Vídeo: Concurso PCDF: Direção Final - Informática c/ Prof. Victor Dalton | AO VIVO (Outubro 2024)
Uma pessoa que foge de uma cena de crime naturalmente atrai o interesse dos policiais responsáveis. Se a unidade canina encontrar alguém escondido em uma lixeira próxima, a polícia definitivamente desejará que algumas perguntas sejam respondidas. Os pesquisadores da Intel Rodrigo Branco (foto acima, à esquerda, com Neil Rubenking) e Gabriel Negreira Barbosa aplicaram o mesmo tipo de pensamento na detecção de malware. Na conferência do Black Hat 2014, eles apresentaram um caso impressionante para a detecção de malware com base nas próprias técnicas usadas para evitar a detecção.
Na verdade, os dois já apresentaram essa técnica na Black Hat antes. "Nossa expectativa era que o setor de antivírus usasse nossas idéias (comprovadas com números de prevalência) para melhorar significativamente a cobertura de prevenção de malware", disse Branco. "Mas nada mudou. Enquanto isso, aprimoramos nossos algoritmos de detecção, corrigimos bugs e expandimos a pesquisa para mais de 12 milhões de amostras".
"Trabalhamos para a Intel, mas fazemos validação de segurança e pesquisa de segurança de hardware", disse Branco. "Somos gratos por todas as ótimas discussões com o pessoal de segurança da Intel. Mas quaisquer erros ou piadas ruins nesta apresentação são totalmente nossa culpa".
Detectando Evasão de Detecção
Um produto antimalware típico usa uma combinação de detecção baseada em assinatura para malware conhecido, detecção heurística de variantes de malware e detecção baseada em comportamento para incógnitas. Os mocinhos procuram malware conhecido e comportamentos maliciosos, e os bandidos tentam se disfarçar e evitar a detecção. A técnica de Branco e Barbosa enfoca essas técnicas de evasão para começar; desta vez, eles adicionaram 50 novas "características não defensivas" e analisaram mais de 12 milhões de amostras.
Para evitar a detecção, o malware pode incluir código para detectar se está sendo executado em uma máquina virtual e, se assim for, abster-se de executar. Pode incluir código criado para dificultar a depuração ou desmontagem. Ou pode simplesmente ser codificado de forma a obscurecer o que está realmente fazendo. Essas são provavelmente as técnicas de evasão mais fáceis de entender que os pesquisadores rastrearam.
Os resultados da pesquisa e o banco de dados de prevalência estão disponíveis gratuitamente para outros pesquisadores de malware. "O banco de dados de amostra de malware subjacente possui uma arquitetura aberta que permite aos pesquisadores não apenas ver os resultados da análise, mas também desenvolver e conectar novos recursos de análise", explicou Branco. De fato, os pesquisadores que desejam analisar os dados de novas maneiras podem enviar um email para Branco ou Barbosa e solicitar uma nova análise, ou apenas solicitar os dados brutos. A análise leva cerca de 10 dias e a análise dos dados leva mais três, para que eles não obtenham retorno imediato.
Outras empresas aproveitarão esse tipo de análise para melhorar a detecção de malware? Ou eles ficarão frustrados porque pensam que é da Intel e, por extensão, da McAfee, subsidiária da Intel? Eu acho que eles deveriam dar uma olhada séria.
