Intezer analitza el codi reutilitzat per distingir eficaçment el legítim i el maliciós

El fet de tractar amb centenars d’arxius desconeguts i molts falsos positius, realitzar anàlisis de memòria i protegir-se contra programari maliciós sense fitxer representen alguns dels reptes més grans que tenen les organitzacions a l’actualitat. Intezer Analyze ™ proporciona una ràpida detecció i anàlisi de programari maliciós mitjançant la descomposició del codi de tots els fitxers desconeguts i la comparació dels seus “gens” amb tots els codis vistos anteriorment, legítims i maliciosos..

Si us plau, expliqueu-nos una mica els vostres antecedents i posició actual a Intezer.

Abans de fundar Intezer el 2015, vaig ser cap del CERT de la Força de Defensa israeliana (Equip de resposta a incidents) on vaig tractar diàriament atacs patrocinats per la nació. Les meves funcions incloïen respondre a aquests atacs, forenses, anàlisis de programari maliciós, etc..

Quines són les amenaces ciberseguretat més importants actuals i quins són els majors reptes per identificar aquestes amenaces abans d’atacar-les?

Les amenaces més importants són aquells ciberataques que no generen sorolls.  Els ciberataques tan furtius que no presenten cap anomalia ni comportaments estranys, de manera que són capaços d’evitar la detecció per la majoria de les solucions disponibles actualment. En aquests atacs extremadament furtius s’inclouen programes maliciosos i atacs a la memòria sense fil.

Què és codi sense malware / malware?

Els atacs sense fila són força complexos. Quan algú t’enviï un fitxer, el veuràs a l’escriptori i al disc. malgrat això, Hi ha maneres per als atacants d’executar directament trossos de codi de manera que no veieu cap tipus de fitxer. Aquest tipus de codi “sense fil” malintencionat a vegades es lliura a través d’un fitxer de càrrega útil “dropper” que s’elimina un cop s’executa aquest codi maliciós a la memòria.

Quina tecnologia heu desenvolupat per protegir-vos d’aquests atacs furtius?

Intezer Analyze ™ pot ​​identificar i analitzar amenaces cibernètiques, independentment de com pugui aparèixer un fitxer en relació amb el comportament actual de la vostra xarxa.. El nostre plantejament no és mirar com es comporta un fitxer, que es pot enganyar o fer malbé, però mirar els orígens de l’arxiu. Així que, fins i tot si teniu aquest malware molt furtiu que no genera cap soroll, encara el detectarem traçant els orígens del seu codi..

Si us plau, expliqueu l’ús de la terminologia “ADN” i “gen” i la vostra “base de dades del genoma del codi” en el context d’Intezer Analyse ™.

El nostre enfocament és realment molt similar al mapeig d’ADN de la vida real. Podem agafar qualsevol fitxer o programari que estigui funcionant a l’organització i disseccionar-lo en molts petits trossos de codi binari que anomenem “gens”. Després busquem i identifiquem on hem vist cadascun d’aquests gens en el passat. Per exemple, si teniu un fitxer del qual no sabeu res, us podem alertar quan veiem un tros de codi que es va reutilitzar de programari maliciós conegut o d’actors d’amenaça coneguts. Així, no només podem determinar si un fitxer és bo o dolent, sinó que, en la majoria dels casos, podem identificar qui és el responsable d’un determinat ciberataque.

Quins avantatges es pot identificar la font del codi maliciós?

Dos motius principals. Una és això si sabeu d’on es va originar un programari, fins i tot si no fa res d’especial, però tot i així prové d’un cert actor d’amenaça, és raonable concloure que es tracta d’un fitxer incorrecte.

En segon lloc, pot ajudar-vos a comprendre de què tracteu. Per exemple, si sabeu que es tracta d’un APT o d’un actor d’amenaça avançada, la resposta en sí seria molt diferent que si es tractés només d’una estafa a Internet habitual. Per tant, centrar-se en i accelerar la resposta és un valor molt significatiu que obteniu en comprendre els orígens del codi del fitxer.

Per tant, estàs analitzant constantment fitxers i afegint a la base de dades del Genoma a mesura que es detecten noves amenaces?

Correcte. La idea és crear aquesta enorme base de dades de tots els gens de tots els trossos de codi del món tant de programari legítim com maliciós per tal que puguem detectar la reutilització del codi i les semblances del codi en fitxers desconeguts o sospitosos. Igual que Google ha d’indexar cada cop més llocs web cada dia, hem d’indexar cada dia més programari i més programari maliciós, així que la nostra base de dades està en constant creixement.

