Τρίτη, 7 Απριλίου, 18:01
Αρχική inet UEFI: μηχανική μάθηση για εντοπισμό απειλών από την ESET

UEFI: μηχανική μάθηση για εντοπισμό απειλών από την ESET

Παρόλο που η ασφάλεια του UEFI (Unified Extensible Firmware Interface – Ενοποιημένη Επεκτάσιμη διασύνδεση Υλικολογισμικού) αποτελεί ένα σημαντικό ζήτημα τα τελευταία χρόνια, μέχρι στιγμής, εξαιτίας διάφορων περιορισμών, ο εντοπισμός των malware που το απειλούν περιορίζεται σε ένα πολύ μικρό αριθμό κρουσμάτων.

Οι ειδικοί της ESET, αφού εντόπισαν «in the wild» το πρώτο UΕFI rootkit, γνωστό ως LoJax, θέλησαν να δημιουργήσουν ένα σύστημα που θα τους επέτρεπε να ερευνήσουν τον τεράστιο τομέα του UEFI και να ανακαλύψουν τις αναδυόμενες και άγνωστες απειλές, με τρόπο αξιόπιστο και αποτελεσματικό.UEFI

Σπάνια εντοπίζεται malware όπως το LoJax – υπάρχουν εκατομμύρια εκτελέσιμα αρχεία UEFI «in the wild» και μόνο ένα μικρό ποσοστό από αυτά είναι κακόβουλα. «Μόνο τα τελευταία δύο χρόνια, έχουμε ανακαλύψει πάνω από 2,5 εκατομμύρια μοναδικά εκτελέσιμα αρχεία UΕFI, από τα συνολικά 6 δισεκατομμύρια», εξηγεί ο software engineer της ESET, Filip Mazán, υπεύθυνος για την ανάπτυξη του συστήματος μηχανικής μάθησης.

Βασιζόμενοι στα δεδομένα τηλεμετρίας που συγκεντρώθηκαν από τον ανιχνευτή UΕFI της ESET, οι ειδικοί του machine learning σε συνεργασία με τους ερευνητές malware της εταιρείας σχεδίασαν έναν εξατομικευμένο σύστημα επεξεργασίας δεδομένων για εκτελέσιμα αρχεία UEFI, το οποίο εντοπίζει ασυνήθιστα στοιχεία στα εισερχόμενα δείγματα, με τη βοήθεια της μηχανικής μάθησης.

«Για να μειώσουμε τον αριθμό των δειγμάτων που απαιτούν την ανθρώπινη προσοχή, αποφασίσαμε να αναπτύξουμε ένα σύστημα που, εντοπίζοντας ασυνήθιστα χαρακτηριστικά στα εκτελέσιμα αρχεία UEFI, φέρνει στην επιφάνεια δείγματα με άτυπη συμπεριφορά», λέει ο Mazán.

Για να εξακριβώσουν τη δυνατότητας υλοποίησης της μεθόδου αυτής, οι ερευνητές εξέτασαν το προκύπτον σύστημα σε γνωστά ύποπτα και κακόβουλα εκτελέσιμα αρχεία UEFI που δεν είχαν συμπεριληφθεί ως τότε στο σύνολο των δεδομένων – κυρίως τον UEFI driver του LoJax. Το σύστημα κατέληξε στο συμπέρασμα ότι ο driver του LoJax διέφερε με πρωτόγνωρο τρόπο.

«Αυτή η επιτυχημένη δοκιμασία προσφέρει ένα επίπεδο αξιοπιστίας ότι, αν εμφανιστεί μια παρόμοια απειλή σε UEFI, θα μπορούσαμε να την αναγνωρίσουμε ως ασυνήθιστη, να την αναλύσουμε αμέσως και να δημιουργήσουμε ένα κατάλληλο σύστημα ανίχνευσης», σχολιάζει ο Mazán.

Η προσέγγιση αυτή που βασίζεται στη μηχανική μάθηση, εκτός από τις ισχυρές δυνατότητες εντοπισμού ύποπτων εκτελέσιμων αρχείων UEFI, διαπιστώθηκε επίσης ότι μειώνει το φόρτο εργασίας των αναλυτών της ESET κατά 90% (συγκριτικά με το να αναλύσουν κάθε εισερχόμενο δείγμα).

Καθώς κάθε νέο εισερχόμενο εκτελέσιμο αρχείο UEFI προστίθεται στο σύνολο δεδομένων, επεξεργάζεται, αναπροσαρμόζεται και λαμβάνεται υπόψη για τα επόμενα εισερχόμενα δείγματα, η λύση προσφέρει παρακολούθηση του UΕFI σε πραγματικό χρόνο.

