Simple Science

Ciência de ponta explicada de forma simples

# Informática# Criptografia e segurança

O Desafio Crescente da Detecção de Malware

Analisando a luta entre criadores de malware e os antivírus.

― 8 min ler

Crise de Detecção deCrise de Detecção deMalwareestão sempre mudando.lidar com as ameaças de malware queO software antivírus tem dificuldade em
Índice

Malware é um software prejudicial que pode danificar computadores e roubar informações. Com o passar dos anos, ele se tornou mais comum e mais complexo, o que dificulta a detecção. Os Cibercriminosos sempre estão inventando novas maneiras de esconder malware pra que os programas de segurança tradicionais não consigam encontrá-lo. Essa é uma luta constante entre quem cria malware e quem desenvolve ferramentas pra combatê-lo.

Esse artigo analisa quão bem os softwares antivírus comuns detectam tipos mais antigos de malware que foram escondidos usando várias técnicas. Também examina o uso de novas ferramentas, como chatbots de IA, na criação de malware.

O Problema do Malware

O malware aumentou significativamente, com bilhões de ataques ocorrendo a cada ano. Os cibercriminosos frequentemente disfarçam malware como software normal, enganando os usuários pra instalá-lo. Uma vez que ele está em um computador, o malware pode causar danos severos, como roubo de informações pessoais ou criar redes de computadores infectados, conhecidas como botnets, pra realizar ataques em empresas.

O malware pode ser projetado pra escapar da detecção usando várias técnicas. O software antivírus tradicional se baseia principalmente na correspondência de assinaturas de malware conhecidas armazenadas em um banco de dados. Quando um novo tipo de malware aparece que não corresponde a nada no banco de dados, ele pode passar despercebido.

Software Antivírus e Suas Limitações

O software antivírus (AV) é a defesa mais comum contra malware. Normalmente, ele tem dois métodos principais pra detectar software malicioso:

  1. Detecção Baseada em Assinatura: Esse método envolve escanear arquivos em busca de padrões ou assinaturas conhecidas de malware. O software compara arquivos com um banco de dados de assinaturas de malware conhecidas. Se uma correspondência for encontrada, o software sinaliza o arquivo como malicioso.

  2. Detecção Heurística: Esse método procura por comportamentos que podem indicar que o software é prejudicial, mesmo que ele não corresponda a nenhuma assinatura conhecida. Ele analisa como um programa opera e verifica por atividades suspeitas.

Embora esses métodos possam ser eficazes contra ameaças conhecidas, eles muitas vezes têm dificuldades com malware novo ou modificado. Os cibercriminosos frequentemente usam várias técnicas pra esconder seu código malicioso, dificultando a detecção pelos programas antivírus tradicionais.

Técnicas de Evasão Usadas por Cibercriminosos

Os cibercriminosos empregam várias metodologias pra esconder seu malware da detecção. Algumas das técnicas mais comuns incluem:

  • Ofuscação de Código: Alterar o código de uma maneira que o torna difícil pra humanos e máquinas lerem ou entenderem.

  • Polimorfismo: Criar variações do malware que mudam sua aparência ou comportamento pra enganar as ferramentas de detecção.

  • Packing: Comprimir ou criptografar o código do malware pra que seja desafiador pro software antivírus analisá-lo.

  • Dados Lixosos: Adicionar dados desnecessários ao arquivo de malware pra confundir as ferramentas de detecção.

Esses métodos permitem que o malware passe pelas medidas de segurança e continue representando uma ameaça aos usuários e organizações.

Objetivos do Estudo

Esse estudo tem como objetivo avaliar quão bem os programas antivírus populares conseguem detectar tipos mais antigos de malware que foram ofuscados ou escondidos usando as técnicas mencionadas acima. Também busca entender se ferramentas de IA, como chatbots, podem ajudar na criação de malware.

Metodologia

Pra realizar essa análise, vários programas antivírus comuns foram testados contra diferentes amostras de malware. As amostras de malware criadas pra esse estudo foram projetadas pra usar uma mistura de técnicas de evasão tradicionais e novas. Os programas antivírus foram avaliados em ambientes isolados pra garantir que seu desempenho pudesse ser medido com precisão.

Criação de Malware

A pesquisa envolveu desenvolver diferentes tipos de malware usando linguagens de programação populares como C++, Go e Rust. O malware foi projetado pra utilizar várias técnicas de evasão pra avaliar quão bem cada programa antivírus conseguiria detectá-lo.

Ambiente de Teste

Os programas antivírus foram instalados em máquinas virtuais separadas pra manter um ambiente de teste limpo. Cada máquina virtual foi equipada com as últimas atualizações pra garantir uma avaliação justa. O malware foi então executado nesses sistemas pra medir as taxas de detecção de cada solução antivírus.

Resultados do Estudo

Executáveis Originais de Malware

Na primeira rodada de testes, as taxas de detecção para amostras de malware originais foram bem variadas. Alguns programas antivírus conseguiram sinalizar o malware como malicioso, enquanto outros tiveram dificuldades em detectá-lo.

  • Todos os programas antivírus detectaram malware criado com o framework Metasploit, uma ferramenta comum de teste de penetração. Isso era esperado, já que é bem conhecido e amplamente sinalizado por softwares de segurança.

