Οι ειδικοί της ESET ανέπτυξαν ένα σύστημα μηχανικής μάθησης για τον εντοπισμό αναδυόμενων απειλών στο UEFI
Παρόλο που η ασφάλεια του UEFI (Unified Extensible Firmware Interface – Ενοποιημένη Επεκτάσιμη διασύνδεση Υλικολογισμικού) αποτελεί ένα σημαντικό ζήτημα τα τελευταία χρόνια, μέχρι στιγμής, εξαιτίας διάφορων περιορισμών, ο εντοπισμός των malware που το απειλούν περιορίζεται σε ένα πολύ μικρό αριθμό κρουσμάτων.
Οι ειδικοί της ESET, αφού εντόπισαν «in the wild» το πρώτο UEFI rootkit, γνωστό ως LoJax, θέλησαν να δημιουργήσουν ένα σύστημα που θα τους επέτρεπε να
Σπάνια εντοπίζεται malware όπως το LoJax – υπάρχουν εκατομμύρια εκτελέσιμα αρχεία UEFI «in the wild» και μόνο ένα μικρό ποσοστό από αυτά είναι κακόβουλα. «Μόνο τα τελευταία δύο χρόνια, έχουμε ανακαλύψει πάνω από 2,5 εκατομμύρια μοναδικά εκτελέσιμα αρχεία UEFI, από τα συνολικά 6 δισεκατομμύρια», εξηγεί ο software engineer της ESET, Filip Mazán, υπεύθυνος για την ανάπτυξη του συστήματος μηχανικής μάθησης.
Βασιζόμενοι στα δεδομένα τηλεμετρίας που συγκεντρώθηκαν από τον ανιχνευτή UEFI της ESET, οι ειδικοί του machine learning σε συνεργασία με τους ερευνητές malware της εταιρείας σχεδίασαν έναν εξατομικευμένο σύστημα επεξεργασίας δεδομένων για εκτελέσιμα αρχεία UEFI, το οποίο εντοπίζει ασυνήθιστα στοιχεία στα εισερχόμενα δείγματα, με τη βοήθεια της μηχανικής μάθησης. «Για να μειώσουμε τον αριθμό των δειγμάτων που απαιτούν την ανθρώπινη προσοχή, αποφασίσαμε να αναπτύξουμε ένα σύστημα που, εντοπίζοντας ασυνήθιστα χαρακτηριστικά στα εκτελέσιμα αρχεία UEFI, φέρνει στην επιφάνεια δείγματα με άτυπη συμπεριφορά», λέει ο Mazán.
Για να εξακριβώσουν τη δυνατότητας υλοποίησης της μεθόδου αυτής, οι ερευνητές εξέτασαν το προκύπτον σύστημα σε γνωστά ύποπτα και κακόβουλα εκτελέσιμα αρχεία UEFI που δεν είχαν συμπεριληφθεί ως τότε στο σύνολο των δεδομένων – κυρίως τον UEFI driver του LoJax. Το σύστημα κατέληξε στο συμπέρασμα ότι ο driver του LoJax διέφερε με πρωτόγνωρο τρόπο. «Αυτή η επιτυχημένη δοκιμασία προσφέρει ένα επίπεδο αξιοπιστίας ότι, αν εμφανιστεί μια παρόμοια απειλή σε UEFI, θα μπορούσαμε να την αναγνωρίσουμε ως ασυνήθιστη, να την αναλύσουμε αμέσως και να δημιουργήσουμε ένα κατάλληλο σύστημα ανίχνευσης», σχολιάζει ο Mazán.
Η προσέγγιση αυτή που βασίζεται στη μηχανική μάθηση, εκτός από τις ισχυρές δυνατότητες εντοπισμού ύποπτων εκτελέσιμων αρχείων UEFI, διαπιστώθηκε επίσης ότι μειώνει το φόρτο εργασίας των αναλυτών της ESET κατά 90% (συγκριτικά με το να αναλύσουν κάθε εισερχόμενο δείγμα). Καθώς κάθε νέο εισερχόμενο εκτελέσιμο αρχείο UEFI προστίθεται στο σύνολο δεδομένων, επεξεργάζεται, αναπροσαρμόζεται και λαμβάνεται υπόψη για τα επόμενα εισερχόμενα δείγματα, η λύση προσφέρει παρακολούθηση του UEFI σε πραγματικό χρόνο.
