Intezer analizē atkārtoti izmantoto kodu, lai efektīvi atšķirtu likumīgo un ļaunprātīgo

Darbs ar simtiem nezināmu failu un daudziem viltus pozitīviem failiem, atmiņas analīzes veikšana un aizsardzība pret bezfailu ļaunprātīgu programmatūru ir dažas no lielākajām problēmām, ar kurām organizācijas šodien saskaras.. Intezer Analyze ™ nodrošina ātru ļaunprātīgas programmatūras atklāšanu un analīzi, sadalot katra nezināmā faila kodu un salīdzinot tā “gēnus” ar visu iepriekš redzēto kodu - gan likumīgu, gan ļaunprātīgu.

Lūdzu, pastāstiet mums nedaudz par savu pieredzi un pašreizējo amatu Intezer.

Pirms Intezera dibināšanas 2015. gadā es biju Izraēlas Aizsardzības spēku CERT (incidentu reaģēšanas grupas) vadītājs, kur es katru dienu strādāju ar valsts sponsorētiem uzbrukumiem. Manos pienākumos ietilpa reaģēšana uz šiem uzbrukumiem, kriminālistika, ļaunprātīgas programmatūras analīze un tā tālāk.

Kādi ir mūsdienu lielākie kiberdrošības draudi un kādi ir lielākie izaicinājumi, lai identificētu šos draudus pirms uzbrukuma?

Lielākie draudi ir kiberuzbrukumi, kas nerada troksni.  Kiberuzbrukumi, kas ir tik zaglīgi, ka nerada nekādas anomālijas vai dīvainu izturēšanos, tāpēc viņi spēj izvairīties no atklāšanas, izmantojot lielāko daļu šodien pieejamo risinājumu. Šajos ārkārtīgi slepenajos uzbrukumos ir iekļauti bezfailu ļaunprogrammatūras un atmiņas atmiņā uzbrukumi.

Kas ir bezfaila kods / ļaunprātīga programmatūra?

Uzbrukumi bez failiem ir diezgan sarežģīti. Kad kāds jums nosūtīs failu, jūs to redzēsit uz darbvirsmas un diska. Tomēr, ir veidi, kā uzbrucēji var palaist koda gabalus tieši atmiņā, lai jūs neredzētu jebkāda veida failus. Šāda veida ļaunprātīgu “bezfailu” kodu dažreiz piegādā ar “pilinātāja” kravas failu, kurš tiek izdzēsts, tiklīdz šis ļaunprātīgais kods tiek palaists atmiņā..


Kādu tehnoloģiju esat izstrādājuši, lai aizsargātu pret šiem zaglīgajiem uzbrukumiem?

Intezer Analyze ™ var gan identificēt, gan analizēt kiberdraudus neatkarīgi no tā, kā fails var parādīties saistībā ar jūsu tīkla pašreizējo rīcību. Mūsu pieeja nav aplūkot faila izturēšanos, ko var apmānīt vai krāpīt, bet lai apskatītu faila izcelsmi. Tātad, pat ja jums ir šī ļoti slepenā ļaunprogrammatūra, kas nerada troksni, mēs to tomēr varētu atklāt, izsekojot tā koda izcelsmei.

Lūdzu, izskaidrojiet terminoloģiju “DNS” un “gēns” un savas “koda genoma datu bāzes” izmantošanu Intezer Analyze ™ kontekstā..

Mūsu pieeja faktiski ir ļoti līdzīga reālās dzīves DNS kartēšanai. Mēs varam paņemt jebkuru failu vai programmatūru, kas darbojas jūsu organizācijā, un sadalīt to daudzos gabalos binārā koda, ko mēs saucām par “gēniem”. Pēc tam mēs meklējam un identificējam, kur mēs pagātnē esam redzējuši katru no šiem gēniem. Piemēram, ja jums ir fails, par kuru neko nezināt, mēs varam jūs brīdināt, kad redzam koda gabalu, kas tika atkārtoti izmantots no zināmām ļaunprātīgām programmatūrām vai zināmiem draudu dalībniekiem. Tātad ne tikai mēs varam noteikt, vai fails ir labs, vai slikts, bet vairumā gadījumu mēs varam noteikt, kurš ir atbildīgs par noteiktu kiberuzbrukumu.

