Simple Science

Scienza all'avanguardia spiegata semplicemente

# Informatica# Crittografia e sicurezza

La crescente sfida della rilevazione di malware

Esaminando la lotta tra i creatori di malware e i software antivirus.

― 7 leggere min

Crisi della rilevazioneCrisi della rilevazionemalwareevoluzione.le minacce malware in continuaIl software antivirus fa fatica contro
Indice

Il Malware è un software dannoso che può rovinare i computer e rubare informazioni. Negli anni, è diventato sempre più comune e complesso, rendendolo più difficile da rilevare. I criminali informatici continuano a trovare nuovi modi per nascondere il malware in modo che i programmi di sicurezza tradizionali non possano trovarlo. È una lotta costante tra chi crea malware e chi sviluppa strumenti per combatterlo.

Questo articolo analizza quanto bene i comuni software antivirus riescono a rilevare i vecchi tipi di malware che sono stati nascosti usando varie tecniche. Esamina anche l'uso di nuovi strumenti, come i chatbot AI, nella creazione di malware.

Il Problema del Malware

Il malware è aumentato significativamente, con miliardi di attacchi ogni anno. I criminali informatici spesso travestono il malware da software normale, ingannando gli utenti per farlo installare. Una volta che è su un computer, il malware può causare danni gravi, come rubare informazioni personali o creare reti di computer infetti, conosciute come botnet, per condurre attacchi alle aziende.

Il malware può essere progettato per evitare il rilevamento utilizzando varie tecniche. I programmi antivirus tradizionali si basano principalmente sull'abbinamento di firme di malware note memorizzate in un database. Quando appare un nuovo pezzo di malware che non corrisponde a nulla nel database, potrebbe andare non rilevato.

Software Antivirus e le Sue Limitazioni

Il software antivirus (AV) è la difesa più comune contro il malware. Di solito ha due metodi principali per rilevare il software dannoso:

  1. Rilevamento basato su firme: Questo metodo implica la scansione dei file per schemi o firme di malware conosciuti. Il software confronta i file con un database di firme di malware note. Se viene trovata una corrispondenza, il software contrassegna il file come dannoso.

  2. Rilevamento euristico: Questo metodo cerca comportamenti che possono indicare che il software è dannoso, anche se non corrisponde a firme note. Analizza come un programma opera e controlla l'attività sospetta.

Anche se questi metodi possono essere efficaci contro le minacce conosciute, spesso faticano con malware nuovi o modificati. I criminali informatici usano frequentemente varie tecniche per nascondere il loro codice dannoso, rendendo difficile per i programmi antivirus tradizionali rilevare le minacce.

Tecniche di evasione Usate dai Criminali Informatici

I criminali informatici impiegano vari metodi per nascondere il loro malware dal rilevamento. Alcune tecniche comunemente usate includono:

  • Offuscamento del codice: Cambiare il codice in un modo che rende difficile per gli umani e le macchine leggerlo o capirlo.

  • Polimorfismo: Creare variazioni del malware che cambiano il suo aspetto o comportamento per ingannare gli strumenti di rilevamento.

  • Packing: Comprimo o crittografare il codice del malware in modo che sia difficile per il software antivirus analizzarlo.

  • Dati spazzatura: Aggiungere dati non necessari al file del malware per confondere gli strumenti di rilevamento.

Questi metodi consentono al malware di sfuggire alle misure di sicurezza e continuare a rappresentare una minaccia per utenti e organizzazioni.

Obiettivi dello Studio

Questo studio mira a valutare quanto bene i programmi antivirus popolari possono rilevare vecchi tipi di malware che sono stati offuscati o nascosti usando le tecniche sopra menzionate. Cerca anche di capire se gli strumenti AI, come i chatbot, possono aiutare a creare malware efficaci.

Metodologia

Per condurre questa analisi, sono stati testati diversi programmi antivirus comuni contro vari campioni di malware. I campioni di malware creati per questo studio erano progettati per utilizzare un mix di tecniche tradizionali e nuove di evasione. I programmi antivirus sono stati valutati in ambienti isolati per garantire che le loro prestazioni potessero essere misurate con precisione.

Creazione di Malware

La ricerca ha coinvolto lo sviluppo di diversi tipi di malware utilizzando linguaggi di programmazione popolari come C++, Go e Rust. Il malware è stato progettato per utilizzare varie tecniche di evasione per valutare quanto bene ciascun programma antivirus potesse rilevarlo.

Ambiente di Test

I programmi antivirus sono stati installati su macchine virtuali separate per mantenere un ambiente di test pulito. Ogni macchina virtuale era equipaggiata con gli aggiornamenti più recenti per garantire una valutazione equa. Il malware è stato quindi eseguito su questi sistemi per misurare i tassi di rilevamento di ciascuna soluzione antivirus.

Risultati dello Studio

Eseguitivi di Malware Originali

Nel primo round di test, i tassi di rilevamento per i campioni di malware originali erano piuttosto variabili. Alcuni programmi antivirus hanno contrassegnato con successo il malware come dannoso, mentre altri hanno faticato a rilevarlo.

  • Tutti i programmi antivirus hanno rilevato il malware creato con il framework Metasploit, uno strumento comune per i test di penetrazione. Questo era previsto, poiché è ben noto e ampiamente segnalato dai software di sicurezza.

  • D'altra parte, il malware creato con framework più recenti come Sliver e NimPlant è riuscito a essere rilevato solo da circa metà delle soluzioni antivirus. Alcuni programmi non hanno rilevato affatto diversi campioni di malware.

Eseguitivi di Malware Modificati

Quando sono state apportate semplici modifiche al malware-come aggiungere dati spazzatura o utilizzare linguaggi di programmazione meno comuni-i tassi di rilevamento sono diminuiti significativamente. Ad esempio:

  • Il malware scritto in Go ha visto un aumento dell'evasione dal 33% al 58% quando combinato con tecniche specifiche.

  • L'uso di dati spazzatura ha gonfiato le dimensioni dei file di malware e ha ulteriormente migliorato i tassi di evasione, consentendo a molte esecuzioni campione di sfuggire completamente al rilevamento.

Il Ruolo di ChatGPT nella Creazione di Malware

Un componente dello studio ha anche coinvolto il test di un chatbot AI, ChatGPT, per vedere se potesse aiutare a creare malware. I risultati iniziali hanno mostrato che il chatbot faticava a produrre codice dannoso funzionale senza aiuto umano. Tuttavia, è stata sviluppata un'alternativa che prevedeva l'uso del chatbot per creare un listener TCP, consentendo l'esecuzione di comandi remoti.

Nei test utilizzando il codice generato dal chatbot, solo pochi programmi antivirus sono riusciti a rilevare il comportamento dannoso. D'altra parte, aggiungere dati spazzatura ha nuovamente dimostrato di essere molto efficace per sfuggire al rilevamento.

Confronto tra Antivirus e Soluzioni EDR

Le soluzioni di Endpoint Detection and Response (EDR) sono state anche testate insieme ai programmi antivirus tradizionali. L'analisi ha rivelato che il software EDR non offriva tassi di rilevamento significativamente migliori rispetto ai malware testati rispetto ai loro omologhi antivirus. Ciò suggerisce che avere semplicemente una soluzione EDR non garantisce una protezione aggiuntiva contro malware abilmente mascherati.

Osservazioni Chiave

Durante la ricerca, sono state fatte alcune osservazioni significative riguardo al comportamento di diversi soluzioni antivirus:

  • Mentre alcuni software rilevavano processi dannosi, non riuscivano a mettere in quarantena l'eseguibile originale, lasciando il sistema vulnerabile a futuri attacchi.

  • Alcuni programmi antivirus, come Kaspersky e Avira, sono riusciti a mettere in quarantena il malware in modo efficace, dimostrando una capacità di rilevamento superiore rispetto a molti altri.

  • Alcune soluzioni antivirus hanno contrassegnato i file come sospetti semplicemente in base a soglie di dimensione, consentendo a file più piccoli di sfuggire al rilevamento a causa delle loro dimensioni.

Conclusione

In generale, lo studio dimostra che mentre il software antivirus gioca un ruolo essenziale nella lotta contro il malware, molti programmi faticano ancora a rilevare efficacemente le minacce nascoste. Le tecniche usate dai criminali informatici per evitare il rilevamento sono spesso semplici e si basano su cambiamenti semplici piuttosto che strategie complesse.

Man mano che il malware continua a evolversi, anche i meccanismi di difesa devono farlo. C'è una chiara necessità di miglioramenti continui nella tecnologia antivirus per tenere il passo con il panorama in evoluzione delle minacce informatiche.

Inoltre, i test iniziali con strumenti AI come ChatGPT rivelano sia il potenziale che le limitazioni di utilizzare tali tecnologie nello sviluppo di malware. Anche se c'è stata qualche successo nella creazione di malware non rilevabile, l'intervento umano rimane cruciale nel perfezionare e migliorare gli strumenti.

Questo studio evidenzia l'importanza di comprendere i metodi usati dai creatori di malware e le limitazioni delle attuali soluzioni di sicurezza. Il lavoro futuro dovrebbe concentrarsi sull'espansione di questi test per includere più prodotti antivirus e varianti di malware per ottenere una migliore comprensione dell'efficacia di queste misure protettive.

Fonte originale

Titolo: Bypassing antivirus detection: old-school malware, new tricks

Estratto: Being on a mushrooming spree since at least 2013, malware can take a large toll on any system. In a perpetual cat-and-mouse chase with defenders, malware writers constantly conjure new methods to hide their code so as to evade detection by security products. In this context, focusing on the MS Windows platform, this work contributes a comprehensive empirical evaluation regarding the detection capacity of popular, off-the-shelf antivirus and endpoint detection and response engines when facing legacy malware obfuscated via more or less uncommon but publicly known methods. Our experiments exploit a blend of seven traditional AV evasion techniques in 16 executables built in C++, Go, and Rust. Furthermore, we conduct an incipient study regarding the ability of the ChatGPT chatbot in assisting threat actors to produce ready-to-use malware. The derived results in terms of detection rate are highly unexpected: approximately half of the 12 tested AV engines were able to detect less than half of the malware variants, four AVs exactly half of the variants, while only two of the rest detected all but one of the variants.

Autori: Efstratios Chatzoglou, Georgios Karopoulos, Georgios Kambourakis, Zisis Tsiatsikas

Ultimo aggiornamento: 2023-05-06 00:00:00

Lingua: English

URL di origine: https://arxiv.org/abs/2305.04149

Fonte PDF: https://arxiv.org/pdf/2305.04149

Licenza: https://creativecommons.org/licenses/by/4.0/

Modifiche: Questa sintesi è stata creata con l'assistenza di AI e potrebbe presentare delle imprecisioni. Per informazioni accurate, consultare i documenti originali collegati qui.

Si ringrazia arxiv per l'utilizzo della sua interoperabilità ad accesso aperto.

Link di riferimento
Argomenti citati

Altro dagli autori

Articoli simili