Χρησιμοποιώντας το σύστημα αυτό για να εντοπίσουν απειλές UEFI, οι ερευνητές της ESET ανακάλυψαν πολλά ενδιαφέροντα στοιχεία UEFI που μπορούν να χωριστούν σε δύο κατηγορίες – τα UEFI firmware backdoors και τα persistence modules σε επίπεδο OS. «Παρόλο που το σύστημα επεξεργασίας εκτελέσιμων αρχείων UEFI δεν έχει ακόμη οδηγήσει στην εξεύρεση νέου κακόβουλου λογισμικού, τα αποτελέσματα που έχει επιτύχει μέχρι στιγμής είναι ενθαρρυντικά», λέει ο Jean-Ian Boutin, senior malware researcher της ESET. Το πιο αξιοσημείωτο εύρημα είναι το backdoor της ASUS: ένα UEFI firmware backdoor που βρέθηκε σε διάφορα μοντέλα φορητών υπολογιστών ASUS, το οποίο επιδιορθώθηκε από την ASUS μετά τη σχετική ενημέρωση της ESET.
Περισσότερες πληροφορίες σχετικά με αυτήν την έρευνα του ESET βρίσκονται στο blog post «Needles in a haystack: Picking unwanted UEFI components out of millions of samples» στο WeLiveSecurity.com.
- Δημοφιλέστερες Ειδήσεις Κατηγορίας Τεχνολογία
- Τι κρύβεται στο εσωτερικό του Samsung Galaxy Fold; Δείτε σε video!
- Ανακοινώθηκε το fantasy RPG Isles of Adalar (trailer)
- Το Dell Exclusive Store ξεκινά τη λειτουργία του στη Θεσσαλονίκη
- Καθηλωτική εμπειρία θέασης και αναβαθμισμένο περιβάλλον χρήσης από το νέο LG UHD 4K HDR monitor
- Tech Talent Bootcamp: άρχισαν οι εγγραφές για τον 2ο κύκλο των ...
- Τα Samsung Galaxy που θα μπουν στο πρόγραμμα Android 10 beta
- Δημοφιλέστερες Ειδήσεις TechPress
- Τελευταία Νέα TechPress
- Οι ειδικοί της ESET ανέπτυξαν ένα σύστημα μηχανικής μάθησης για τον εντοπισμό αναδυόμενων απειλών στο UEFI
- Το Dell Exclusive Store ξεκινά τη λειτουργία του στη Θεσσαλονίκη
- Καθηλωτική εμπειρία θέασης και αναβαθμισμένο περιβάλλον χρήσης από το νέο LG UHD 4K HDR monitor
- Ο αριθμός των χρηστών που συνάντησαν λογισμικό παρακολούθησης αυξήθηκε κατά 35%
- Όμιλος ΟΤΕ: Νέο διεθνές έργο τεχνολογίας, για το Ευρωπαϊκό Γραφείο Διπλωμάτων Ευρεσιτεχνίας (EPO)
- Hori Wireless Racing Wheel για PS4
- H TP-Link παρουσιάζει την Tapo C200 Pan/Tilt Home Security Wi-Fi Camera
- Το νέο Xiaomi Redmi Note 8 Pro, το πρώτο κινητό με 64 MP κάμερα στην Ελλάδα από την Info Quest Technologies
- Φωτογραφικοί σύντροφοι… παραλίας
- SEGA Mega Drive Mini: Η εμβληματική κονσόλα επιστρέφει με 2 χειριστήρια και HD Widescreen γραφικά
- Τελευταία Νέα Κατηγορίας Τεχνολογία
- Τα Samsung Galaxy που θα μπουν στο πρόγραμμα Android 10 beta
- Ημερομηνία για το Fight or Fright event του Apex Legends
- Ανακοινώθηκε το fantasy RPG Isles of Adalar (trailer)
- Τι κρύβεται στο εσωτερικό του Samsung Galaxy Fold; Δείτε σε video!
- Tech Talent Bootcamp: άρχισαν οι εγγραφές για τον 2ο κύκλο των ...
- Αποκαλύφθηκαν οι απαιτήσεις συστήματος για το Star Wars Jedi: Fallen Order σε PC
- Πληροφορίες για το Special Ops mode του Call of Duty: Modern Warfare (trailer)
- Sarah Conor και Carl συναντιούνται στο νέο σποτ του Terminator: Dark Fate
- Σε PS4, Xbox One και PC το Doom 64
- Το Playstation 5 θα κυκλοφορήσει μέσα στο 2020