Nieuw systeem bestrijdt malware via gedragsanalyse gebruiker
Onderzoekers hebben een nieuw systeem bedacht om malware te bestrijden waarbij naar het gedrag van de gebruiker wordt gekeken om te bepalen of een handeling op de computer goed- of kwaadaardig is. Gyrus, zoals het systeem heet, kijkt naar dagelijks uitgevoerde taken, zoals het versturen van e-mail.
Vervolgens wordt er gecontroleerd of het uitgaande verkeer van een e-mailprogramma of een online transactie overeenkomt met het gedrag van de gebruiker. Om de context te bepalen kijkt Gyrus naar de invoer van de gebruiker die op het scherm verschijnt. Vervolgens wordt dit vergeleken met de uitvoer om te controleren of de uitgevoerde actie overeenkomt met de handelingen van de gebruiker.
Het systeem werkt bijvoorbeeld ook bij internetbankieren. Als de gebruiker 100 euro overmaakt en dit ook op het scherm te zien krijgt, zal Gyrus alarm slaan als malware er opeens voor zorgt dat er 1000 euro wordt overgemaakt. "Het idee van het bepalen van correct gedrag van een applicatie door de bedoeling van de gebruiker op te slaan is niet geheel nieuw, maar vorige pogingen op dit gebied gebruikten een te simplistisch model van het gebruikersgedrag", zegt Yeongjin Jang van de George Tech Universiteit en leider van het onderzoek.
Deze systemen kijken bijvoorbeeld naar het gedrag van de gebruiker aan de hand van een enkele muisklik, zonder de bijbehorende context op te slaan. Daardoor is het eenvoudig om een aanval als goedaardig gedrag eruit te laten zien. Gyrus probeert meer context te verzamelen door zowel naar de acties van de gebruiker als de inhoud van de tekst op het scherm te kijken.
Transparante laag
De onderzoekers omschrijven Gyrus als een transparante laag bovenop het venster van een applicatie. De gebruiker merkt niets van Gyrus, maar als het systeem doorheeft dat gegevens van gebruikers zijn gemanipuleerd wordt het verkeer geblokkeerd en de gebruiker gewaarschuwd. Door eerst de bedoeling en interactie van de gebruiker op te slaan en dit vervolgens met de resulterende uitvoer te controleren, zou Gyrus de nauwkeurigheid van transacties en handelingen garanderen, zelfs als de computer met malware is besmet.
De gebruiker ziet 100, de mallware laat 1000 "zien" aan Gyrus en verstuurd Gyrus.
Iedereen "blij"
De gebruiker ziet 100, de mallware laat 1000 "zien" aan Gyrus en verstuurd Gyrus.
Iedereen "blij"
Want let wel, je kan zeggen "beter met dan zonder", maar dan vergeet je dat dit net zo goed een mogelijke aanvalsvector is, en bovendien eentje die allerlei screen-scraping en andere meegluurtechnieken alvast voorgebakken ingebouwd heeft.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
