Vírusírtó Blog

MI állíthatja meg a kártevőket?

2019.11.22. 15:13 G Data

deepray-kicsi.jpgAz idei év első felében csupán egyetlen kártevőnek, az Emotet trójainak 30 ezer különböző variánsát fedezték fel a víruslaboratóriumok. A bűnözők nem magán a kártevőn, hanem annak csomagolásán változtatnak ilyen sokszor, de ez éppen elég ahhoz, hogy a hagyományos vírusvédelmi technológiák már ne tudják tartani a lépést. Újabb paradigmaváltásra van tehát szükség, és a megoldás a mesterséges intelligencia lehet.


Egy mai trójai olyan összetett kódból áll, amelyet általában évekig fejlesztenek a bűnözők. Számukra ez a befektetés csak akkor térül meg, ha az elkészült kártevőt sokszor és hatékonyan tudják úgy újracsomagolni, hogy az egyes verziókat a vírusirtó szoftverek már ne ismerjék fel. Folyamatos harcról van szó a két fél között: a védelmi szoftverek megtanulják felismerni az új verziót, mire a bűnözők azt gyorsan módosítják egy kicsit, és még újabbat adnak ki.


Az eredmény pedig, hogy rengeteg – akár több tízezer változat – születik meg egyetlen kártevőből, a vírusvédelmi cégek pedig nehezen tartanak lépést a sok különböző mutációval, mivel azokat mind fel kell dolgozniuk. És ugyan az elmúlt 10 évben egy sor olyan védelmi technológiát (például a heurisztikus és a magatartás-alapú felismerést) mutattak be, amelyek segítik a még ismeretlen változatok felismerését, ezek mégsem bizonyultak teljesen elegendőnek.


A bűnözők így jelenleg ugyanazt a kódmagot csomagolják be különböző titkosításokkal újra és újra, de maga a kártevő már csak a megtámadott számítógép memóriájában kerül kibontásra. A G DATA által fejlesztett, DeepRay névre keresztelt új mesterséges intelligencia pedig pontosan azt ismeri fel jó eséllyel, hogy a számítógépre érkező kód be van-e csomagolva ilyen „álruhába”. Természetesen néha legitim szoftverek is használnak a kártevőkhöz hasonló csomagolási technikákat, például a másolásvédelem érdekében. Ezért egy álcázási technika észlelése után a DeepRay a számítógép memóriájában alapos analízisnek veti alá a kódot, és megpróbálja az ismert kártevőcsaládok kódmagját megtalálni.


Ezzel a fejlesztéssel a bűnözők jelenlegi „üzleti modelljét” tesszük gazdaságtalanná. Az „álruha” cserélgetése ugyanis a támadók számára gyors megoldást jelent, amely nem jár nagy költségekkel. A hagyományos, szignatúrákon alapuló védelmi szoftverek gyártói számára ugyanakkor óriási energiát és költséget igényel minden egyes álcázási technikát egyesével felismerni.


A DeepRay technológiát valamivel fél évvel ezelőtt mutattuk be, azóta minden windowsos termékünk részét képezi. Most pedig az egyik legaktívabb trójai, az Emotet példáján illusztráljuk, hogy a mesterséges intelligencia milyen hatékony az új variánsok megállításában.


Egy tipikus napon a G DATA víruslaboratóriuma az Emotet 16 darab új variánsát azonosítja, majd azonnal teszteljük, hogy más gyártók szignatúraalapú védelme felismeri-e ugyanezeket az adott időpontban. Az eredményeket az alábbi táblázat mutatja be:


deepray-tablazat-kicsi.jpg

A táblázatból látszik, hogy az első konkurensünk felismerte az új variánsok felét – 16-ból 8 darabot. Az is kiderül, hogy a szignatúra az adott napon délelőtt 11 óra körül került kibocsátásra, majd körülbelül 16 óráig tartotta magát – késő délutánra azonban az Emotet ismét előnybe került. A második és a harmadik gyártó viszont az új variánsok közül egyetlenegyet sem ismert fel az adott időpontban. A negyedik gyártó pedig egyetlen egy új variánst állított meg. Az utolsó, ötödik gyártó az új variánsoknak szintén a felét ismerte fel, egy részüket délelőtt, egy más részüket pedig délután, a kettő között lyukkal.


