Conferência Black Hat vai explorar o uso de “impressões digitais” do código malicioso

Atacantes têm tendência para não alterar com frequência o código do seu malware.

Na edição deste ano da conferência Black Hat 2010, que se realiza na próxima semana em Las Vegas, será dado especial ênfase às impressões digitais dos hackers que escrevem código malicioso, e que poderão resultar em assinaturas com uma vida útil mais longa do que a dos actuais sistemas de detecção de intrusões.
Durante a conferência será também feita uma análise aos binários de malware executável, que também podem revelar algo sobre a intenção do código de ataque, podendo assim contribuir para uma defesa mais eficiente dos dados.
Esta abordagem estará a cargo de Greg Hoglund, CEO da HBGary, cuja apresentação “Attribution Malware: Apanhar o Rasto aos Ciberespiões e aos Criminosos Digitais” deverá ser uma das mais concorridas.
Na opinião de Hoglund, esta análise pode desvendar sinais específicos sobre o ambiente onde o código malicioso foi escrito, o que poderá ajudar a identificar os autores do malware através de características comuns detectadas em diversos códigos maliciosos.
Eis um exemplo: numa investigação realizada há pouco tempo, este responsável analisou a fundo um malware executável, cujas “impressões digitais” incluíam o uso do Back Orifice 2000, do software de suporte a desktops remotos Ultra VNC e, ainda, código de um guia de programação da Microsoft datado de 2002.
Cada programa foi ligeiramente modificado, mas a informação disponível permitiu recolher boas impressões digitais.
O malware era uma ferramenta de acesso remoto (RAT) e os geradores de RAT como o Poison Ivy conseguem criar código único para cada utilização, mas não foi esse o caminho escolhido pelo atacante. A identificação deste RAT noutras instâncias de malware permite associar grupos de código malicioso a um autor ou autores comuns, defende Greg Hoglund.
Este especialista deparou-se com estas impressões digitais há já algum tempo. Uma vez escritos, os binários propriamente ditos são alterados com pouca frequência, pelo que a utilização destas impressões digitais como assinaturas de malware será sempre mais útil em longos períodos de tempo. “Os criminosos não mudam muitas vezes o seu código”, diz o CEO da HBGary.
As plataformas antivírus tradicionais já conseguem identificar variantes do malware. E, agora, esta investigação permite criar uma nova forma de detecção de intrusão, que analisa profundamente o malware em busca destas impressões digitais, atribuindo-as a um grupo com base nas intenções do código escrito. Por exemplo, se malware tiver sido criado para roubar números de cartões de crédito de indivíduos, as empresas poderão considerá-lo uma ameaça reduzida comparativamente com malware criado para roubar a propriedade intelectual de uma organização. “Não é possível manter estes criminosos longe das redes das empresas para sempre, mas é possível detectá-los o mais cedo possível e, assim, diminuir os danos causados”, diz o mesmo responsável.
Durante a sua apresentação, Greg Hoglund diz que vai mostrar gráficos que representam meio milhão de exemplares de malware, analisados pela sua equipa e categorizados de acordo com as impressões digitais de cada um. Este responsável diz que, desta forma, espera conseguir demonstrar que as fontes destes códigos maliciosos são em número muito inferior ao total dos exemplares, provando assim que existem origens comuns a vários malwares diferentes.
Ao utilizar estas impressões digitais como assinaturas, os motores de detecção de intrusões podem focalizar-se na sua filtragem em vez de nos pacotes através dos quais são enviados. Isto significa que poderá ser criada uma biblioteca de assinaturas mais estável, uma vez que, como foi já referido, os atacantes têm tendência para não alterar com frequência o seu código.




Deixe um comentário

O seu email não será publicado