MI állíthatja meg a kártevőket?
Az idei év első felében csupán egyetlen kártevőnek, az Emotet trójainak 30 ezer különböző variánsát fedezték fel a víruslaboratóriumok. A bűnözők nem magán a kártevőn, hanem annak csomagolásán változtatnak ilyen sokszor, de ez éppen elég ahhoz, hogy a hagyományos vírusvédelmi technológiák már ne tudják tartani a lépést. Újabb paradigmaváltásra van tehát szükség, és a megoldás a mesterséges intelligencia lehet.
Egy mai trójai olyan összetett kódból áll, amelyet általában évekig fejlesztenek a bűnözők. Számukra ez a befektetés csak akkor térül meg, ha az elkészült kártevőt sokszor és hatékonyan tudják úgy újracsomagolni, hogy az egyes verziókat a vírusirtó szoftverek már ne ismerjék fel. Folyamatos harcról van szó a két fél között: a védelmi szoftverek megtanulják felismerni az új verziót, mire a bűnözők azt gyorsan módosítják egy kicsit, és még újabbat adnak ki.
Az eredmény pedig, hogy rengeteg – akár több tízezer változat – születik meg egyetlen kártevőből, a vírusvédelmi cégek pedig nehezen tartanak lépést a sok különböző mutációval, mivel azokat mind fel kell dolgozniuk. És ugyan az elmúlt 10 évben egy sor olyan védelmi technológiát (például a heurisztikus és a magatartás-alapú felismerést) mutattak be, amelyek segítik a még ismeretlen változatok felismerését, ezek mégsem bizonyultak teljesen elegendőnek.
A bűnözők így jelenleg ugyanazt a kódmagot csomagolják be különböző titkosításokkal újra és újra, de maga a kártevő már csak a megtámadott számítógép memóriájában kerül kibontásra. A G DATA által fejlesztett, DeepRay névre keresztelt új mesterséges intelligencia pedig pontosan azt ismeri fel jó eséllyel, hogy a számítógépre érkező kód be van-e csomagolva ilyen „álruhába”. Természetesen néha legitim szoftverek is használnak a kártevőkhöz hasonló csomagolási technikákat, például a másolásvédelem érdekében. Ezért egy álcázási technika észlelése után a DeepRay a számítógép memóriájában alapos analízisnek veti alá a kódot, és megpróbálja az ismert kártevőcsaládok kódmagját megtalálni.
Ezzel a fejlesztéssel a bűnözők jelenlegi „üzleti modelljét” tesszük gazdaságtalanná. Az „álruha” cserélgetése ugyanis a támadók számára gyors megoldást jelent, amely nem jár nagy költségekkel. A hagyományos, szignatúrákon alapuló védelmi szoftverek gyártói számára ugyanakkor óriási energiát és költséget igényel minden egyes álcázási technikát egyesével felismerni.
A DeepRay technológiát valamivel fél évvel ezelőtt mutattuk be, azóta minden windowsos termékünk részét képezi. Most pedig az egyik legaktívabb trójai, az Emotet példáján illusztráljuk, hogy a mesterséges intelligencia milyen hatékony az új variánsok megállításában.
Egy tipikus napon a G DATA víruslaboratóriuma az Emotet 16 darab új variánsát azonosítja, majd azonnal teszteljük, hogy más gyártók szignatúraalapú védelme felismeri-e ugyanezeket az adott időpontban. Az eredményeket az alábbi táblázat mutatja be:
A táblázatból látszik, hogy az első konkurensünk felismerte az új variánsok felét – 16-ból 8 darabot. Az is kiderül, hogy a szignatúra az adott napon délelőtt 11 óra körül került kibocsátásra, majd körülbelül 16 óráig tartotta magát – késő délutánra azonban az Emotet ismét előnybe került. A második és a harmadik gyártó viszont az új variánsok közül egyetlenegyet sem ismert fel az adott időpontban. A negyedik gyártó pedig egyetlen egy új variánst állított meg. Az utolsó, ötödik gyártó az új variánsoknak szintén a felét ismerte fel, egy részüket délelőtt, egy más részüket pedig délután, a kettő között lyukkal.
Az 5 gyártó együttesen az új variánsok 82 százalékát volt képes blokkolni, de közülük egyetlen sem teljesített 50% felett, ezalatt a DeepRay mesterséges intelligencia az összes új variánst felismerte.
A DeepRay a felismeréshez neurális hálózatokat használ, amelyek betanításához a G DATA hardveres háttér-infrastruktúrát épített ki. A mélyebb elemzésre csak akkor kerül sor, ha a védelem érzékeli valamilyen csomagolási technika (álruha) jelenlétét, és erre már a védett számítógép memóriájában kerül sor.
A technológiát folyamatosan fejlesztjük, de a rendszer hatékonyságát jól mutatja, hogy a kezdeti algoritmusokhoz fél év alatt csak egyetlen alkalommal kellett hozzányúlni. Ha a mesterséges intelligencia beválik, előbb-utóbb más gyártók is követni fogják a példánkat, ez jelentheti majd a vírusvédelmi megoldások új generációját.