Video: IT Del - Keamanan Jaringan : Malware & Botnet Part 1 (Desember 2024)
Seseorang yang melarikan diri dari TKP secara alami menarik minat petugas yang menanggapi. Jika unit anjing menemukan seseorang yang bersembunyi di tempat sampah di dekatnya, polisi pasti ingin beberapa pertanyaan dijawab. Peneliti Intel, Rodrigo Branco (gambar di atas, kiri, dengan Neil Rubenking) dan Gabriel Negreira Barbosa telah menerapkan pemikiran yang sama untuk mendeteksi malware. Pada konferensi Black Hat 2014 mereka menyajikan kasus yang mengesankan untuk mendeteksi malware berdasarkan teknik yang digunakan untuk menghindari deteksi.
Sebenarnya, keduanya telah mempresentasikan teknik ini di Black Hat sebelumnya. "Harapan kami adalah bahwa industri AV akan menggunakan ide-ide kami (terbukti dengan angka prevalensi) untuk secara signifikan meningkatkan cakupan pencegahan malware, " kata Branco. "Tapi tidak ada yang berubah. Sementara itu, kami meningkatkan algoritme deteksi, memperbaiki bug, dan memperluas penelitian ke lebih dari 12 juta sampel."
"Kami memang bekerja untuk Intel, tetapi kami melakukan validasi keamanan dan riset keamanan perangkat keras, " kata Branco. "Kami berterima kasih atas semua diskusi hebat dengan para petugas keamanan Intel. Tetapi setiap kesalahan atau lelucon buruk dalam presentasi ini sepenuhnya merupakan kesalahan kami."
Mendeteksi Evasion Deteksi
Produk anti-malware tipikal menggunakan kombinasi deteksi berbasis tanda tangan untuk malware yang diketahui, deteksi heuristik dari varian malware, dan deteksi berbasis perilaku untuk yang tidak diketahui. Orang baik mencari malware yang dikenal dan perilaku jahat, dan orang jahat mencoba untuk menyamarkan diri mereka sendiri dan menghindari deteksi. Teknik Branco dan Barbosa berfokus pada teknik penghindaran ini untuk memulai; kali ini, mereka telah menambahkan 50 "karakteristik non-defensif" baru dan menganalisis lebih dari 12 juta sampel.
Untuk menghindari deteksi, malware mungkin menyertakan kode untuk mendeteksi bahwa malware itu berjalan di mesin virtual, dan jangan menjalankannya jika demikian. Ini mungkin termasuk kode yang dirancang untuk mempersulit proses debug atau pembongkaran. Atau mungkin hanya dikodekan sedemikian rupa untuk mengaburkan apa yang sebenarnya dilakukannya. Ini mungkin adalah teknik penghindaran yang paling mudah dipahami yang telah dilacak oleh para peneliti.
Hasil penelitian dan basis data prevalensi tersedia secara bebas untuk peneliti malware lainnya. "Basis data sampel malware yang mendasari memiliki arsitektur terbuka yang memungkinkan para peneliti tidak hanya untuk melihat hasil analisis, tetapi juga untuk mengembangkan dan menyambungkan kemampuan analisis baru, " jelas Branco. Bahkan, para peneliti yang ingin data dianalisis dengan cara baru dapat mengirim email Branco atau Barbosa dan meminta analisis baru, atau hanya meminta data mentah. Analisis ini memakan waktu sekitar 10 hari, dan penguraian data setelahnya membutuhkan tiga hari lagi, sehingga mereka tidak akan mendapatkan perubahan haluan segera.
Akankah perusahaan lain mengambil keuntungan dari analisis semacam ini untuk meningkatkan deteksi malware? Atau akankah mereka menolak karena mereka pikir itu berasal dari Intel dan oleh ekstensi dari anak perusahaan Intel McAfee? Saya pikir mereka harus melihatnya dengan serius.