  • Por outro lado, malware criado com frameworks mais novos como Sliver e NimPlant conseguiu ser detectado por cerca de metade das soluções de antivírus. Alguns programas falharam completamente em detectar várias das amostras de malware.

Executáveis Modificados de Malware

Quando modificações simples foram feitas no malware-como adicionar dados desnecessários ou usar linguagens de programação menos comuns- as taxas de detecção diminuíram significativamente. Por exemplo:

  • Malware escrito em Go viu um aumento na evasão de 33% pra 58% quando combinado com técnicas específicas.

  • Usar dados desnecessários aumentou o tamanho dos arquivos de malware e melhorou ainda mais as taxas de evasão, permitindo que muitas execuções de amostras passassem despercebidas.

Papel do ChatGPT na Criação de Malware

Um componente do estudo também envolveu testar um chatbot de IA, o ChatGPT, pra ver se ele poderia ajudar a criar malware. Os resultados iniciais mostraram que o chatbot teve dificuldades em produzir código malicioso funcional sem ajuda humana. No entanto, uma abordagem alternativa foi desenvolvida que envolveu usar o chatbot pra criar um listener TCP, permitindo a execução remota de comandos.

Nos testes usando o código gerado pelo chatbot, apenas alguns programas antivírus conseguiram detectar o comportamento malicioso. Por outro lado, adicionar dados desnecessários novamente se mostrou altamente eficaz em escapar da detecção.

Comparação de Soluções de Antivírus e EDR

Soluções de Endpoint Detection and Response (EDR) também foram testadas junto com os programas antivírus tradicionais. A análise revelou que o software EDR não ofereceu taxas de detecção significativamente melhores contra o malware testado em comparação com seus equivalentes de antivírus. Isso sugere que simplesmente ter uma solução EDR não garante proteção adicional contra malware disfarçado de maneira inteligente.

Observações Chave

Ao longo da pesquisa, algumas observações significativas foram feitas sobre o comportamento de diferentes soluções antivírus:

  • Enquanto alguns softwares detectaram processos maliciosos, eles falharam em colocar em quarentena o executável original, deixando o sistema vulnerável a futuros ataques.

  • Certos programas antivírus, como Kaspersky e Avira, conseguiram colocar o malware em quarentena de forma eficaz, mostrando uma capacidade de detecção maior que muitos outros.

  • Algumas soluções de antivírus sinalizaram arquivos como suspeitos apenas com base em limites de tamanho, permitindo que arquivos menores escapassem da detecção devido ao seu tamanho.

Conclusão

No geral, o estudo demonstra que, enquanto o software antivírus desempenha um papel essencial no combate ao malware, muitos programas ainda têm dificuldades em detectar ameaças escondidas de forma eficaz. As técnicas usadas pelos cibercriminosos pra escapar da detecção muitas vezes são simples e se baseiam em mudanças simples em vez de estratégias complexas.

À medida que o malware continua a evoluir, os mecanismos de defesa também devem evoluir. Há uma necessidade clara de melhorias contínuas na tecnologia antivírus pra acompanhar o cenário em evolução das ameaças cibernéticas.

Além disso, os testes iniciais com ferramentas de IA como o ChatGPT revelam tanto o potencial quanto as limitações do uso dessas tecnologias no desenvolvimento de malware. Embora tenha havido algum sucesso em criar malware indetectável, a intervenção humana continua sendo crucial pra refinar e aprimorar as ferramentas.

Esse estudo destaca a importância de entender os métodos utilizados pelos criadores de malware e as limitações das soluções de segurança atuais. Trabalhos futuros devem se concentrar em expandir esses testes pra incluir mais produtos antivírus e variantes de malware pra obter uma melhor compreensão da eficácia dessas medidas de proteção.

Fonte original

Título: Bypassing antivirus detection: old-school malware, new tricks

Resumo: Being on a mushrooming spree since at least 2013, malware can take a large toll on any system. In a perpetual cat-and-mouse chase with defenders, malware writers constantly conjure new methods to hide their code so as to evade detection by security products. In this context, focusing on the MS Windows platform, this work contributes a comprehensive empirical evaluation regarding the detection capacity of popular, off-the-shelf antivirus and endpoint detection and response engines when facing legacy malware obfuscated via more or less uncommon but publicly known methods. Our experiments exploit a blend of seven traditional AV evasion techniques in 16 executables built in C++, Go, and Rust. Furthermore, we conduct an incipient study regarding the ability of the ChatGPT chatbot in assisting threat actors to produce ready-to-use malware. The derived results in terms of detection rate are highly unexpected: approximately half of the 12 tested AV engines were able to detect less than half of the malware variants, four AVs exactly half of the variants, while only two of the rest detected all but one of the variants.

Autores: Efstratios Chatzoglou, Georgios Karopoulos, Georgios Kambourakis, Zisis Tsiatsikas

Última atualização: 2023-05-06 00:00:00

Idioma: English

Fonte URL: https://arxiv.org/abs/2305.04149

Fonte PDF: https://arxiv.org/pdf/2305.04149

Licença: https://creativecommons.org/licenses/by/4.0/

Alterações: Este resumo foi elaborado com a assistência da AI e pode conter imprecisões. Para obter informações exactas, consulte os documentos originais ligados aqui.

Obrigado ao arxiv pela utilização da sua interoperabilidade de acesso aberto.

Ligações de referência
Tópicos referenciados

Mais de autores

Artigos semelhantes