Za złośliwym oprogramowaniem zazwyczaj stoją duże pieniądze. A im bardziej jest ono wyrafinowane, tym większe zyski może przynieść swoim twórcom. Szczególnie jeśli mowa o takich przedsięwzięciach jak ransomware, keyloggery, trojany bankowe i wydobywaniu kryptowalut do złośliwych celów. Te projekty zapewniają spore dochody, ale wymuszają też konieczność utrzymywania ich, zupełnie tak jak ma to miejsce w świecie legalnego oprogramowania. Chęć zadbania o bezpieczeństwo wirusa jako produktu skłoniła programistów do stworzenia takich form, które stawią czoła nawet najbardziej zaawansowanym mechanizmom security. Dziś przyjrzymy się polymorphic i metamorphic malware czyli polimorficznym i metamorficznym odmianom złośliwego oprogramowania. O co w tym chodzi?

Każdy wirus ma zdolność do replikacji, ale odmiany poli- i metamorficzne potrafią zmieniać swoje właściwości tak, by zidentyfikowanie ich za pomocą poprzedniego wzorca było niemożliwe.

Klasyczne programy antywirusowe posługują się sygnaturami w celu wykrycia, czy program jest złośliwy. Po identyfikacji nowego wirusa jego podpis (sygnatura) jest rejestrowany i wysyłany do wszystkich programów antywirusowych. W pewnym sensie podpis jest odciskiem palca wirusa w policyjnym rejestrze. Podczas gdy zostanie „złapany”, wszyscy inni zostaną poinformowani o tym fakcie. W ten sposób do lokalnych baz innych producentów trafiają informacje o niebezpiecznych programach a rozwiązania AV zyskują nowe „szczepionki”. Bardzo często ten mechanizm porównuje się do naturalnych mechanizmów obronnych ludzkiego organizmu, który wytwarza przeciwciała w następstwie kontaktu z wirusem czy to w formie szczepionki czy po przebytej chorobie.

Wirusy jednak mutują i znamy to chociażby z corocznych doniesień o nowej odmianie szczepionki na grypę. Co więc jeśli przełożymy tę sytuację na świat IT a sygnatura tego samego wirusa mogła się zmieniać? W ten sposób nie zostałby wykryty, nawet jeśli program antywirusowy posiadałby zapis poprzedniego „odcisku palca” złośliwego oprogramowania. Dla hakerów oznacza to, że nie muszą zmieniać kodu malware’u po jego wykryciu; wystarczy, jeśli po prostu stworzą dla niego „nowe przebranie”. Właśnie to dzieje się w przypadku oprogramowania polimorficznego i metamorficznego. Jego przyszłość w połączeniu ze sztuczną inteligencją może oznaczać powstanie nowych, nieprzewidywalnych w skutkach szkodliwych programów.

Polymorphic i metamorphic malware – różnice

Metamorficzne i polimorficzne złośliwe oprogramowanie to dwie kategorie malware, które mogą zmieniać swój kod podczas rozprzestrzeniania się. Oba przejawiają zdolność do adaptacji, ale realizują ją w różny sposób.

Polymorphic malware

Złośliwe oprogramowanie polimorficzne ma „rdzeń”, który zawsze robi to samo, bez względu na to, ile razy się zmienia. Zawsze wykonuje te same akcje i zawsze atakuje w ten sam sposób, ale wciąż zmienia morfologię reszty kodu. Polymorphic malware  może być nieco łatwiejsze do wykrycia niż jego metamorficzny wariant, ponieważ jego stała część umożliwia identyfikację. Przykładem polimorficznego malware’u jest Storm Worm. Pojawił się on w 2007 roku a swoją nazwę zawdzięcza metodzie ataku, polegającej na wysłaniu wiadomości e-mail z tematem „230 dead as storm batters Europe”.

Po zainfekowaniu ofiary, generował się nowy szczep złośliwego oprogramowania i co trzydzieści minut „wysyłał się” dalej. Jak widać na obrazkach, wiersz tematu ulegał modyfikacji, ale sama zawartość już nie. To oczywiście prymitywny przykład działania polymorphic malware, jednak nadal jest on w obiegu i dobrze obrazuje na czym polega mechanizm zmiany.

Storm Worm jako przykład polimorficznego malware – źródło

Metamorphic malware

Szkodliwe oprogramowanie metamorficzne jest o wiele bardziej nieprzyjemne. Podczas gdy polimorficzne ma charakterystyczną część, którą można wykryć, złośliwe oprogramowanie metamorficzne próbuje reorganizować cały swój kod przy każdej iteracji. Ponownie łączy tę samą logikę i funkcjonalność, którą posiadał wcześniej, ale dodaje nowe elementy. Dzięki temu każda następna wersja jego kodu będzie różnić się od poprzedniej a to z kolei znacznie utrudnia identyfikacje i wykrycie. Programy antywirusowe oparte na sygnaturach nie będą w stanie rozpoznać, że różne iteracje są tym samym złośliwym programem.

