Vidéo: Les logiciels malveillants (Novembre 2024)
Une personne qui fuit une scène de crime attire naturellement l'intérêt des agents qui ont répondu. Si l'unité canine découvre une personne cachée dans une benne à ordures à proximité, la police voudra certainement obtenir des réponses à certaines questions. Les chercheurs d’Intel, Rodrigo Branco (avec Neil Rubenking, à gauche, à gauche) et Gabriel Negreira Barbosa ont appliqué le même type de réflexion à la détection des logiciels malveillants. Lors de la conférence Black Hat 2014, ils ont présenté un cas impressionnant de détection de logiciels malveillants, basé sur les techniques mêmes qu'ils utilisent pour échapper à la détection.
En fait, les deux ont déjà présenté cette technique à Black Hat. "Nous nous attendions à ce que le secteur audiovisuel utilise nos idées (prouvées par des chiffres de prévalence) pour améliorer de manière significative la couverture de prévention des programmes malveillants", a déclaré Branco. "Mais rien n'a changé. Entre-temps, nous avons amélioré nos algorithmes de détection, corrigé des bugs et étendu la recherche à plus de 12 millions d'échantillons."
"Nous travaillons pour Intel, mais nous effectuons des recherches sur la validation de la sécurité et la sécurité du matériel", a déclaré Branco. "Nous sommes reconnaissants pour toutes les bonnes discussions avec les responsables de la sécurité d'Intel. Mais toutes les erreurs ou les mauvaises blagues de cette présentation sont totalement de notre faute."
Détection de l'évasion de détection
Un produit anti-malware typique utilise une combinaison de détection basée sur la signature pour le malware connu, la détection heuristique de variantes de malware et la détection basée sur le comportement pour les inconnus. Les bons cherchent des programmes malveillants connus et des comportements malveillants, et les méchants essaient de se déguiser et d'éviter la détection. La technique de Branco et Barbosa se concentre sur ces techniques d'évasion pour commencer; cette fois-ci, ils ont ajouté 50 nouvelles "caractéristiques non défensives" et analysé plus de 12 millions d'échantillons.
Pour éviter la détection, les logiciels malveillants peuvent inclure du code permettant de détecter son exécution sur une machine virtuelle et s'abstenir de s'exécuter si tel est le cas. Il peut inclure du code conçu pour rendre le débogage ou le désassemblage difficile. Ou il peut simplement être codé de manière à masquer ce qu'il fait réellement. Ce sont probablement les techniques d'évasion les plus faciles à comprendre que les chercheurs ont suivies.
Les résultats de la recherche et la base de données sur la prévalence sont librement disponibles pour les autres chercheurs sur les logiciels malveillants. "La base de données exemple de logiciels malveillants sous-jacente a une architecture ouverte qui permet aux chercheurs non seulement de voir les résultats de l'analyse, mais également de développer et d'intégrer de nouvelles capacités d'analyse", a expliqué Branco. En fait, les chercheurs qui souhaitent analyser les données de différentes manières peuvent envoyer un courrier électronique à Branco ou Barbosa et demander une nouvelle analyse, ou simplement demander les données brutes. L'analyse prend environ 10 jours et l'analyse des données en prend ensuite trois autres, afin qu'elles ne se retournent pas immédiatement.
D'autres entreprises vont-elles tirer parti de ce type d'analyse pour améliorer la détection des logiciels malveillants? Ou vont-ils hésiter parce qu'ils pensent que cela vient d'Intel et, par extension, de McAfee, filiale de Intel? Je pense qu'ils devraient y jeter un coup d'oeil sérieux.
