MI állíthatja meg a kártevőket?
Az idei év első felében csupán egyetlen kártevőnek, az Emotet trójainak 30 ezer különböző variánsát fedezték fel a víruslaboratóriumok. A bűnözők nem magán a kártevőn, hanem annak csomagolásán változtatnak ilyen sokszor, de ez éppen elég ahhoz, hogy a hagyományos vírusvédelmi technológiák már ne tudják tartani a lépést. Újabb paradigmaváltásra van tehát szükség, és a megoldás a mesterséges intelligencia lehet.
Egy mai trójai olyan összetett kódból áll, amelyet általában évekig fejlesztenek a bűnözők. Számukra ez a befektetés csak akkor térül meg, ha az elkészült kártevőt sokszor és hatékonyan tudják úgy újracsomagolni, hogy az egyes verziókat a vírusirtó szoftverek már ne ismerjék fel. Folyamatos harcról van szó a két fél között: a védelmi szoftverek megtanulják felismerni az új verziót, mire a bűnözők azt gyorsan módosítják egy kicsit, és még újabbat adnak ki.
Az eredmény pedig, hogy rengeteg – akár több tízezer változat – születik meg egyetlen kártevőből, a vírusvédelmi cégek pedig nehezen tartanak lépést a sok különböző mutációval, mivel azokat mind fel kell dolgozniuk. És ugyan az elmúlt 10 évben egy sor olyan védelmi technológiát (például a heurisztikus és a magatartás-alapú felismerést) mutattak be, amelyek segítik a még ismeretlen változatok felismerését, ezek mégsem bizonyultak teljesen elegendőnek.
A bűnözők így jelenleg ugyanazt a kódmagot csomagolják be különböző titkosításokkal újra és újra, de maga a kártevő már csak a megtámadott számítógép memóriájában kerül kibontásra. A G DATA által fejlesztett, DeepRay névre keresztelt új mesterséges intelligencia pedig pontosan azt ismeri fel jó eséllyel, hogy a számítógépre érkező kód be van-e csomagolva ilyen „álruhába”. Természetesen néha legitim szoftverek is használnak a kártevőkhöz hasonló csomagolási technikákat, például a másolásvédelem érdekében. Ezért egy álcázási technika észlelése után a DeepRay a számítógép memóriájában alapos analízisnek veti alá a kódot, és megpróbálja az ismert kártevőcsaládok kódmagját megtalálni.
A G DATA ezzel a fejlesztéssel a bűnözők jelenlegi „üzleti modelljét” próbálja gazdaságtalanná tenni. Az „álruha” cserélgetése ugyanis a támadók számára gyors megoldást jelent, amely nem jár nagy költségekkel. A hagyományos, szignatúrákon alapuló védelmi szoftverek gyártói számára ugyanakkor óriási energiát és költséget igényel minden egyes álcázási technikát egyesével felismerni.
A DeepRay technológiát a német gyártó fél évvel ezelőtt mutatta be, azóta minden windowsos termékének részét képezi. Most pedig az egyik legaktívabb trójai, az Emotet példáján illusztrálja, hogy a mesterséges intelligencia milyen hatékony az új variánsok megállításában.
Egy tipikus napon a G DATA víruslaboratóriuma az Emotet 16 darab új variánsát azonosítja, majd azonnal teszteli, hogy más gyártók szignatúraalapú védelme felismeri-e ugyanezeket az adott időpontban. Az eredményeket az alábbi táblázat mutatja be:
A táblázatból látszik, hogy az első gyártó felismerte az új variánsok felét – 16-ból 8 darabot. Az is kiderül, hogy a szignatúra az adott napon délelőtt 11 óra körül került kibocsátásra, majd körülbelül 16 óráig tartotta magát – késő délutánra azonban az Emotet ismét előnybe került. A második és a harmadik gyártó viszont az új variánsok közül egyetlenegyet sem ismert fel az adott időpontban. A negyedik gyártó pedig egyetlen egy új variánst állított meg. Az utolsó, ötödik gyártó az új variánsoknak szintén a felét ismerte fel, egy részüket délelőtt, egy más részüket pedig délután, a kettő között lyukkal.
Az 5 gyártó együttesen az új variánsok 82 százalékát volt képes blokkolni, de közülük egyetlen sem teljesített 50% felett, ezalatt a mesterséges intelligencia az összes új variánst felismerte.
A DeepRay a felismeréshez neurális hálózatokat használ, amelyek betanításához a G DATA hardveres háttér-infrastruktúrát épített ki. A mélyebb elemzésre csak akkor kerül sor, ha a védelem érzékeli valamilyen csomagolási technika (álruha) jelenlétét, és erre már a védett számítógép memóriájában kerül sor.
A technológiát a G DATA folyamatosan fejleszti, de a rendszer hatékonyságát jól mutatja, hogy a kezdeti algoritmusokhoz fél év alatt csak egyetlen alkalommal kellett hozzányúlni. Ha a mesterséges intelligencia beválik, előbb-utóbb más gyártók is követni fogják a németeket, ez jelentheti majd a vírusvédelmi megoldások új generációját.
Kapcsolódó cikkek
- Vírushelyzetkép a mobil-világban
- A kifinomult kibertámadások ellen fejlettebb hálózatvédelem kell
- A Zyxel új szolgáltatása növeli a hálózati biztonságot
- Magyar KKV világsikere: forradalmian új hatékonyság a mobil térképezésben
- Mesterséges Intelligencia segíti a KPMG Legal munkáját
- A Fujitsu szerint fontos a bizalom az MI-alapú döntéshozásban
- A mesterséges intelligencia segítségével fejlődnek az együttműködő mobil robotok
- A Fujitsu mérsékli a vizuális ellenőrzést támogató MI-megoldások költségeit
- A Fujitsu MI-alapú technológiával automatizálja az orvosi szövegek kódolását
- A technológia teszi olcsóbbá és hatékonyabbá a szállítmányozást
Biztonság ROVAT TOVÁBBI HÍREI
A kiberbiztonságról rendeztek konferenciát a Széchenyi István Egyetemen
A kibertámadások évről évre egyre nagyobb mértékű, dollármilliárdokban mérhető gazdasági károkat okoznak a világon, ezért a kiberbiztonság az állami szervezetek, a vállalatok, sőt a magánszemélyek számára is kulcsfontosságúvá vált. A téma aktuális kérdéseiről rendeztek szakmai-tudományos konferenciát a győri Széchenyi István Egyetem, ahol hazánkban elsőként indult el a terület jogi szakembereinek képzése.