Расшифровка вредоносных программ становится вся более сложной задачей,
согласно экспертам по проведению реверс-инжинеринга. Атакующие теперь шифруют не
прост имена функций, а целые блоки кода.
Атакующие используют обфускацию для того, чтобы затруднить проведение анализа
вредоносного программного обеспечения и поставить в затруднительное
положение средства безопасности, такие как системы обнаружения вторжений, чтобы
они не смогли распознать атаку. Первоначально обфускация касалась только
имен функций, затрудняя анализ двоичного кода.
"С развитием автоматизированного реверсинга, авторы malware начали шифровать
целые блоки и использовать более эффективные приемы умышленного запутывания,
чтобы сделать проведение анализа и процесс обнаружения намного сложнее", -
говорит Адам Мейерс, директор кибербезопасности SRA International.
По словам экспертов частью проблемы является то, что атакующие используют
множество различных способов проникновения в системы. Атаки, использующие
социальную инженерию, будут использовать скрытые веб-адреса и коды. Drive-by
загрузки, которые заражают компьютеры людей, когда те посещают сайты, шифруют
свою действующую часть. "А при вторжении на сервера используются другие методы
для защиты от систем обнаружения вторжения", - говорит Мэтт МакКинли, директор
по управлению продуктами в фирме сетевой безопасности Stonesoft.
"Защитники должны по-настоящему сражаться, чтобы суметь защитить систему", -
говорит МакКинли. "Очень много вещей требуют инженерного анализа".
Реверс-инжинеринг стал очень важной функцией систем безопасности. В марте
онлайн-гигант Google купил
фирму Zynamics, создателя ряда инструментов, помогающих анализировать
исполняемые файлы.
"В настоящее время большинство приемов обфускации простые и используют такие
операции, как XOR или простое смещение", - говорит Мейерс, который провел три
года в МИДе США, отвечая за безопасность и реверсинг. Однако все чаще
злоумышленники используют лучшие способы шифрования или свои собственные методы,
чтобы сделать проведение анализа еще более трудным.
"Как ни странно, направленные атаки, которые многие называют "advanced
persistent threats" (APT), не всегда самые трудные для анализа", - говорит
Мейерс. "Наемные разработчики, которые создают программное обеспечение для
киберпреступников, в настоящее время в основном используют шифрование и другие
формы обфускации. Одной из причин повышения сложности является то, что
конкуренция на рынке malware привела к созданию более совершенных инструментов.
Кроме того, коммерческое вредоносное ПО все чаще использует технологию
управления цифровыми правами, чтобы исключить возможность того, что клиенты
станут конкурентами".
Эксперты говорят, что в новых программах будут использованы
усовершенствованные методы обмана. Мейерс, например, столкнулся с мобильным
malware с DES-шифрованием. DES более старый метод шифрования данных, который
более не считается безопасным, но он является более чем эффективным для целей
хакеров.
"Люди, создающие новые угрозы, исправляют большое количество ошибок, которые
были допущены ранее", - говорит Мейерс.