Intezer analizē atkārtoti izmantoto kodu, lai efektīvi atšķirtu likumīgo un ļaunprātīgo

Kādas ir priekšrocības, ja spējat identificēt ļaunprātīgā koda avotu?

Divi galvenie iemesli. Viens ir tas ja jūs zināt, no kurienes radās programmatūra, pat ja tas neko īpašu nedara, bet tomēr to nāca no noteikta draudu dalībnieka, ir pamatoti secināt, ka tas ir slikts fails.

Otrkārt, tas var palīdzēt jums saprast, ar ko jūs nodarbojaties. Piemēram, ja jūs zināt, ka jums ir darīšana ar APT vai progresīvu draudu dalībnieku, pati reakcija būtu ievērojami atšķirīga nekā tad, ja jūs darītu tikai ar parastu interneta krāpniecību. Tāpēc koncentrēšanās uz atbildes paātrināšanu ir ļoti nozīmīga vērtība, ko iegūstat, izprotot koda izcelsmi failā.

Tātad, jūs pastāvīgi analizējat failus un pievienojat to genoma datu bāzei, jo tiek atklāti jauni draudi?

Pareizi. Ideja ir izveidot šo milzīgo datu bāzi, kurā ietverti visu likumīgo un ļaunprātīgās programmatūras kodu kopu gēni, lai mēs varētu atklāt koda atkārtotu izmantošanu un koda līdzības nezināmos vai aizdomīgos failos. Tāpat kā Google katru dienu jāindeksē arvien vairāk vietņu, mums katru dienu jāindeksē vairāk programmatūras un vairāk ļaunprātīgas programmatūras, tā mūsu datu bāze nepārtraukti aug.

Jūs zināt, pārsteidzošs ir tas, ka visi atkārtoti izmanto kodu. Pat tad, kad Microsoft izveido jaunu produktu, viņi atkārtoti izmanto kodu. Tātad, programmatūra patiešām ir attīstīta gan likumīgos, gan ļaunprātīgos gadījumos.

Tieši šī koncepcija padara mūsu tehnoloģiju tik efektīvu - pat pieticīgai datu bāzei, kas neietver visus draudus vai visu programmatūru pasaulē, ir milzīga vērtība.

Vai tad jūs varat noteikt nulles dienas uzbrukumus?

Pilnīgi. Patiesībā, Nulles dienas uzbrukumi ir mūsu iecienītākā vieta, jo šie sarežģītie draudi ir tik slepeni, ka viņiem izdodas apiet šodienas risinājumus nākamās paaudzes. Iedomājieties, ka esat sarežģīts draudu aktieris, kurš apmēram desmit gadus ir pavadījis, izstrādājot jūsu kodu ļaunprātīgai programmatūrai un kiberuzbrukumiem. Jūs patiešām nevarat iemest miskasti desmitiem gadu un katru reizi sākt no nulles.

Ļoti labs piemērs ir WannaCry - visu laiku bēdīgākā ransomware, kas pagājušajā gadā inficēja miljoniem datoru visā pasaulē. Mēs bijām pirmais uzņēmums pasaulē, kurš identificēja šos draudus kā Ziemeļkorejas izcelsmi. Tas ir tāpēc, ka WannaCry iekšpusē mēs atradām koda gabalus, DNS, kurus mēs atpazinājām kā kodus, kuriem bija tikai radās iepriekšējā Ziemeļkorejas ļaunprogrammatūrā. WannaCry noteikšana, lai arī ļaunprātīgi atkārtoti izmantots kods ir mūsu jaunievedums.

Vai nav iespējams, ka draudi, kas nav no Ziemeļkorejas, varētu atkārtoti izmantot WannaCry kodu, zinot, ka koda analīze norāda uz Ziemeļkorejas vainu?

