• G DATA. Bízzon a német biztonságban. 1985 óta. | GDPR megfelelő vállalati antivírus megoldások és otthoni vírusirtó szoftverek.
  • Segítség
  • Viszonteladóknak
  • Fiókom
G_DATA_CyberDefense_virusirto_antivirus_logo_40G_DATA_CyberDefense_virusirto_antivirus_logo_40G_DATA_CyberDefense_virusirto_antivirus_logo_40G_DATA_CyberDefense_virusirto_antivirus_logo_40
  • OTTHONRA
    • Védelem Windowsra
      • G DATA Total Security
      • G DATA Internet Security
      • G DATA Antivirus
      • Windowsos termékek összehasonlítása
    • Android és MAC OS X
      • G DATA Mobile Security for Android
      • G DATA Antivirus for Mac OS X
    • Védelem az interneten
      • G DATA VPN
  • CÉGEKNEK
    • VÍRUSVÉDELEM
      • G DATA Endpoint Protection
      • G DATA Client Security
      • G DATA Antivirus
      • G DATA Levelezésvédelem
      • Termékek áttekintése és rendszerkövetelmények
    • INFORMÁCIÓK
      • Általános tudnivalók
      • Licencpolitika
      • Árajánlatkérés
      • Esettanulmányok
      • Vállalati demó igénylése
      • Partnereink
  • VÁSÁRLÁS
  • LETÖLTÉS
  • TESZTEK
  • HÍREK
  • G DATA
  • Segítség
  • Viszonteladóknak
  • Fiókom
0

0 Ft

✕
  • Főoldal
  • Hírek és blogbejegyzések
  • Blogbejegyzés
  • Az automatikus elemzések határai

Az automatikus elemzések határai

2025. 01. 17.
Kategóriák
  • Blogbejegyzés
Címkék
  • elemzés
  • kártevő
  • Malware
  • sandbox

Mindannyian követünk el hibákat, ez természetes. Néha ezek a hibák azonban váratlan következményekkel járnak – ahogyan erre nemrég egy X-felhasználó is rájött. A tanulság, hogy amennyiben sandboxok automatikus elemzéseire bízzuk, hogy ítéletet mondjanak a fájlokról, az könnyen téves eredményre vezethet.

Egy X-felhasználó nemrégiben posztolt egy olcsó, hálózati csatlakozással és memóriával rendelkező USB-C adapterrel kapcsolatban, azt állítva, hogy a kínai oldalról rendelt eszköz kártevőt tartalmaz. 

Az eredeti posztot már törölték, de még mindig megtalálható az interneten.

A következtetésre úgy jutott, hogy egy – szimulált környezetben, azaz homokozóban – automatikus elemzéseket végző rendszer segítségét vette igénybe, hogy megnézze, az USB-C adapter szoftvere milyen tevékenységet végez(ne). A sandbox kimenete ijesztő olvasmány, a különféle kritériumok egymás után felsorolva, olyan kategóriákba rendezve, mint a „gyanús” és „rosszindulatú”.

Az automatikus elemzés eredménye: – Threat score: 100/100

A fájlokat automatikusan elemző homokozók jó eszközök és segédeszközök, amelyek segíthetnek a rosszindulatú programok elemzésében. Használatuk során azonban óvatosan kell eljárni, mivel gyakran téves következtetésekhez vezetnek, ezt a G DATA malware kutatója, Karsten Hahn is megerősíti. „Sok kritérium nem értelmezhető a laikusok számára, sőt néha félrevezető is” – mondja.

A példában a sandbox „rosszindulatúnak” minősítette, hogy az eszközön tárolt .exe fájl rendszer-illesztőprogramot tartalmaz, és olyan folyamatot hoz létre, amely „alvó módban” indul („felfüggesztve”). A sandbox olyan jeleket is talált, amelyek arra utalnak, hogy az alkalmazás kifejezetten vizsgálja, hogy virtuális gépen fut-e, és megpróbál elbújni az elemzés elől. Ezután további kritériumok következnek, mint például a fájlrendszeri műveletek végrehajtásának képessége, mappák létrehozása és törlése, a rendszerleíró adatbázis elérése, és még sok más.

A szerző végül a sandbox elemzésére támaszkodva arra a következtetésre jutott, hogy ez egyértelműen rosszindulatú program. Bárki, aki nem rendelkezik a szükséges szaktudással, ugyanerre a következtetésre jutott volna.

Az egyetlen probléma, hogy ez a következtetés teljesen téves. 

Ennek az az oka, hogy a kritériumokat félreértelmezték, és nem minden említett kritérium alkalmas annak eldöntésére, hogy egy fájl ártalmatlan vagy rosszindulatú-e.

A kontextus szerepe

A homokozóból származó adatokat mindig egy átfogó kontextusba kell beágyazni. E kontextus nélkül könnyű rossz irányba nyomozni. Ez az oka annak, hogy az automatikus sandbox jelentés nem helyettesíti a vírusvédelmet. Hogy ez miért van így, álljon itt egy ellenpélda. Ugyanaz a homokozó, ugyanaz az eljárás.

