- Reklama -
środa, 20 listopada 2024
- Reklama -
Więcej
    Strona głównaPrawoNowa technologia Kaspersky Lab wodzi za nos szkodliwe programy

    Nowa technologia Kaspersky Lab wodzi za nos szkodliwe programy

    Twórcy rozwiązań bezpieczeństwa wykorzystują emulację, aby sprawdzić, czy określone programy są szkodliwe, bez narażania komputera na ryzyko infekcji. W tym celu analizowany plik uruchamiany jest w wyizolowanym wirtualnym środowisku, które wykorzystuje narzędzia programowe do emulowania działania sprzętu i systemu operacyjnego. W trybie tym rozwiązanie bezpieczeństwa może analizować operacje wykonane przez dany program i wykryć szkodliwy kod bez stwarzania jakiegokolwiek zagrożenia dla komputera użytkownika.


    Cyberprzestępcy wykorzystują różne techniki w celu zablokowania i utrudnienia analizy swojego szkodliwego oprogramowania w zwirtualizowanych środowiskach. Wiele z tych technik opiera się na określonych problemach związanych z implementacją emulatora: zwykle odtwarzają one funkcjonalność systemu operacyjnego tylko do pewnego stopnia. Takie uproszczenie pomaga poprawić wydajność i oszczędzić zasoby, z drugiej strony jednak sprawia, że system bezpieczeństwa jest podatny na różne techniki obchodzenia emulacji. Cyberprzestępcy mogą tak zaprojektować swoje szkodliwe oprogramowanie, aby sprawdzało, czy zostało uruchomione w emulatorze. W przypadku wykrycia emulacji szkodliwe oprogramowanie może wstrzymać wszelką swoją szkodliwą aktywność, zwiększając w ten sposób szanse na uniknięcie wykrycia przez rozwiązanie bezpieczeństwa.


    Jedna z technik obchodzenia emulacji działa w następujący sposób: szkodliwe oprogramowanie wywołuje funkcję systemową, która z kolei wywołuje kilka innych, pośrednich poleceń. Gdy program jest wykonywany w emulatorze, odtwarzane są tylko niektóre wywołania w tym łańcuchu. Technika obchodzenia emulacji opiera się na wykrywaniu braku wywołań funkcji, które byłyby obecne w realnym systemie operacyjnym. Opatentowany przez Kaspersky Lab system nie zachowuje się jak konwencjonalne emulatory: odtwarza wszystkie wywołania funkcji, w tym funkcje jądra systemu operacyjnego, które wykonują takie operacje jak odczytywanie i zapisywanie pliku. Do pewnego momentu działanie tej technologii przebiega tak samo jak w przypadku realnego systemu operacyjnego, dlatego większość technik obchodzenia emulacji wykorzystywanych przez twórców szkodliwego oprogramowania traci swoją skuteczność. W efekcie szkodliwe oprogramowanie uznaje środowisko, w którym zostało uruchomione, jako realne a nie zwirtualizowane i kontynuuje swoje działanie, co pozwala na skuteczne wykrycie i zneutralizowanie zagrożenia.


    „Koncepcja, na której opiera się nasza nowa technologia, polega na ‘przekonaniu’ szkodliwego oprogramowania, że działa w realnym systemie. W ten sposób zagrożenie nie będzie miało powodu, by ukrywać swoją szkodliwą funkcjonalność. Opatentowana technologia podniesie do nowego poziomu jakość wykrywania oferowaną przez nasze rozwiązania bezpieczeństwa” – skomentował Siergiej Below, główny specjalista ds. bezpieczeństwa w Kaspersky Lab oraz twórca nowej technologii.

    Opisywana technologia udowodniła już swoją skuteczność w przeprowadzonych przez firmę wewnętrznych testach. W przyszłości zostanie zaimplementowana w produktach firmy Kaspersky Lab przeznaczonych dla użytkowników domowych i korporacyjnych. Kaspersky Lab może pochwalić się bogatym portfolio patentów, które w większości opisują technologie ochrony. W połowie 2013 r. firma posiadała 174 patentów wydanych w Stanach Zjednoczonych, Rosji, Unii Europejskiej i Chinach. W urzędach patentowych zostały złożone wnioski o kolejne 211 patentów.
     

    POWIĄZANE ARTYKUŁY
    - Reklama -

    NAJPOPULARNIEJSZE