O co chodzi z tą prewalencją?

bezpieczeństwo

W F-Secure Labs często używamy słowa „prewalencja”. Cóż to takiego?

Prewalencja (częstość występowania) pliku wykonywalnego określa, ile razy napotkali go wszyscy nasi klienci. Złośliwe pliki wykonywalne zwykle występują rzadko w dłuższych przedziałach czasu, większość szybko pojawia się i znika, więc to, ile razy napotkaliśmy dany plik binarny, może wskazywać, jak bardzo jest podejrzany. Ponieważ nasze rozwiązania zabezpieczające łączą się z chmurą, wskaźniki prewalencji są łatwo dostępne.

Aby zrozumieć, dlaczego złośliwe pliki wykonywalne są rzadkie, musimy cofnąć się daleko w przeszłość.

floppies

Nie, nie trzymamy na nich kodów do odpalenia głowic jądrowych.

Większość pierwszych wirusów w rzeczywistości nie miała złośliwej natury. Hakerzy tworzyli je po to, żeby popisać się swoimi 3l1t4rnymi umiejętnościami. Jeśli chciałbyś zobaczyć, jak działały niektóre z nich, zajrzyj do Muzeum Malware’u, które Mikko pomógł stworzyć w witrynie archive.org.

W miarę upływu czasu pojawiało się coraz więcej czysto złośliwych wirusów. Kiedy ich liczba wzrosła na tyle, że zaczęła stwarzać problem dla ogółu użytkowników, powstała branża antywirusowa (a w końcu również termin „malware”, zbitka słów „malicious” i „software”).

W tamtych czasach co tydzień pojawiała się zaledwie garstka nowych rodzin/wariantów, więc techniki detekcji były bardzo proste. Wystarczyło dopasować tu czy tam kilka bajtów albo poszukać konkretnego łańcucha. Ponieważ złośliwy program miał postać jednego plik binarnego, detekcja wychwytywała go za każdym razem.

Twórcy złośliwego oprogramowania wkrótce zauważyli, że ciężka praca, którą wkładali w swoje dzieła, szła na marne w ciągu kilku godzin od wykrycia i udostępnienia próbki. Musieli wymyślić nowy zestaw trików, żeby uniknąć tych prostych metod detekcji. Tak też zrobili.

Jedną z najbardziej skutecznych metod, stosowanych od początku lat dziewięćdziesiątych, było wykorzystanie kodu polimorficznego. Poprzez szyfrowanie kodu twórcy malware’u mogli generować nowe kopie programu, które były funkcjonalnie identyczne, ale pod względem strukturalnym na tyle różne, że unikały prostych technik detekcji. Każdą nową kopię tworzono z wykorzystaniem nieco innego klucza, a sam proces generowania nowych plików binarnych był zautomatyzowany. Nowe złośliwe próbki były generowane na żądanie w punkcie dystrybucji po stronie serwera. Ponieważ każda nowa próbka odnaleziona „w naturze” była niepowtarzalna, metody detekcji stosowane pod koniec lat osiemdziesiątych i na początku lat dziewięćdziesiątych stały się niewystarczające.

Praktyka masowego wypuszczania na świat funkcjonalnie podobnych, ale strukturalnie odmiennych plików binarnych przetrwała do dziś. Twórcy malware’u nadal muszą chronić swoje pliki binarne przed najprostszymi technikami detekcji (takimi jak metody sygnaturowe). Ten ruchomy cel dla producentów oprogramowania antywirusowego stanowi część zabawy w kotka i myszkę, której napastnicy i obrońcy oddają się po dziś dzień.

Dlaczego zatem sprawdzanie prewalencji działa tak dobrze? Wszystko sprowadza się do „czystych” plików. Legalne oprogramowanie, którego używają nasi klienci, jest dość dobrze znane. A my nieustannie wyszukujemy w internecie nowe, „czyste” programy, które możemy dodać do listy zaufanych plików binarnych. Ponadto wiele legalnych plików jest podpisanych przez zaufanych dostawców, co ułatwia wciąganie ich na białą listę. Ten zbiór plików „znanych jako czyste” zmienia się dość rzadko. Z drugiej strony, codziennie obserwujemy istną powódź nowych złośliwych plików binarnych (liczonych w dziesiątkach tysięcy). Każdy plik, który nie został jeszcze zaliczony do zbioru „czystych” lub „złośliwych”, jest po prostu uważany za nieznany, a im jest rzadszy, tym większe prawdopodobieństwo, że jest złośliwy. Analiza behawioralna punktów końcowych bardzo często to potwierdza.

Dla przykładu, według statystyk generowanych przez wewnętrzne systemy F-Secure, które monitorują znane zagrożenia, w przypadkowej próbce złośliwych programów znalezionych w pierwszych czterech miesiącach 2013 roku, 99,7 proc. zagrożeń było rzadko napotykanych przez naszych użytkowników.

Jak się zapewne domyślasz, sprawdzanie prewalencji ma równie duże znaczenie, jak blokowanie specyficznego typu plików binarnych używanych w zaawansowanych atakach ukierunkowanych. Wykorzystując kombinację badań prewalencji i analizy behawioralnej, zwykle dobrze sobie radzimy z rzeczywistymi zagrożeniami.

Autorem tekstu jest Andy Patel.

Oceń artykuł

0 głosów

1 komentarzy

[…] Nawet najprostsze wyszukiwania chmurowe są bardzo skuteczne. Systemy back-endu mają dostęp do pełnej bazy próbek, a także do informacji i metadanych zbieranych od wszystkich użytkowników naszego oprogramowania. Samo urządzenie końcowe nie miałoby dostępu do tych dodatkowych informacji. Kwerenda chmurowa umożliwia przekazanie ich do programu klienckiego, gdzie mogą zostać wykorzystane przez poszczególne komponenty ochronne. Dobrym przykładem jest sprawdzanie potencjalnej szkodliwości plików za pomocą wskaźnika prewalencji. […]

Polubienie

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj / Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj / Zmień )

Zdjęcie na Google+

Komentujesz korzystając z konta Google+. Wyloguj / Zmień )

Connecting to %s

Może Ci się też spodobać

%d blogerów lubi to: