1. Реклама
2. Неудержимый гаджет людоедства

МЭРИ ШЕЛЛИ Виктор Франкенштейн соединил части тела обычных людей и создал монстра. Теперь компьютерные ученые сделали то же самое с программным обеспечением, демонстрируя потенциал для трудно обнаруживаемых вирусов, которые объединены из доброкачественного кода, украденного из обычных программ.

чудовищное вирусное программное обеспечение, получившее название Frankenstein , был создан Вишватом Моханом и Кевином Хамленом в Техасском университете в Далласе. Заразив компьютер, он ищет в битах и ​​байтах обычного программного обеспечения, такого как Internet Explorer и Notepad, фрагменты кода, называемые гаджетами, - короткие инструкции, выполняющие определенную небольшую задачу.

Предыдущие исследования показали, что теоретически возможно, при наличии достаточного количества гаджетов, построить любую компьютерную программу. Мохан и Хэмлен решили показать, что Франкенштейн может создавать работающий вредоносный код, создавая два простых алгоритма исключительно из гаджетов. «Два выбранных нами алгоритма тестирования проще, чем полноценное вредоносное ПО, но они представляют собой тип базовой логики, которую реальное вредоносное ПО использует для распаковки», - говорит Хэмлен. «Мы считаем, что это явный признак того, что это может быть расширено до полной вредоносной программы».

Франкенштейн следует заранее подготовленным чертежам, которые определяют определенные задачи - например, копирование фрагментов данных - и заменяет гаджеты, способные выполнять эти задачи. Такие перестановки повторяются каждый раз, когда Frankenstein заражает новый компьютер, но с разными гаджетами, а это означает, что вредоносное ПО всегда выглядит иначе, чем антивирусное программное обеспечение, даже если его конечные эффекты одинаковы.

Реклама

Исследование частично финансировалось ВВС США, и Хэмлен говорит, что Франкенштейн мог бы быть особенно полезен для агентства национальной безопасности, пытающиеся проникнуть в компьютерные системы противника с неизвестной антивирусной защитой. «По сути, это вывод о том, что защита [целевого компьютера] считает допустимой из существующих файлов в системе, чтобы помочь ей гармонировать с толпой», - говорит он.

Существующее вредоносное ПО уже пытается в некоторой степени случайно изменить код, но антивирусное программное обеспечение все еще может распознать их как нечто противное.

Frankenstein отличается тем, что весь его код, включая чертежи и поиск гаджетов, может адаптироваться к частям обычного программного обеспечения, что затрудняет его обнаружение. Всего трех частей такого программного обеспечения достаточно, чтобы предоставить более 100 000 гаджетов, поэтому у Франкенштейна есть огромное количество способов создать своего монстра, но для этого нужны чертежи, которые находят правильный баланс. Если план слишком специфичен, у Франкенштейна остается мало выбора в том, какие гаджеты использовать, что приводит к меньшему разбросу и облегчает его обнаружение. Более слабые чертежи, которые указывают только конечные эффекты вредоносного ПО, пока слишком неопределенны, чтобы Франкенштейн мог им следовать.

Исследователи представили работу на Семинар USENIX по наступательным технологиям в Белвью, штат Вашингтон, в этом месяце.

Марко Кова из Университета Бирмингема, Великобритания, говорит, что борьба с Франкенштейном может быть проблемой для современного антивирусного программного обеспечения, которое основано на выявлении различных отличительных признаков вредоносного ПО, но некоторая защита возможна. Антивирусное программное обеспечение может либо искать сигнатуры, которые соответствуют последовательности гаджетов, либо они будут смотреть на поведение программы, а не на ее конкретный код. «Если определение злонамеренности -« программа считывает мои нажатия клавиш и отправляет их на удаленный веб-сайт », тогда вас не волнуют конкретные последовательности байтов, которые реализуют это поведение», - говорит Кова.

Неудержимый гаджет людоедства

Защититься от вредоносных программ, способных создавать себя из других частей кода, никогда не бывает легко. В прошлом месяце Microsoft выпустила обновленную версию своего набора инструментов Enhanced Mitigation Experience Toolkit (EMET), который обеспечивает дополнительную защиту для некоторых пользователей ПК. Он оснащен новой защитой, разработанной для предотвращения вредоносного кода от выполнения кода другого программного обеспечения, как это делает Франкенштейн (см. Основную статью). Он работает, оборачивая ключевое программное обеспечение в слой кода, который проверяет, перестраиваются ли части программного обеспечения.

Microsoft заплатила 50 000 долларов в качестве недавнего приза за безопасность создателю этой технологии, но всего две недели спустя иранский исследователь безопасности по имени Шахрияр Джалайери претензии обошли EMET защитная оболочка.

Больше на эти темы:

Похожие

Комментарии