Както вероятно знаете, моделът, който следват традиционните антивирусни продукти за компютърна защита години наред е чрез т.нар. „дефиниции“ или предварително знание за заплахите посредством сигнатури. Но с развитието на технологиите, киберпрестъпниците се научават да използват различни техники, които правят този метод непотребен – чрез добро прикриване на основния код на заплахата, тъй че той да не може да бъде анализиран, чрез промяна на този код автоматично, така че тя да изглежда непозната за антивирусния продукт (като емблематичен случай тук може да се посочи наблюдението на специалисти над една от версиите на рансъмуера Cerber, при която авторите му променят хеш-сумата на вируса на всеки 15 секунди) и др.

Но заедно с киберпрестъпниците, антивирусната индустрия гледа да не изостава и интегрира различни нови техники за борба със заплахите: разширени евристични методи за анализ, автоматизирани анализатори на поведението, допълнителен анализ в облака, общностна репутация, предварително изпълнение на кода в защитена сендбокс среда, както и използването на методи за проактивна защита, каквито се явяват използването на „бели“ и „черни“ списъци, HIPS и др. Една от тези нови тенденции с понякога спорна репутация е използването на изкуствен интелект и машинно обучение (machine learning, ML). Все пак днес всеки говори за изкуствения интелект и как той ще спаси света и едва ли не, ако продукта ти не използва изкуствен интелект, то той е „стар“. През миналата година учени демонстрираха как успяват да заблудят антивирусен продукт, използващ машинно обучение за детекция на заплахите. Ставаше дума за програма на Cylance. На предстоящия следващата седмица Black Hat Europe ще бъде отново демонстрирано подобно компрометиране. Този път става дума за линия от продукти, които използват ML.

За разлика от случая със Cylance, сега специалистите даже не използват някакъв сложен метод за това, като да речем реверсивно инженерство. Изследователите успяват да компрометират методологията, използвана от антивирусния продукт, като подлъгват статичния анализ, който бива използван от класификаторите на заплахите в програмите.

Ишай Росенберг и Шаи Меир от компанията Deep Instinct първоначално решават да използват за своите цели инструмента за статичен анализ с открит код Ember, след което пробват с успех своята атака към няколко антивирусни продукт от следващо поколение, които отказват да назоват по име. Преди да представят доклада си на Black Hat Europe, те са демонстрирали откритията си по време на Общата международна конференция по невронни мрежи (International Joint Conference on Neural Networks (IJCNN) през септември. Те успяват да прокарат незабелязано зловредните проби покрай защитите на тези ML антивирусни като модифицират някои характеристики на техните файлове, като чексумите и датата на създаването на файловете. Това позволило на статичните класификатори да повярват, че зловредните програми са легитимни.

„Експериментът беше част от изследване, което провеждахме с цел да защитим нашия собствен продукт – да оценим уязвимостта на антивирусните продукти на различни форми на атака“, обяснява Розенберг. Той допълва, че са искали да демонстрират, че има и други техники за преодоляване на защитите на този род продукти, които не изискват реверсивно инженерство на системата за крайна защита.

Меир обяснява на свой ред, че те са нанесли съвсем леки промени по въпросните характеристики и това било достатъчно за класификатора в тези модерни антивирусни продукти да сметнат кода за незловреден.

Използването на подобни техники не е сложно, обясняват Розенберг и Меир, но защитата срещу подобни атаки е нещо трудно. „Няма панацея в подобни случаи“, добавя Меир, според когото сигурността изисква защита в дълбочина, но даже и това не е гарантирана техника за превенция.

1 1 глас
Оценете статията
Абонирай се
Извести ме за
guest
0 Коментара
Отзиви
Всички коментари