A feltöltött fájl egy „Space Fighter Rebellion” nevű játék. A homokozóba helyezett verzió nem tartalmaz rosszindulatú programokat, és határozottan tiszta – a sandbox azonban nem így gondolja:

Mélyebb megértés és további kontextus nélkül könnyen arra a következtetésre juthatunk, hogy ez egy kémprogram, amely regisztrálja, amit a számítógépen csinálunk. A keylogger funkcióval rendelkező kémprogramokra jellemző lenne, hogy a program beolvassa az egérmozgásunkat és a billentyűleütéseinket is.

De ha emlékszünk arra, hogy a fájl egy játék, akkor az is kiderülhet, hogy a billentyűleütések és az egérmozgások miért érdekesek egy program számára: ezek nélkül egyáltalán nem lehetne játszani a játékkal. Láthatjuk tehát, hogy valójában nem minden kártékony, ami első pillantásra gyanúsnak tűnik. Néhány baljós hangvételű elemzés mögött teljesen normális és legitim tevékenység húzódik meg.

Mi a rosszindulatú program (és mi nem az)

A rosszindulatú programok is „csak szoftverek”, amelyek egy adott feladatot hajtanak végre a rendszeren, és ehhez az operációs rendszer által biztosított funkciókat használják. Ez a tény önmagában nem meglepő – éppen ezért fontos, hogy az elemzés gondosan válassza ki azokat a kritériumokat, amelyek miatt a fájl rosszindulatúnak tűnik.

Kézzelfoghatóbb példában fogalmazva: ha egy riasztórendszert szeretnénk megtanítani a betörő jelzésére kialakított kritériumokkal, mint például „cipőt visel”, „táska van nála”, „gyapjúsapka van rajta” vagy „mozog az otthon körül sötétedés után”, ez nem lenne hatékony. Ezek a kritériumok túl általánosak, és sok olyan emberre vonatkoznak, akiknek jogos oka van ott lenni, így végül ez a hipotetikus rendszer teljesen értéktelenné válik. Természetesen ezen kritériumok mindegyike a betörőkre is vonatkozhat – de nagyon sok olyan emberre is, aki nem betörő. A fenti feltételek mentén a rendszer betörőnek fogja azonosítani a háztulajdonost, aki egy csípős téli estén este 7 órakor hazajön a munkából, és lerakja a táskáját.

A sandoxos rendszerek például gyakran rosszindulatúként észlelik az adatmentést készítő programokat, és azt gyanítják, hogy azok zsarolóprogramok. Ennek az az oka, hogy hozzáférési jogokkal rendelkeznek a fájlrendszerhez, titkosítási összetevőket tartalmaznak, és sok fájlrendszeri tevékenységet generálnak – például fájlok létrehozását, áthelyezését, másolását és törlését. Nagyon könnyű itt rossz következtetésre jutni, ha nincs kontextus.

Rögzítési hiba

A fent említett ügy nagy feltűnést keltett, nem utolsósorban a geopolitikai helyzet miatt. És mivel már korábban is érkeztek hírek kínai „gyárból” manipulált eszközökről, azt gondolhattuk, hogy ez egy újabb ilyen eset lehet. Az állítólagos rosszindulatú programot először jelentő személyeknek azonban nem volt tapasztalatuk a rosszindulatú programok elemzése terén. Olyan nyilvánosan elérhető eszközökre támaszkodtak, mint például az online sandbox, anélkül, hogy megfelelően osztályozták volna eredményeiket.

Az automatizált sandbox azonban nem malwarekereső – és jó esetben nem is állítja, hogy az lenne. Laikusként azonban könnyű téves következtetést levonni. A probléma az, hogy amennyiben úgy tűnik, hogy az eredmények ilyen világosak és egyértelműek, az emberek gyorsan abbahagyják más bizonyítékok keresését, vagy akár aktívan figyelmen kívül hagyják azokat. Hiszen saját felfogásuk szerint az eredmény (threat score: 100/100) már teljesen egyértelmű. A szakértők ezt rögzítési hibának nevezik.

Fájó tanulság

A sandbox rendszerek által használt besorolások és kritériumok még a tapasztalt elemzőket is tévútra tudják vezetni. „Amit egy homokozó rosszindulatúnak tekint, nem feltétlenül az is. Számomra ezek legfeljebb érdeklődési kritériumok, amelyeket érdemes alaposabban megvizsgálni” – mondja Karsten Hahn. „De mindig emlékeztetnem kell magam arra, hogy a homokozó kritériumait ne tegyem saját kritériummá, mert különben elfogult lennék.”

Ezen érdekes kritériumok megtalálása a sandboxos elemzés igazi haszna. A homokozó használata munkát takarít meg az elemzés során, de az eredmények nem helyettesítik az elemzést, és az eredmény önmagában nem alkalmas a fájl jóindulatúnak vagy rosszindulatúnak való minősítésére.

Nyugodtan feltételezhetjük, hogy a szerzőt eléggé zavarba hozta ez a nagyon nyilvános tévedés. Nem volt hiány azokból sem, akik kemény kritikát fogalmaztak meg azért, ami a csak egy őszinte tévedés volt.

