Prim Hírek

Egy mai trójai olyan összetett kódból áll, amelyet általában évekig fejlesztenek a bűnözők. Számukra ez a befektetés csak akkor térül meg, ha az elkészült kártevőt sokszor és hatékonyan tudják úgy újracsomagolni, hogy az egyes verziókat a vírusirtó szoftverek már ne ismerjék fel. Folyamatos harcról van szó a két fél között: a védelmi szoftverek megtanulják felismerni az új verziót, mire a bűnözők azt gyorsan módosítják egy kicsit, és még újabbat adnak ki. 

Az eredmény pedig, hogy rengeteg – akár több tízezer változat – születik meg egyetlen kártevőből, a vírusvédelmi cégek pedig nehezen tartanak lépést a sok különböző mutációval, mivel azokat mind fel kell dolgozniuk. És ugyan az elmúlt 10 évben egy sor olyan védelmi technológiát (például a heurisztikus és a magatartás-alapú felismerést) mutattak be, amelyek segítik a még ismeretlen változatok felismerését, ezek mégsem bizonyultak teljesen elegendőnek.

A bűnözők így jelenleg ugyanazt a kódmagot csomagolják be különböző titkosításokkal újra és újra, de maga a kártevő már csak a megtámadott számítógép memóriájában kerül kibontásra. A G DATA által fejlesztett, DeepRay névre keresztelt új mesterséges intelligencia pedig pontosan azt ismeri fel jó eséllyel, hogy a számítógépre érkező kód be van-e csomagolva ilyen „álruhába”. Természetesen néha legitim szoftverek is használnak a kártevőkhöz hasonló csomagolási technikákat, például a másolásvédelem érdekében. Ezért egy álcázási technika észlelése után a DeepRay a számítógép memóriájában alapos analízisnek veti alá a kódot, és megpróbálja az ismert kártevőcsaládok kódmagját megtalálni.

A G DATA ezzel a fejlesztéssel a bűnözők jelenlegi „üzleti modelljét” próbálja gazdaságtalanná tenni. Az „álruha” cserélgetése ugyanis a támadók számára gyors megoldást jelent, amely nem jár nagy költségekkel. A hagyományos, szignatúrákon alapuló védelmi szoftverek gyártói számára ugyanakkor óriási energiát és költséget igényel minden egyes álcázási technikát egyesével felismerni.

A DeepRay technológiát a német gyártó fél évvel ezelőtt mutatta be, azóta minden windowsos termékének részét képezi. Most pedig az egyik legaktívabb trójai, az Emotet példáján illusztrálja, hogy a mesterséges intelligencia milyen hatékony az új variánsok megállításában.

Egy tipikus napon a G DATA víruslaboratóriuma az Emotet 16 darab új variánsát azonosítja, majd azonnal teszteli, hogy más gyártók szignatúraalapú védelme felismeri-e ugyanezeket az adott időpontban. Az eredményeket az alábbi táblázat mutatja be:

A táblázatból látszik, hogy az első gyártó felismerte az új variánsok felét – 16-ból 8 darabot. Az is kiderül, hogy a szignatúra az adott napon délelőtt 11 óra körül került kibocsátásra, majd körülbelül 16 óráig tartotta magát – késő délutánra azonban az Emotet ismét előnybe került. A második és a harmadik gyártó viszont az új variánsok közül egyetlenegyet sem ismert fel az adott időpontban. A negyedik gyártó pedig egyetlen egy új variánst állított meg. Az utolsó, ötödik gyártó az új variánsoknak szintén a felét ismerte fel, egy részüket délelőtt, egy más részüket pedig délután, a kettő között lyukkal.

Az 5 gyártó együttesen az új variánsok 82 százalékát volt képes blokkolni, de közülük egyetlen sem teljesített 50% felett, ezalatt a mesterséges intelligencia az összes új variánst felismerte. 

A DeepRay a felismeréshez neurális hálózatokat használ, amelyek betanításához a G DATA hardveres háttér-infrastruktúrát épített ki. A mélyebb elemzésre csak akkor kerül sor, ha a védelem érzékeli valamilyen csomagolási technika (álruha) jelenlétét, és erre már a védett számítógép memóriájában kerül sor.

A technológiát a G DATA folyamatosan fejleszti, de a rendszer hatékonyságát jól mutatja, hogy a kezdeti algoritmusokhoz fél év alatt csak egyetlen alkalommal kellett hozzányúlni. Ha a mesterséges intelligencia beválik, előbb-utóbb más gyártók is követni fogják a németeket, ez jelentheti majd a vírusvédelmi megoldások új generációját.