Inginerii Kaspersky Lab, unul dintre cei mai mari producători de soluţii de securitate endpoint din lume, au patentat în Statele Unite ale Americii un...
kasperskyInginerii Kaspersky Lab, unul dintre cei mai mari producători de soluţii de securitate endpoint din lume, au patentat în Statele Unite ale Americii un sistem care ajută la detectarea fişierelor malware modificate cu ajutorul programelor de arhivare sau de criptare neidentificate până în prezent de către cercetători. Tehnologia este deja integrată în soluțiile de securitate ale companiei, atât pentru utilizatori individuali, cât şi pentru companii.

Programele de arhivare şi programele de criptare (care pot fi considerate a fi tot un tip de utilitare de arhivare) creează un fișier care include o versiune a programului inițial și codul necesar pentru a-l dezarhiva sau decripta.

Infractorii cibernetici folosesc aceste instrumente pentru a modifica fişierele malware, cu scopul de a face mai dificilă detectarea acestora de către soluțiile de securitate. Această tehnică le permite infractorilor să modifice fișierele binare ale unui program pentru a se sustrage de la scanarea efectuată de soluţiile de securitate. Chiar dacă baza de date antivirus a unui program de securitate cuprinde deja semnătura pentru mostra de malware inițială, acesta va fi în imposibilitatea de a detecta versiunea comprimată a programului dăunător.

Programele modificate cu ajutorul utilitarelor de arhivare populare pot fi detectate cu ajutorul unor reguli euristice, însă în cazul în care atacatorii şi-au construit propriul program de arhivare, cu ajutorul unui algoritm unic, detectarea ameninţării devine o sarcină mult mai dificilă. Tehnologia Kaspersky Lab nou-patentată asigură o metodă de analiză a fişierelor în urma căreia este creat un profil diferit pentru fiecare utilitar de arhivare nou, oferind o descriere generală a comportamentului acestuia. Ulterior, profilul permite soluției de securitate să detecteze malware-ul modificat cu ajutorul unui program de arhivare, bazându-se pe operaţiunile pe care acesta le efectuează atunci când este lansat.

Tehnologia funcţionează după cum urmează: iniţial, soluţia antivirus stabileşte – cu ajutorul unui set propriu de reguli – dacă fişierul suspect analizat a fost modificat cu ajutorul unui program de arhivare necunoscut; apoi, soluţia apelează la tehnologia patentată de Kaspersky Lab.

La rândul său, această tehnologie simulează executarea fișierului scanat și înregistrează toate operațiunile efectuate de codul responsabil pentru decriptarea și lansarea programului malware.

Aceste operațiuni sunt selectate și sunt supuse analizei pentru a crea tipare care descriu comportamentul arhivatorului. În etapa finală, pe baza datelor generate, este creat un profil, care poate fi utilizat ulterior pentru a detecta alte fișiere modificate care folosesc acelaşi program de arhivare.

“Dacă în trecut analiza programelor de arhivare era, în general, nepractică, această nouă tehnologie face posibilă analizarea fişierelor mult mai în detaliu și, drept urmare, îmbunătățește calitatea protecției de care beneficiază utilizatorii”, a declarat Maxim Golovkin, expert malware în cadrul Kaspersky Lab şi autorul tehnologiei nou patentate. „În plus, această tehnologie oferă o metodă de descriere a comportamentului unui program e arhivare proaspăt descoperit, astfel încât poate fi utilizată de către o soluție de securitate, rămânând, în același timp, inteligibilă pentru analiști”, a comentat Maxim Golovkin.

Tehnologia proaspăt brevetată este deja implementată în produsele reprezentative pentru Kaspersky Lab, precum Kaspersky Internet Security şi Kaspersky Endpoint Security for Business. Caracterul inovator al tehnologiei este confirmat de brevetul 8555392, emis de Oficiul pentru Brevete şi Mărci înregistrate din Statele Unite.

Cei aproximativ o mie de specialişti din departamentul de cercetare și dezvoltare al Kaspersky Lab lucrează constant pentru a dezvolta tehnologii de ultimă oră, multe dintre acestea fiind brevetate. La începutul lunii octombrie 2013, portofoliul de brevete al companiei includea 174 de brevete emise în SUA, Rusia, UE și China. Un număr suplimentar de 211 de cereri de brevete sunt în proces de analiză.

No comments so far.

Be first to leave comment below.

Your email address will not be published. Required fields are marked *