Şüpheli Bir Dosyayı Tek Seferde Analiz Ediyor



Kaspersky'nin Yeni Patentli Teknolojisi

Şüpheli Bir Dosyayı Tek Seferde Analiz Ediyor

Kaspersky, sanal bir makinede kötü amaçlı işlevlerin tespitini sadeleştirmek amacıyla tasarlanan bir teknoloji için Birleşik Devletler Patent ve Marka Ofisi’nden (US10339301) patent aldı. Zararlı yazılımı tetikleyecek koşulları sağlayan bu patentli teknoloji sayesinde araştırmacılar birden fazla deneme yerine tek bir denemeyle şüpheli bir dosyayı analiz edebilecek. Bu teknolojinin sanal ortam yöntemiyle tespit oranını artırması ve analistlerin manuel olarak yapması gereken işleri otomatik hale getirmesi bekleniyor.

Bir dosyanın zararlı davranışlarını tespit etme yöntemlerinden biri o dosyayı izole edilmiş bir sanal makinede çalıştırmak. Zararlı yazılım analizini otomatik hale getiren bu yöntemde yazılımların gerçek yüzünü gösterecekleri ortamı oluşturmak için manuel çalışma gerekiyor. Ayrıca, siber suçlular da bu yöntemden kaçınmak için çeşitli teknikler uyguluyor. Zararlı bir dosya tespit edilmemek için çalışmadan önce bir sanal makinede olup olmadığını kontrol edebiliyor veya sanal ortam kapatılana kadar uzun süre bir şey yapmadan bekleyebiliyor.

“Sanal Makinede Dosyaların Zararlı Amaçlarını Analiz Etme Sistemi ve Yöntemi” adlı patent, dosyaları otomatik olarak tetikleyen ve her biri için uygun koşulları hazırlayan teknolojiyi açıklıyor.

Bu koşullar farklılık gösterebiliyor. Zararlı yazılımlar belirli bir uygulamayı, örneğin sanal ortamda bulunmayan bir e-posta istemcisini hedef alıyorsa kötü amaçlı davranışlarını göstermeyebiliyor. Bu sorunu aşmak için araştırmacıların kayıtları incelemesi, neyin eksik olduğunu anlaması ve bunu sanal makine ortamına ekleyip süreci yeniden başlatması gerekiyor.

Şimdi ise zararlı yazılım bir uygulamaya, dizine veya dosyaya erişmeye çalıştığında patentli sistem bunun önünü kesiyor. Ancak dosyanın faaliyetinin bitmesini beklemeden süreci duraklatıyor ve gerekli uygulama ve içerikleri oluşturuyor (örn. tarayıcı parolaları). Bunun ardından süreç devam ediyor.

Patentli teknoloji, zararlı yazılımın tespit edilmekten kaçınmak için sanal ortam çalışırken “uyuyup” hiçbir şey yapmadığı kaçış yönteminin de aşılmasını sağlıyor. Bu gibi durumlarda, patentli teknoloji sanal makinedeki zaman akışını hızlandırıyor. Böylece zararlı kodun daha erken çalışması sağlanıyor. Tüm zamanlayıcılar ve saatler sanal ortamda olduğundan zararlı yazılım bunu fark edemiyor.

Belirli olaylara nasıl tepki verileceğini gösteren tespit kuralları motorun içine önceden kurulmuyor veya uygulanmıyor. Bunlar sonrada kolaylıkla yüklenip eklenebiliyor. Böylece tüm motoru değiştirmeden yalnızca mevcut zararlı davranış senaryolarını zenginleştiren yeni mantıklar eklenebiliyor.

Teknolojiyi geliştiren isimlerden biri olan Kaspersky Emülasyon Teknolojileri Grup Müdürü Vladislav Pintiysky, “Siber suçlular sürekli yeni kaçış teknikleri bulduğundan, zararlı davranış tespit teknolojilerimizi daha da gelişmiş hale getirmek zorundayız. Örneğin uyku zamanlayıcıları giderek daha fazla kullanılır oldu. Kaspersky zararlı yazılım analistlerine göre, otomatik araçların gözden kaçırdığı örneklerin yarısı çalışmadan önce belirli bir süre bekleyen sürümler. Bu patentli teknoloji sanal ortamdaki dosya akışını akıllı bir şekilde yönetiyor ve ihtiyaç duyulan her şeye ulaşıyor.” dedi.

Teknolojinin mucitleri arasında bulunan Kaspersky Test Grubu Müdürü Denis Kobychev, “Sonuç olarak ilk talebin ardından bir kanıya varabiliyoruz. Sanal ortamların yüksek performans gereksinimi düşünüldüğünde, bu teknoloji zararlı yazılımları daha doğru tespit ederken şirket kaynaklarından da tasarruf sağlayacak.” dedi.

Teknoloji, şirket içindeki zararlı yazılım analizleri için kullanılacak ve sanal ortamlı çözümlere uygulanacak.


İlginizi Çekebilecek Yazılar





İletişim | Gizlilik | Kullanım Koşulları