Χρησιμοποιώντας το σύστημα αυτό για να εντοπίσουν απειλές UΕFI, οι ερευνητές της ESET ανακάλυψαν πολλά ενδιαφέροντα στοιχεία UEFI που μπορούν να χωριστούν σε δύο κατηγορίες – τα UEFI firmware backdoors και τα persistence modules σε επίπεδο OS.

«Παρόλο που το σύστημα επεξεργασίας εκτελέσιμων αρχείων UEFI δεν έχει ακόμη οδηγήσει στην εξεύρεση νέου κακόβουλου λογισμικού, τα αποτελέσματα που έχει επιτύχει μέχρι στιγμής είναι ενθαρρυντικά», λέει ο Jean-Ian Boutin, senior malware researcher της ESET.

Το πιο αξιοσημείωτο εύρημα είναι το backdoor της ASUS: ένα UEFI firmware backdoor που βρέθηκε σε διάφορα μοντέλα φορητών υπολογιστών ASUS, το οποίο επιδιορθώθηκε από την ASUS μετά τη σχετική ενημέρωση της ESET.

Περισσότερες πληροφορίες σχετικά με αυτήν την έρευνα του ESET βρίσκονται στο blog post «Needles in a haystack: Picking unwanted UΕFI components out of millions of samples» στο WeLiveSecurity.com.

_______________________

SecNews
SecNewshttps://www.secnews.gr
In a world without fences and walls, who need Gates and Windows

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

LIVE NEWS

Πως να κατεβάσετε δωρεάν (download) μια ταινία;

Ακολουθεί οδηγός για το πως να κατεβάσετε μια ταινία δωρεάν (download) στον υπολογιστή ή στο κινητό σας χρησιμοποιώντας υπηρεσίες on-demand, δωρεάν site...

WhatsApp: Περιορίζει την προώθηση μηνυμάτων λόγω παραπληροφόρησης για τον COVID-19

Η εφαρμογή του WhatsApp έθεσε περιορισμούς στη μαζική προώθηση μηνυμάτων, σε μια προσπάθεια να εξαλείψει την παραπληροφόρηση. Αυτό συνδέεται με το γεγονός...

Parallels Desktop 15: Εγκατάσταση των Windows 10 σε macOS

Υπάρχουν μερικοί τρόποι να εγκαταστήσετε Windows 10 σε Macbook. Οι πιο γνωστοί τρόποι χρησιμοποιούν το ενσωματωμένο εργαλείο...

Άντρας συνελήφθη από τη Europol για εξαπάτηση φαρμακευτικής εταιρείας

Ένας άνδρας, συνελήφθη από τη Europol καθώς προσπάθησε να ξεπλύνει χρήματα που προέρχονταν από μία απάτη μέσω...

Το Linux και το σύστημα αρχείων exFAT της Microsoft: Η ιστορία μέχρι στιγμής

Η οικειότητα μεταξύ της Microsoft και του Linux Open Source δεν είναι πλέον κρυφή. Παρόλο που η συμμετοχή μπορεί να φαίνεται περισσότερο...

Ιαπωνία: Μαθητές φτιάχνουν την δική τους τελετή αποφοίτησης στο Minecraft ενόψει του COVID-19

Με την πανδημία του Κορωνοϊού COVID-19 να πλήττει χώρες σε όλο τον κόσμο, οι κυβερνήσεις έχουν λάβει μεγάλο αριθμό μέτρων, σε μία...

Microsoft: Ανακοινώνει το IPE, το νέο code integrity χαρακτηριστικό για Linux

Η Microsoft δημοσίευσε, αυτήν την εβδομάδα, λεπτομέρειες σχετικά με ένα νέο project που ετοιμάζει η εταιρεία και...

Το Folding @ Home εγκαθίσταται στο Sandbox των Windows 10

Πρόσφατα, αναφερθήκαμε σε μία νέα προσπάθεια, το Folding @ Home project που παρέχει υποστήριξη σε άτομα που...

ΗΠΑ: Ζητούνται προγραμματιστές COBOL λόγω COVID-19!

Ενόψει της πανδημίας του COVID-19, η οποία πλήττει μεταξύ άλλων τις ΗΠΑ, κινητοποιούνται διάφοροι φορείς για να συμβάλλουν στον αγώνα κατά του...

Έξυπνη τουαλέτα εντοπίζει πιθανές ασθένειες αναλύοντας τα κόπρανά σας

Ερευνητές του Πανεπιστημίου του Στάνφορντ δημιούργησαν μια έξυπνη τουαλέτα που μπορεί να αναλύει τα κόπρανα και τα...