Tas ir lielisks jautājums! Lai atkārtoti izmantotu Ziemeļkorejas ļaunprātīgas programmatūras kodu, otram uzbrucējam būs nepieciešams faktiskais AVOTS KODS.  Bināro kodu ir praktiski neiespējami atkārtoti izmantot, tāpēc viņiem vajadzēs ielauzties Ziemeļkorejas valdībā, nozagt savu avota kodu un pēc tam to atkārtoti kompilēt ar modifikācijām. Tātad, šis scenārijs ir ļoti, ļoti maz ticams.

Vai varat mums parādīt Intezer Analyze ™ DNS kartēšanas darbības piemēru?

Šajā gadījumā ir aizdomīgs fails, kas apgalvo, ka tas ir Windows fails. Tūlīt pēc tam, kad esmu augšupielādējis failu un analizējis tā DNS, jūs varat redzēt, ka mēs esam ieguvuši 462 gēnus vai niecīgus koda gabalus.

Intezer analizē atkārtoti izmantoto kodu, lai efektīvi atšķirtu likumīgo un ļaunprātīgo

Noklikšķiniet šeit, lai skatītu interaktīvu demonstrāciju.

Ekrāna labajā pusē atrodas maģija, un notiek DNS kartēšana. Pirmkārt, mēs neredzam atsevišķu Microsoft gēnu, kas nozīmē, ka neviens no šī faila kodiem nekad nav ticis izmantots Microsoft produktā. Tas mums uzreiz saka, ka tas nevar būt Windows fails. Mēs arī atzīstam, ka gandrīz 80% no šī faila koda ir redzēti iepriekšējos WannaCry variantos. Tagad visinteresantākais ir tas, ka gandrīz 6% koda jeb 26 gēnu iepriekš tika izmantoti Lācaram - Ziemeļkorejas draudu aktierim, kurš 2009. gadā uzlauza Sony. Tātad, jūs redzat, ka pat gadus pēc uzbrukuma sākotnējais ļaunprātīgais kods joprojām tiek izmantots, lai izveidotu jaunu ļaunprātīgu programmatūru.

Intezer analizē atkārtoti izmantoto kodu, lai efektīvi atšķirtu likumīgo un ļaunprātīgo

Kā Intezer Analyze ™ samazina viltus pozitīvo rezultātu, atklājot ļaunprātīgu programmatūru?

Tā kā mūsu genoma datu bāzē ir ne tikai slikts kods, bet arī likumīgs kods, analizējot koda atkārtotu izmantošanu un koda līdzības, mēs varam noteikt, vai fails ir labs vai slikts. Piemēram, ja jums ir Microsoft fails, kuru cits risinājums vai drošības sistēma savas izturēšanās dēļ var uzskatīt par aizdomīgu, Intezer to atzīs par likumīgu, jo 90% no tā koda ir redzami citos Microsoft produktos. Tātad, mēs samazinām daudz nepatiesu pozitīvu rezultātu no citām drošības sistēmām, jo ​​mēs tikko identificējām DNS kā uzticamu pārdevēju.

Es vienmēr saku, ka Skype pamatā ir vīruss, kas atgādina spiegu rīku, jo tas reģistrē jūsu taustiņsitienus un tajā ir kamera. Tātad, lai gan Skype izskatās slikti, mēs zinām, ka tas ir labs, jo kods ir cēlies no Microsoft un pieder Microsoft. Vislabākā analoģija ir redzot, kā kāds uz ielas nēsā masku un nēsā pistoli, kurš izskatās un bīstami uzvedas. Tomēr, ja jūs paņemat viņa DNS un tas sakrīt ar CIP aģentu, tad jūs varat saprast, ka viņš patiesībā ir labs.

Vai jums ir kāds ieskats par to, kā martā piedzīvoja izpirkuma maksas uzbrukums Atlantai?

Jā, Atlanta kiberuzbrukuma gadījumā viņi izmantoja ransomware ar nosaukumu SamSam, kas koplietoja kodu ar citiem ransomware failiem. Šis ekrānuzņēmums parāda, kā mēs šo failu atzinām par ļaunprātīgu, identificējām avotu un kā mūsu DNS kartēšana varēja novērst šo uzbrukumu.

Intezer analizē atkārtoti izmantoto kodu, lai efektīvi atšķirtu likumīgo un ļaunprātīgo

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me