Ja saps, el més increïble és que tothom reutilitza el codi. Fins i tot quan Microsoft crea un producte nou, reutilitzen codi. Tan, el programari és realment evolutiu tant en casos legítims com maliciosos.

Aquest concepte fa que la nostra tecnologia sigui tan eficaç, fins i tot una modesta base de dades que no inclou totes les amenaces ni tot el programari del món té un gran valor..

Aleshores, podeu identificar atacs de Zero Day?

Absolutament. De fet, Els atacs Zero Day són el nostre punt dolç ja que aquestes amenaces tan sofisticades són tan furtives que aconsegueixen deixar de banda les solucions de propera generació d’avui.. Imagineu-vos que sou un sofisticat actor d’amenaça que ha passat uns deu anys desenvolupant el vostre codi de programari maliciós i ciberatacs. No podeu llançar desenes d’anys de desenvolupament a les escombraries i començar de zero cada vegada.

Un bon exemple és WannaCry, el ransomware més notori que mai s’ha creat que l’any passat va infectar milions d’ordinadors arreu del món. Vam ser la primera empresa del món a identificar aquesta amenaça com a originària de Corea del Nord. Això es deu al fet que hem trobat trossos de codi, ADN, a WannaCry que hem reconegut com a codi que tenia només s’originà en programari maliciós anterior de Corea del Nord. Detectar WannaCry encara que sigui un codi reutilitzat maliciós és la nostra innovació.

No és possible que un actor amenaçador que no sigui de Corea del Nord pogués reutilitzar el codi de WannaCry, sabent que l’anàlisi del codi donaria la culpa a Corea del Nord?

Aquesta és una gran pregunta. Per reutilitzar el codi de malware nord-coreà, l’altre atacant necessitaria el CODI DE FONT real.  És pràcticament impossible reutilitzar codi binari, així que haurien de piular-se al govern de Corea del Nord, robar el seu codi font i, a continuació, recompilar-lo amb les seves modificacions. Així doncs, aquest escenari és molt, molt poc probable.

Pot mostrar-nos un exemple de cartografia d’ADN d’Intezer Analyze ™ en acció?

A continuació, es mostra el cas d’un fitxer sospitós, que diu que és un fitxer Windows. Just després de penjar el fitxer i analitzar el seu ADN, podeu veure que hem extret 462 gens o trossos diminuts de codi.

Feu clic aquí per obtenir una demostració interactiva.

El costat dret de la pantalla és el lloc on succeeix la màgia i té lloc el mapatge de l’ADN. Primer, no veiem un sol gen de Microsoft, és a dir, no s’ha utilitzat mai cap codi d’aquest fitxer en un producte Microsoft. Això ens indica de seguida que no pot ser un fitxer de Windows. També reconeixem que gairebé el 80% del codi d’aquest fitxer s’ha vist en variants anteriors de WannaCry. El més interessant aquí és que gairebé el 6% del codi, o 26 gens, abans es feien servir a Lazarus, un actor nord-coreà d’amenaça que va piratejar Sony el 2009. Així, doncs, veieu que fins i tot anys després d’un atac, el codi maliciós original encara s’utilitza per crear nous programes maliciosos.

Com redueix Intezer Analyze ™ falsos positius en detectar programari maliciós?

Com que la nostra base de dades del genoma conté no només un codi dolent, sinó també un codi legítim, podem identificar si un fitxer és bo o dolent analitzant la reutilització del codi i les semblances del codi. Per exemple, si teniu un fitxer de Microsoft que una altra solució o sistema de seguretat pugui considerar sospitós pel seu comportament, Intezer el reconeixerà com a legítim perquè el 90% del seu codi s’ha vist en altres productes Microsoft. Tan, reduïm molts dels falsos positius d’altres sistemes de seguretat perquè acabem d’identificar l’ADN com el d’un venedor de confiança.

Sempre dic que Skype és bàsicament un virus que s’assembla a una eina d’espionatge ja que registra les teves pulsacions i té una càmera. Tan, mentre que Skype sembla que es comporta malament, sabem que és bo ja que el codi prové i pertany a Microsoft. La millor analogia és veure algú al carrer que porta una màscara i porta una pistola, que mira i es comporta perillosament. Tanmateix, si preneu el seu ADN i coincideix amb un agent de la CIA, podreu entendre que realment és bo.

Voleu conèixer la font de l’atac de ransomware a Atlanta el març?

Sí, en el cas del ciberataque d’Atlanta, van utilitzar el ransomware anomenat SamSam que compartia codi amb altres fitxers de ransomware. Aquesta captura de pantalla mostra com vam reconèixer aquest fitxer com a maliciós, com vam identificar l’origen i com el nostre mapatge d’ADN podria haver impedit aquest atac.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map