Джастон Мур
Вредоносное ПО — излюбленный инструмент киберпреступников для широкого спектра кибератак: от крупномасштабных банковских троянов, похищающих деньги с индивидуальных счетов, до атак программ-вымогателей, которые уничтожают данные и приводят к отключению ИТ в больницах по всему миру. Крупномасштабная кража интеллектуальной собственности часто осуществляется с помощью изощренных целенаправленных атак вредоносных программ на организации, таких как атака на Национальный комитет Демократической партии в 2006 году. Но они также могут атаковать отдельных лиц, как, например, атака вредоносного ПО VPNFilter, которая этим летом заразила примерно полмиллиона домашних маршрутизаторов.
Понимание возможностей и намерений вредоносных программ — процесс, известный как реверс-инжиниринг, — сложный ручной процесс, который может занять несколько дней или даже недель у опытного аналитика. Но в Лос-Аламосской национальной лаборатории мы обнаружили, что экспертная интуиция может быть дополнена инструментами машинного обучения, которые быстро выявляют закономерности в больших наборах связанных вредоносных программ, собранных с течением времени.
Наша работа основана на биологической аналогии эволюции кода. Функциональное программное обеспечение, даже вредоносное, создавать сложно и дорого. Разработчики вредоносных программ, как и все разработчики программного обеспечения, создают свои программы итеративно, добавляя существующий код и совершенствуя существующее вредоносное ПО для достижения своих целей.
Как только киберзащита обнаруживает вредоносное ПО, злоумышленники вносят лишь небольшие изменения, чтобы обойти существующие механизмы обнаружения — подобно небольшим мутациям, которые биологический вирус разрабатывает, чтобы избежать уничтожения иммунной системой человека. Для киберзащитников очень важно отслеживать эти повторяющиеся усовершенствования вредоносного ПО, поскольку это позволяет им сравнивать новые угрозы с ранее проанализированными атаками.
Защитники спрашивают: является ли этот новый образец вредоносного ПО просто косметическим изменением, позволяющим скрыть старый код, или это небольшое изменение может быть важной новой стратегией со стороны злоумышленника?
У кодировщиков есть стиль или голос, похожий на писателей, у которых есть узнаваемые способы аранжировки слов. Таким образом, кодировщик оставляет отпечатки пальцев на фрагментах кода вредоносного ПО, которые остаются неизменными, оставляя след к источнику угрозы. Этот широкий эволюционный анализ вредоносных программ, особенно с учетом атрибуции источников, отличает наше исследование от усилий по борьбе с вредоносными программами в отрасли, которые в основном сосредоточены на блокировании вредоносных программ, а не на их изучении.
Наше новейшее исследование основано на машинном обучении под названием «глубокое обучение», которое используется для вычисления сходства между родственными образцами вредоносных программ, замаскированными злоумышленниками.
Мы используем тот же подход, который используется в современных системах языкового перевода, таких как Google Translate. В языковом переводе эти новые методы глубокого обучения обобщают предложение или абзац в компьютеризированном представлении, не зависящем от языка. Затем этот шаблон становится ключом для декодирования предложения или абзаца на другие языки. Важно отметить, что эти подходы к языковому переводу обучаются статистическим образом, требуя только пары переведенных учебных документов на разные языки. Точно так же мы используем наборы связанного вредоносного кода, собранные с течением времени, чтобы изучить «перевод», который позволяет нам отслеживать злоумышленников лучше, чем существующие антивирусные инструменты.
Не отставать от новаторских противников означает, что мы должны предвидеть новые типы угроз и более сложные версии существующих. Однако анализ вредоносных программ не предотвратит все кибератаки. Вместо этого будущее кибербезопасности может зависеть от анализа поведения уже зараженной машины, а не просто от проверки вредоносных программ по мере их поступления. В то время как биологические вирусы действуют в соответствии со своими собственными целями, компьютерные вирусы часто облегчают злоумышленнику удаленный контроль над своим хостом. Таким образом, настоящие следы кибератак оставляют действия злоумышленника.
Мы надеемся, что с помощью наших текущих исследований в области расширенного анализа поведения пользователей мы сможем выявить эти модели атак в режиме реального времени. Каким бы ни было будущее, с каждым годом кибератаки будут становиться все более изощренными, как и наша способность их останавливать.
Джастон Мур – специалист по данным и руководитель проекта в группе перспективных исследований киберсистем в Лос-Аламосской национальной лаборатории.
Связанное видео:
