Πως η SophosLabs χρησιμοποιεί τον αυτοματισμό για να αναλύσει τις απειλές
Την περασμένη χρονιά, οι αρχές επιβολής του νόμου κατάφεραν να “κατεβάσουν” και να καταστρέψουν τα botnets Gameover Zeus και Shylock, σε δύο από τις πλέον επιτυχημένες επιχειρήσεις ενάντια στο οικονομικό malware. Παρόλα αυτά, οικογένειες malware όπως οι Dridex, Dyreza και Vawtrak συνεχίζουν να λυμαίνονται χρήστες online τραπεζικών συναλλαγών σε ολόκληρο τον κόσμο.
Σαφώς, ο πόλεμος ενάντια στις κυβερνοαπειλές δεν είναι απλή υπόθεση, αλλά η SophosLabs αναπτύσσει τεχνολογίες που βελτιώνουν τις ικανότητες μας να κατανοήσουμε και να απαντήσουμε στις απειλές ακόμα πιο αποτελεσματικά και αποδοτικά.
Ο Ανώτερος Ερευνητής Απειλών της SophosLabs, James Wyke, σε μία εργασία του που παρουσίασε στο Διεθνές Συνέδριο Virus Bulletin, μας δίνει την δυνατότητα να ρίξουμε μία ματιά στο παρασκήνιο ενός αυτοματοποιημένου συστήματος εξαγωγής πολύτιμων πληροφοριών από οικογένειες του λεγόμενου τραπεζικού malware.
Όπως ο James Wyke εξηγεί στην εργασία του, με τίτλο Breaking the Bank(er): Automated Configuration Data Extraction from Banking Malware, η εξαγωγή δεδομένων είναι μία χρονοβόρα και επαναλαμβανόμενη διαδικασία που είναι καλύτερο να την αφήσουμε στα συστήματα, απελευθερώνοντας τους αναλυτές να επικεντρωθούν στο δύσκολο μέρος της διαδικασίας, που είναι η ανάλυση.
Η αυτοματοποιημένη εξαγωγή δεδομένων μας βοηθάει επίσης να μάθουμε πληροφορίες σχετικά με τις οικογένειας malware καθώς και τους δημιουργούς malware (κακόβουλου λογισμικού) και τις οποίες μπορούμε να χρησιμοποιήσουμε για να ανιχνεύουμε μελλοντικές παραλλαγές τους και να δημιουργήσουμε ακόμα πιο αποτελεσματική και ισχυρή προστασία.
Τα δεδομένα που εξάγονται από το malware μπορούν να χρησιμοποιηθούν με διάφορους τρόπους, οι οποίοι περιγράφονται στον πίνακα του James Wyke παρακάτω.
Ο James Wyke περιγράφει το αυτοματοποιημένο σύστημα της Sophos, που έχει δημιουργηθεί με βάση ένα πρόγραμμα sandboxing με την ονομασία Cuckoo, και πως εξάγει και επεξεργάζεται τα δεδομένα προτού τα αποστείλει σε άλλα συστήματα για ανάλυση (δείτε την παρακάτω εικόνα).
Στην συνέχεια, ο James Wyke περιγράγει πως αναπτύχθηκε το συγκεκριμένο σύστημα sandboxing και πως λειτουργεί ενώ δίνει παραδείγματα για το πως χρησιμοποιήθηκε για να εξάγει δεδομένα από δείγματα του Vawtrak – μία οικογένεια τραπεζικού malware που έχει μελετηθεί εκτενώς.
Αν και ένα πολύτιμο τμήμα της έρευνας ασφαλείας περιγράφει τον τρόπο που αναπτύχθηκε το malware από την μεριά του επιτιθέμενου, η εργασία του James Wyke παρέχει πολλές πληροφορίες για τον τρόπο που οι ερευνητές ασφαλείας της Sophos κάνουν την δουλειά τους για να μας προσφέρουν καλύτερη προστασία ενάντια στις απειλές.
Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.