Az 5 gyártó együttesen az új variánsok 82 százalékát volt képes blokkolni, de közülük egyetlen sem teljesített 50% felett, ezalatt a DeepRay mesterséges intelligencia az összes új variánst felismerte.


A DeepRay a felismeréshez neurális hálózatokat használ, amelyek betanításához a G DATA hardveres háttér-infrastruktúrát épített ki. A mélyebb elemzésre csak akkor kerül sor, ha a védelem érzékeli valamilyen csomagolási technika (álruha) jelenlétét, és erre már a védett számítógép memóriájában kerül sor.


A technológiát folyamatosan fejlesztjük, de a rendszer hatékonyságát jól mutatja, hogy a kezdeti algoritmusokhoz fél év alatt csak egyetlen alkalommal kellett hozzányúlni. Ha a mesterséges intelligencia beválik, előbb-utóbb más gyártók is követni fogják a példánkat, ez jelentheti majd a vírusvédelmi megoldások új generációját.

Tetszett a bejegyzés? Lájkolj minket a Facebookon!

Írj kommentet

A bejegyzés trackback címe:

https://virusirto.blog.hu/api/trackback/id/tr4815320330

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.

Értesülj az új átverésekről a Facebookon!

Címkék

adatbiztonság (1) adathalászat (10) adatvédelem (36) Adobe (1) alkalmazás (13) amazon (1) android (36) android market (1) anonymus (1) apple (8) arcfelismerés (2) arcfelismerési technológia (1) átverés (41) Audi (1) bank (1) BankGuard (1) bankkártya (4) biometrikus azonosító (1) bitcoin (1) biztonság (21) blizzard (1) botnet (1) bouncer (1) celeb (1) cenzúra (1) chat (1) Chrome (1) cnn (1) csalás (8) csoport (1) cyberbullying (1) ddos (1) dnt (1) domén (1) e-book (1) e-mail (1) email (4) emoji (1) engedély (1) esemény (1) EU (1) europol (3) facebook (129) Facebook (10) Facebook hangulatjelek (1) fbi (3) felhő (1) felmérés (17) féreg (2) fiók (1) Flame (1) foci (1) frissítés (1) gdata (1) geotagging (2) Gmail (1) google (9) gps (1) gyermek (2) G Data (35) G data (3) g data (6) G Data BankGuard (1) G Data jelszómenedzser (1) G Data TotalProtection (1) hack (2) hacker (36) híresség (1) hoax (1) Hotmail (1) hozzáférés (2) hummer (1) idővonal (2) információbiztonság (2) instagram (4) intel (1) internet (4) internetbiz (1) internetbiztonság (62) ios (1) iOS (2) ipari kémkedés (1) jelszó (2) Jelszókezelő (1) jogok (3) kártevő (47) katasztrófa (1) kémkedés (1) kémprogram (1) keresés (1) kéretlen program (1) kiberbűnözés (2) kiberháború (3) kínai közösségi média (1) komment (1) közösségi média (1) közösségi portál (1) kriptobányászat (1) lájk (1) like (4) Linux (1) linux (1) mac (1) macintosh (1) maya (1) média (1) megosztás (6) metaadat (1) Microsoft (2) mobiltelefon (5) napló (1) Nigéria (3) okosóra (1) okostelefon (2) olimpia (1) online (3) Online bankolás (1) online bankolás (1) Ötven Cent Csoport (1) password (1) phising (1) Pokémon Go (1) Popcorn TIme (1) poszt (1) ransomware (13) rendőrség (2) rootkit (1) sérülékenység (9) Skype (1) skype (2) smart tv (5) spam (10) személyi (3) születésnap (1) szülői felügyelet (1) tartalomszűrés (1) tartózkodási hely (1) ThyssenKrupp (1) törlés (1) torrent (3) trójai (19) twitter (1) update (1) usb (5) vásárlás (1) védelem (2) végítélet (1) videó (1) vírus (2) virusirtó (1) vírusirtó (12) VirusTotal (1) visszaélés (1) Vista (1) vízjel (1) vodafone (1) warcraft (1) Weibo (1) whatsapp (1) wifi (3) Windows (2) windows (1) wordpress (1) World of Warcraft (1) WoW (1) Yahoo (1) Yahoo! (1) zaklatás (1) Zeus (1) zsaroló kártevő (5) Címkefelhő