Studenten aan de Universiteit Twente hebben tijdens de Black Hat conferentie in Amsterdam laten zien hoe ook de nieuwste manier om malware te detecteren omzeild kan worden. Gebruikten systemen vroeger alleen signatures om malware te detecteren, tegenwoordig wordt verdachte code onder gecontroleerde omstandigheden uitgetest, ook wel emulatie genoemd. Via deze techniek is het bijvoorbeeld mogelijk om zero day-aanvallen op te sporen waarvoor nog geen beveiligingsupdate beschikbaar is.
Promovendus Ali Abbasi en student Jos Wetzels presenteerden gisteren hun onderzoek naar deze technieken, die niet waterdicht blijken te zijn. Bij systemen die emulatie gebruiken voor het opsporen van aanvallers vinden er drie fases plaats, namelijk pre-processing, emulation en heuristics detection. In de eerste stap wordt het netwerkverkeer geïnspecteerd, in de emulatiefase wordt verdachte code opzij gezet en uitgevoerd, in de volgende fase valt dan het oordeel of inderdaad een alarm nodig is.
Abbasi en Wetzels lieten zien dat de techniek een grote stap voorwaarts is, maar tonen ook aan dat er mogelijkheden blijven bestaan om de techniek te omzeilen. Bijvoorbeeld door de verdachte code gefragmenteerd aan te bieden en er zo voor te zorgen dat de emulator helemaal niet aan het werk gaat. Er wordt zo geen verdachte code herkend en er is ook geen alarm. De volgende stap in het onderzoek van de onderzoekers is het bedenken van een oplossing voor deze aanval.
Deze posting is gelocked. Reageren is niet meer mogelijk.