비디오: ë¶í© ì ë¤ë¤ ê°ìí~ê°ìí ëëì²´ ë길ë (십월 2024)
범죄 현장에서 도망친 사람은 자연스럽게 대응하는 경찰관의 관심을 끈다. 송곳니 유닛이 근처의 쓰레기 수거통에 숨어있는 사람을 발견하면 경찰은 분명히 몇 가지 질문에 대한 답변을 원할 것입니다. 인텔 연구원 로드리고 브랑코 (왼쪽, 왼쪽 그림, 닐 루벤 킹)와 가브리엘 네그리 라 바르보사도 같은 종류의 사고를 악성 코드 탐지에 적용했습니다. Black Hat 2014 컨퍼런스에서 그들은 탐지를 회피하는 데 사용되는 기술을 기반으로 맬웨어를 탐지하는 인상적인 사례를 발표했습니다.
실제로 두 사람은 이전에 Black Hat에서이 기술을 발표했습니다. 브랜 코는“AV 산업은 우리의 아이디어 (유병률이 입증 된)를 사용하여 맬웨어 방지 범위를 크게 향상시킬 것으로 기대했다”고 말했다. "그러나 아무것도 바뀌지 않았습니다. 한편, 우리는 탐지 알고리즘을 개선하고 버그를 수정했으며 연구를 1, 200 만 개 이상의 샘플로 확장했습니다."
브랜 코는“우리는 인텔을 위해 일하지만 보안 검증 및 하드웨어 보안 연구를한다. "우리는 인텔 보안 담당자와의 모든 훌륭한 토론에 감사합니다. 그러나이 프레젠테이션에서 실수 나 나쁜 농담은 전적으로 우리의 잘못입니다."
탐지 회피 탐지
일반적인 맬웨어 방지 제품은 알려진 맬웨어에 대한 서명 기반 탐지, 맬웨어 변형에 대한 휴리스틱 탐지 및 알려지지 않은 행동 기반 탐지의 조합을 사용합니다. 좋은 사람들은 알려진 맬웨어와 악의적 인 행동을 찾고, 나쁜 사람들은 자신을 위장하고 탐지를 피하려고합니다. Branco와 Barbosa의 기술은 이러한 회피 기술에 초점을 맞추고 있습니다. 이번에는 50 개의 새로운 "비방 비 특성"을 추가하고 1, 200 만 개가 넘는 샘플을 분석했습니다.
탐지를 피하기 위해 맬웨어에는 가상 컴퓨터에서 실행중인 것을 감지하고 실행하지 않는 코드가 포함될 수 있습니다. 디버깅이나 분해가 어려워 지도록 설계된 코드가 포함될 수 있습니다. 또는 실제로 수행중인 작업을 모호하게하는 방식으로 간단하게 코딩 될 수 있습니다. 이들은 아마도 연구원들이 추적 한 가장 이해하기 쉬운 회피 기술 일 것입니다.
연구 결과 및 유병률 데이터베이스는 다른 맬웨어 연구자들이 자유롭게 이용할 수 있습니다. Branco는“기본 악성 코드 샘플 데이터베이스는 연구원들이 분석 결과를 볼 수있을뿐만 아니라 새로운 분석 기능을 개발하고 플러그인 할 수있는 개방형 아키텍처를 가지고 있습니다. 실제로 새로운 방식으로 데이터를 분석하려는 연구원은 Branco 또는 Barbosa에게 이메일을 보내 새로운 분석을 요청하거나 원시 데이터를 요청할 수 있습니다. 분석에는 약 10 일이 걸리고 나중에 데이터를 구문 분석하는 데 3 일이 더 걸리므로 즉시 처리 할 수 없습니다.
다른 회사에서 이러한 종류의 분석을 활용하여 맬웨어 탐지를 개선합니까? 아니면 인텔에서 나온 것으로 생각하고 인텔 자회사 인 McAfee에서 확장했다고 생각하기 때문에 위험에 빠질까요? 나는 그들이 진지하게 봐야한다고 생각합니다.