Egy dolgot azonban határozottan meg lehet tanulni ebből a történetből: ne bízzunk a homokozó ítéletében a kontextus ismerete és további elemzés nélkül.

A cikkhez a lap alján tud hozzászólni, és mások hozzászólásait is ott olvashatja.

Ha tetszett a cikk:

Megosztás

Ne felejtsen el feliratkozni hírlevelünkre:

Megosztás

További cikkek

2025. 05. 22.

Az FBI és az Europol megzavarta a több mint 10 millió aktív fertőzésért felelős Lumma kártevő hálózatát


Tovább
2025. 02. 1.

A Meta szerint WhatsApp üzeneteken keresztül támadtak meg újságírókat 


Tovább
2025. 01. 22.

Miért van szükség vírusirtóra?


Tovább

Vélemény, hozzászólás? Válasz megszakítása

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük

Keresés a cikkek között

Legújabb cikkek

  • 0
    Az FBI és az Europol megzavarta a több mint 10 millió aktív fertőzésért felelős Lumma kártevő hálózatát
    2025. 05. 22.
  • 0
    A Meta szerint WhatsApp üzeneteken keresztül támadtak meg újságírókat 
    2025. 02. 1.
  • 0
    Miért van szükség vírusirtóra?
    2025. 01. 22.
  • 0
    Az automatikus elemzések határai
    2025. 01. 17.
  • 0
    Orosz beavatkozás miatt érvénytelenítették a román elnökválasztás első fordulóját
    2024. 12. 11.

Értesüljön híreinkről

Válassza ki, hogy milyen hírek érdeklik Önt:

Kategóriák

  • Blogbejegyzés
  • Lakossági tudásbázis
  • Sajtóközlemény
  • Vállalati hírek
  • Vállalati tudásbázis
  • Viszonteladói hírek

Címkék

adathalászat adatszivárgás adatvédelem Adobe Android Apple BankGuard Bitcoin botnet csalás deepray Facebook fbi G DATA GDPR Google hacker Instagram iOS IOT iPhone Jelszó kiberháború kibertámadás koronavírus Kriptovaluta kártevő kémprogram Linux Management Server mesterséges intelligencia MI Microsoft Oroszország OS X Patch Management spam sérülékenység torrent trójai Ukrajna Virus Bulletin Windows zsarolóvírus átverés

Lakossági vírusirtók

Windowsos szoftverek

> G Data Antivirus

> G Data Internet Security

> G Data Total Security

Andoridos szoftverek

> G Data Internet Security for Android

OS X (Mac) szoftverek

> G Data Antivirus for Mac

Vállalati antivírus

Vállalati vírusvédelem

> G Data EndpointProtection

> G Data ClientSecurity

> G Data AntiVirus

Levelezésvédelem

> G Data Levelezésvédelem

Hasznos linkek

Facebook és Twitter

> Csatlakozzon hozzánk a Facebookon

> Iratkozzon fel hírlevelünkre

> Vírusirtó tesztek

> Affiliate Partner Program

Kapcsolat

Elérhetőségek

> Terméktámogatás

G Data e-mail címE-mail címünk:

tamogatas (kukac) virusirto.hu

G Data telefonszámTelefonszámunk:

+36 800 88 528

H-P, 11.00 – 16.00

Nemzetközi terméktámogatás:

+36 1 999 6709
(angol és német nyelven, 0-24)


A G Data vírusirtó szoftverek díjai

Felhasználási feltételek és impresszum | Adatkezelési tájékoztató | Sajtókapcsolat |© Vírusirtó.hu - G Data Antivirus

✕

Belépés

Elfelejtett jelszó?

Fiók létrehozása?

G DATA Magyarország
Sütik kezelése

A legjobb élmény biztosítása érdekében olyan technológiákat használunk, mint a sütik az eszközadatok tárolására és/vagy eléréséhez. Ha beleegyezik ezekbe a technológiákba, akkor olyan adatokat dolgozhatunk fel ezen az oldalon, mint a böngészési viselkedés vagy az egyedi azonosítók. A hozzájárulás elmulasztása vagy visszavonása bizonyos funkciókat és funkciókat hátrányosan érinthet.

Funkcionális Always active
A technikai tárolás vagy hozzáférés feltétlenül szükséges a felhasználó által kifejezetten kért meghatározott szolgáltatás igénybevételének lehetővé tételéhez, vagy kizárólag a kommunikáció elektronikus hírközlő hálózaton történő továbbításának végrehajtásához.
Preferenciák
A technikai tárolás vagy hozzáférés a felhasználó által nem kért preferenciák tárolásának legitim céljához szükséges.
Statisztika
Az a technikai tárhely vagy hozzáférés, amelyet kizárólag statisztikai célokra használnak. The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
A technikai tárhely vagy hozzáférés szükséges ahhoz, hogy felhasználói profilokat hozzanak létre reklámküldéshez, vagy hasonló marketing célból követhessék a felhasználót egy webhelyen vagy több webhelyen.
Manage options Manage services Manage {vendor_count} vendors Read more about these purposes
View preferences
{title} {title} {title}