Nem szójáték

2019.12.01. 06:00

MI állíthatja meg a kártevőket?

Egy mai trójai olyan összetett kódból áll, amelyet általában évekig fejlesztenek a bűnözők.

Forrás: Shutterstock

Számukra ez a befektetés csak akkor térül meg, ha az elkészült kártevőt sokszor és hatékonyan tudják úgy újracsomagolni, hogy

az egyes verziókat a vírusirtó szoftverek már ne ismerjék fel.

Folyamatos harcról van szó a két fél között: a védelmi szoftverek megtanulják felismerni az új verziót, mire a bűnözők azt gyorsan módosítják egy kicsit, és még újabbat adnak ki.

Az eredmény pedig, hogy rengeteg – akár több tízezer változat – születik meg egyetlen kártevőből, a vírusvédelmi cégek pedig nehezen tartanak lépést a sok különböző mutációval, mivel azokat mind fel kell dolgozniuk. És ugyan az elmúlt 10 évben egy sor olyan védelmi technológiát (például a heurisztikus és a magatartás-alapú felismerést) mutattak be, amelyek segítik a még ismeretlen változatok felismerését, ezek mégsem bizonyultak teljesen elegendőnek.

A bűnözők jelenleg ugyanazt a kódmagot csomagolják be különböző titkosításokkal újra és újra, de maga a kártevő már csak a megtámadott számítógép memóriájában kerül kibontásra. A G DATA által fejlesztett, DeepRay névre keresztelt új mesterséges intelligencia pedig pontosan azt ismeri fel jó eséllyel, hogy a számítógépre érkező kódot becsomagolták-e ilyen „álruhába”.

Természetesen néha törvényes szoftverek is használnak a kártevőkhöz hasonló csomagolási technikákat, például a másolásvédelem érdekében. Ezért egy álcázási technika észlelése után a DeepRay a számítógép memóriájában alapos analízisnek veti alá a kódot, és megpróbálja az ismert kártevőcsaládok kódmagját megtalálni.

Ezzel a fejlesztéssel a bűnözők jelenlegi „üzleti modelljét” próbálja a biztonsági cég gazdaságtalanná tenni. Az „álruha” cserélgetése ugyanis a támadók számára gyors megoldást jelent, amely nem jár nagy költségekkel. A hagyományos, szignatúrákon alapuló védelmi szoftverek gyártói számára ugyanakkor óriási energiát és költséget igényel minden egyes álcázási technikát egyesével felismerni.

Egy példa, miként működik a DeepRay

A technológiát a német gyártó fél évvel ezelőtt mutatta be, azóta minden windowsos termékének részét képezi. Az egyik legaktívabb trójai, az Emotet példája illusztrálja, hogy a mesterséges intelligencia milyen hatékony az új variánsok megállításában.

Egy átlagos napon a G DATA víruslaboratóriuma az Emotet 16 darab új variánsát azonosítja, majd azonnal teszteli, hogy más gyártók szignatúraalapú védelme felismeri-e ugyanezeket az adott időpontban. Az eredményeket az alábbi táblázat mutatja be:

A táblázatból látszik, hogy az első gyártó felismerte az új variánsok felét – 16-ból 8 darabot. Az is kiderül, hogy a szignatúrát az adott napon délelőtt 11 óra körül bocsátották ki, majd körülbelül 16 óráig tartotta magát – késő délutánra azonban az Emotet ismét előnybe került.

A második és a harmadik gyártó viszont az új variánsok közül egyetlenegyet sem ismert fel az adott időpontban. A negyedik gyártó pedig egyetlen egy új variánst állított meg. Az utolsó, ötödik gyártó az új variánsoknak szintén a felét ismerte fel, egy részüket délelőtt, egy más részüket pedig délután, a kettő között lyukkal.

Az 5 gyártó együttesen az új variánsok 82 százalékát volt képes blokkolni, de közülük egyetlen sem teljesített 50% felett, míg a mesterséges intelligencia az összes új variánst felismerte.

A DeepRay a felismeréshez neurális hálózatokat használ, amelyek betanításához a G DATA hardveres háttér-infrastruktúrát épített ki. A mélyebb elemzésre csak akkor kerül sor, ha a védelem érzékeli valamilyen csomagolási technika (álruha) jelenlétét, és erre már a védett számítógép memóriájában kerül sor.

A technológiát a G DATA folyamatosan fejleszti, de a rendszer hatékonyságát jól mutatja, hogy a kezdeti algoritmusokhoz fél év alatt csak egyetlen alkalommal kellett hozzányúlni. Ha a mesterséges intelligencia beválik, előbb-utóbb más gyártók is követni fogják a németeket, ez jelentheti majd a vírusvédelmi megoldások új nemzedékét.

Hírlevél feliratkozás
Ne maradjon le a delmagyar.hu legfontosabb híreiről! Adja meg a nevét és az e-mail-címét, és mi naponta elküldjük Önnek a legfontosabb híreinket!