Co więcej, pomimo ciągłych zmian w kodzie każda iteracja złośliwego oprogramowania metamorficznego działa w ten sam sposób. Im dłużej złośliwe oprogramowanie pozostaje w komputerze, tym więcej iteracji produkuje i tym bardziej zaawansowanych, przez co aplikacje antywirusowe coraz trudniej je wykrywają. Autor może korzystać z wielu technik transformacji, w tym zmiany nazw rejestrów, permutacji, rozszerzania, zmniejszania i wstawiania kodu. W związku z tym do wykrywania wymagane są zaawansowane techniki, takie jak ogólne skanowanie odszyfrowywania, negatywna analiza heurystyczna, emulacja i dostęp do technologii wirtualizacji.

Morficzny malware jest wszędzie

Z punktu widzenia nakładu pracy programisty, polymorphic i metamorphic malware to wyzwania. Okazuje się jednak, że typ polimorficzny jest bardziej powszechny niż zdajemy sobie z tego sprawę. Badania przeprowadzone przez Webroot wykazały, że „ponad 94% wszystkich złośliwych plików wykonywalnych, które napotykamy, ma charakter polimorficzny”. Webroot przyznaje, że nastąpił gwałtowny wzrost rozpowszechnienia złośliwego oprogramowania i potencjalnie niechcianych aplikacji (PUA). Jednak wiele osób może nie wiedzieć zbyt wiele o złośliwym oprogramowaniu polimorficznym – a przynajmniej nie mówić o nim tak często, jak powinno.  Jeszcze gorzej sytuacja wygląda jeśli chodzi o typ metamorficzny.

Przyczyną rozwoju tych typów złośliwego oprogramowania jest monotonia w obszarze pracy wielu rozwiązań AV. Organizacje, które zawierzają swoje bezpieczeństwo wyłącznie sygnaturom, okazują się silnie podatne na ataki z wykorzystaniem polymorphic i metamorphic malware. A skoro brakuje należytej ochrony po stronie ofiary, wkład poniesiony podczas tworzenia adaptacyjnego wirusa niechybnie się zwróci. Ukierunkowane lub wyspecjalizowane zagrożenia złośliwym oprogramowaniem są bardziej skuteczne, a tym samym generują przychody dla tych zaawansowanych twórców złośliwego oprogramowania.

Zastosowanie sztucznej inteligencji na polu tworzenia złośliwego oprogramowania to fakt, który należy przyjąć – zwłaszcza w kontekście zabezpieczeń przeciwko nowym zagrożeniom.

Ponieważ trwa walka między cyberprzestępcami a zespołami bezpieczeństwa, obie strony wykorzystują sztuczną inteligencję aby uzyskać przewagę. Dostęp do zaawansowanych technologii sztucznej inteligencji i narzędzi uczenia maszynowego jest obecnie szeroko rozpowszechniony.Co więcej, koszty opracowania lub dostosowania tych technologii do tworzenia szkodliwych programów drastycznie spadły.  Dzięki AI restrukturyzacja kodu złośliwego oprogramowania polimorficznego i metamorficznego jest szybka i wydajna. Oczywiście, producenci bezpieczeństwa mają również dostęp do wysokiej klasy sztucznej inteligencji. Wielu z nich już dawno wyszło poza schematy sygnaturowy i wspierają się bardziej zaawansowanymi narzędziami. Przykładowo z wykorzystaniem AI, która podejmuje logiczne decyzje w momencie gdy zagrożenie zostanie ujawnione czyli wirus się uaktywni.

Wpływ polymorphic i metamorphic malware na codzienne bezpieczeństwo organizacji

Nowe możliwości programistów software zawsze oznaczają trudniejsze do wykrycia wirusy. Sama koncepcja oprogramowania adaptacyjnego nie jest niczym szczególnie nowym. To, co stawia malware poli- i metamorficzny w nowym świetle to galopujący rozwój technologii sztucznej inteligencji. W tym znaczeniu możemy spodziewać się całkowicie nowych form złośliwego oprogramowania. W związku z tą ewolucją, budowanie firmowego security w oparciu o klasyczne rozwiązania AV mija się z celem.

Wyeliminowanie ryzyka już na poziomie przeciętnego użytkownika jest o tyle ważne, że możliwości replikacji i rozmnażania tych typów są imponujące. Istnieje wiele rodzajów zagrożeń, które potrafią penetrować naszą sieć niezauważenie – wtedy mówimy o tzw atakach bocznych. Polimorficzny i metamorficzny malware też może się do nich przyczynić. Szczególnie, że w dobie współczesnego Internetu sieć pozwala na większą integrację komponentów niż kiedykolwiek wcześniej. A to jak wiemy pociąga za sobą nie tylko korzyści, ale również i niebezpieczeństwa. Zwłaszcza w świetle zastosowania sztucznej inteligencji na polu tworzenia złośliwego oprogramowania.

Niezależnie jednak od kierunku, w którym podąży rozwój polmorphic i metamorphic malware – oraz innych zagrożeń – podstawą bezpieczeństwa organizacji jest świadomość. Dlatego warto wiedzieć, na czym polega ten typ wirusów i dlaczego standardowe mechanizmy nie działają. Jeśli w naszej organizacji każdy będzie przestrzegał podstawowych dobrych praktyk security, morficzny malware nie będzie stanowił większego zagrożenia.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *