego oprogramowania. Jednakże warto podkreślić, że w sytuacji kiedy kod będzie wystarczająco zaciemniony, analiza heurystyczna nie będzie w stanie go wykryć.

Sandboxing

Metoda ta  wykrywa złośliwe oprogramowanie, testując potencjalnie złośliwy kod w izolowanym środowisku wirtualnym. Pozwala to na obserwowanie rzeczywistego zachowania kodu w bezpiecznej przestrzeni, w której nie może dalej przenikać, ani wyrządzać jakichkolwiek szkód zarówno systemowi, jak i sieci, w której działa. Sandboxing  jest użyteczną techniką wykrywania złośliwego oprogramowania, ponieważ jest w stanie bardzo szczegółowo określić, w jaki sposób pliki działają w rzeczywistości w środowisku. Może także dostarczyć szczegółowych informacji na temat zachowań, umożliwiając analitykom ustalenie intencji danego zagrożenia. Jednak Sandboxing ma pewne istotne wady. Współcześni cyberprzestępcy tworzą złośliwe oprogramowanie rozpoznające Sandboxing, które wie, kiedy jest uruchamiane w Sandboxingu, i które działa inaczej niż w prawdziwym środowisku, aby uniknąć wykrycia. Ponadto niektóre warianty złośliwego oprogramowania są tworzone w celu wykorzystania martwych punktów w Sandboxingu.

Antywirus nowej generacji, inne techniki wykrywania złośliwego oprogramowania oraz metody blokowania

Heurystyka i Sandboxing stanowią dobry początek na ścieżce zwalczania złośliwego oprogramowania. Jednak biorąc pod uwagę ich wady, nie są to techniki wystarczające. Przeciwdziałanie współczesnemu złośliwemu oprogramowaniu wymaga nowszych, bardziej dynamicznych narzędzi. Ta potrzeba doprowadziła do opracowania kilku metod NGAV (antywirus nowej generacji). Rzućmy okiem na niektóre z nich.

Analiza statyczna oparta na sztucznej inteligencji / uczeniu maszynowym

Techniki wykrywania analizy statycznej oparte na AI uczą rozpoznawania i rozróżniania plików łagodnych i złośliwych. Uczą maszynę, co jest dobre, a co złe, aby ostatecznie mogła samodzielnie sortować pliki. Techniki te biorą pod uwagę różne zachowania (zachowania pliku, czas otwarcia pliku, ruch, codzienne zachowanie itp.) i analizują je w celu wyciągnięcia wniosków na temat charakteru pliku.

Chociaż zastosowanie uczenia maszynowego ma wiele zalet i jest to z pewnością słuszny kierunek, to jednocześnie nie jest ono idealnym rozwiązaniem do wykrywania i eliminowania złośliwego oprogramowania. W rzeczywistości techniki uczenia maszynowego mogą być stosowane w „atakach przeciwnych”, w których atakujący „trenują” systemy uczenia maszynowego w celu błędnego zaklasyfikowania próbek złośliwego oprogramowania jako nieszkodliwe. Ponadto uczenie maszynowe jest wciąż stosunkowo nowe. Niemniej jednak warto je stosować, przy czym w połączeniu z innymi narzędziami i technikami.

Application Whitelisting

Biała lista sprawdza i kontroluje wszystkie aspekty działania dozwolonych procesów, blokując aplikacjom wszystko z wyjątkiem tego, co powinny robić. Jest to korzystne dla blokowania zagrożeń, takich jak 0 day, ale może być bardzo frustrujące dla użytkowników końcowych, którzy chcą uruchamiać całkowicie bezpieczne i legalne aplikacje, ale nie są w stanie tego zrobić. Dlatego białej listy należy używać w środowiskach wysokiego ryzyka czy w przypadku bankomatów. Należy zauważyć, że „standardowa” biała lista dotyczy aplikacji (dozwolona / niedozwolona), podczas gdy „inteligentna” biała lista dotyczy procesów w ramach legalnej aplikacji.

EDR

Wykrywanie i reakcja na punkt końcowy (EDR) monitoruje i rejestruje dane i zdarzenia z dzienników i pakietów punktów końcowych. Zebrane dane są analizowane, aby zobaczyć, co dzieje się po infekcji.

Skuteczna ochrona przed złośliwym oprogramowaniem

Rozwiązaniem, które w sposób kompleksowy i proaktywny zapewnia ochronę przed nieustannie zmieniającym się krajobrazem złośliwego oprogramowania jest Cynet 360. Ta nowoczesna platforma obejmuje wiele uzupełniających się warstw oraz integruje najlepsze możliwości NGAV i EDR, aby rozbroić złośliwe oprogramowanie, zanim będzie ono w stanie w pełni wykonać i spowodować szkody.

Wniosek

Stosowane metody ataku wciąż ewoluują. Z drugiej strony nikt nie jest w stanie uniemożliwić atakującym korzystanie z nowych sztuczek i technik. Kluczem do pokonania tych złożonych i transformujących ataków jest zastosowanie wszechstronnego rozwiązania z wieloma blokującymi warstwami ochronnymi, które je wykrywają i odpierają. A zatem kluczowe znaczenie ma wybór właściwej technologii.