[ Pobierz całość w formacie PDF ]
Implica¸c˜oesdaofusca¸c˜aodec´odigono
desenvolvimentodedetectoresdec´odigomalicioso
DavidsonRodrigoBoccardo
1
,AleardoManaceroJ´unior
2
Jos´eNelsonFalavinhaJ´unior
1
1
DEE-DepartamentodeEngenhariaEl´etrica-FEIS
UniversidadeEstadualPaulista-IlhaSolteira-SP
2
DCCE-DepartamentodeCiˆenciasdeComputa¸c˜aoeEstat´ıstica-IBILCE
UniversidadeEstadualPaulista-S˜aoJos´edoRioPreto-SP
{flitzdavidson,junior.falavinha}@gmail.com,aleardo@ibilce.unesp.br
Abstract.Inthiscomputer-interconnectedworldamalwarecanhavedi-
sastrouseects.Malwaredetectionis,therefore,animportanttaskand
shouldachievehighhitratios.This,however,isnotthetruthwhencode
obfuscationtechniquesareused.Inthisworkitisperformedanevaluation
ontheperformanceofthedetectiontoolsinthedetectionofobfuscatedco-
des,aimingtheidentificationoftheirflaws.Theresultsachievedindicate
futurechallengingresearchtracksthatshouldprovideeciencyimprove-
mentsforthemalwaredetectiontoolsinpresenceofobfuscatedcodes.
Resumo.Nomundodecomputadoresinterconectadosumc´odigomali-
ciosopodecausarefeitosdesastrosos.Adetec¸c˜aodec´odigosmaliciosos´e
importanteedeveriaatingirpadr˜oeselevadosdeacerto.Isson˜ao´everdade
quandoseusamt´ecnicasdeofusca¸c˜ao.Nessetrabalhosefazaavalia¸c˜ao
dodesempenhodeferramentasdedetec¸c˜aofrenteac´odigosofuscados,pro-
curandoidentificarsuasfalhas.Osresultadosobtidosindicamosgrandes
desafiosdepesquisaparaamelhoriadaeficiˆenciadasferramentasdede-
tec¸c˜aonapresen¸cadeofusca¸c˜oesdec´odigo.
1.Introdu¸c˜ao
Seguran¸caemcomputadores´eatualmenteumassuntoextremamenteimportante
paraaspessoas,neg´ociosegoverno.Programadoresdec´odigosmaliciososescrevem
programascominten¸c˜aodecoletardadosprivados,distribuirspam,quebrarmedi-
dasdeseguran¸ca,etc.Quandobemsucedidosemsuapropaga¸c˜ao,essesc´odigos
maliciososrepresentamumefeitodesastrosonomundodosneg´ociosenasredesde
computadores[L.A.GordonandRichardson2004].
Oprimeiropassoparaconterataquesmaliciosos´eaidentifica¸c˜aodosprogra-
masmaliciosos.Diantedistocompanhiasdeantiv´ırus(AV)utilizamdev´ariast´ecni-
casdean´alisedinˆamicaeest´aticaparaidentificarumc´odigomalicioso[Zeltser2001].
Amaioriadast´ecnicasusadasemAVdependemdoconhecimentodasassinaturas
dosc´odigosmaliciosos,ouseja,deseuspadr˜oesdechamadasdesistemaedesuas
stringsconhecidas.
2277
Comoaumentodacomplexidade,quantidadeeheterogeneidadedossistemas
desoftware,aumenta-setamb´emadificuldadenoreconhecimentodosc´odigosmalici-
ososbaseadosemassinaturas.Paraagravaraindamaisessasitua¸c˜ao,atualmenteos
programadoreshostiscontamcomferramentasavan¸cadasdeevas˜ao(comerciaisou
dispon´ıveisnacomunidadeblackhat).Essasferramentasutilizamestrat´egiascomo
oculta¸c˜aodepontosdechamada(EPO-EntryPointObscuring)[GriYo2006],po-
limorfismo[Skulason1995]emetamorfismo[SzorandFerrie2001]paradificultara
detec¸c˜aodosoftwaremalicioso.
Dentrodestecen´arioaatividadededetec¸c˜aodesoftwaresmaliciosos,princi-
palmenteemambientesdecomputa¸c˜aoglobalcomoasgrades(grids)computacionais
hojeemuso,´eessencialparaobten¸c˜aodecomputa¸c˜aosegura.Assim,umdospassos
paraamelhoriadaqualidadedesoftware´eaidentifica¸c˜aodospontosfracosnopro-
cessodedetec¸c˜aoe,apartirdeles,construirmetodologiasquepermitamaprodu¸c˜ao
desistemasefetivamenteseguros.
Assim,nessetrabalhosefazaavalia¸c˜aodedetectoresfrenteaousodefer-
ramentasdeofusca¸c˜aodec´odigo.Apartirdosresultadosobtidoss˜aoindicados
poss´ıveiscaminhosparaaredu¸c˜aodospontosfalhos.Naspr´oximasp´aginasisso
´efeitoapresentando-seinicialmenteoestadoatualda´area,osprocedimentosme-
todol´ogicosadotadosnessetrabalho,adescri¸c˜aodostesteseresultadosobtidos,
fechando-secomasconclus˜oeseperspectivaspertinentes,principalmenteaquelas
relacionadasaosgrandesdesafiosdepesquisaemcomputa¸c˜ao.
2.Trabalhosrelacionados
Enquantoascompanhiasdeantiv´ıruscresciamnocome¸codad´ecadade90,
osprocedimentosdetesteerevis˜aocresceramcomadissemina¸c˜aodosc´odigos
maliciososeosavan¸cosemalgoritmosdedetec¸c˜ao.Em1996,SarahGordon
[GordonandFord1996]apresentouaseguinteobserva¸c˜ao:
“Aavalia¸c˜aodedetectoresdec´odigosmaliciososn˜ao´eadequadamentetratada
porm´etodosformais.Oprocesso,portanto,temsidorealizadoutilizando-sedeuma
variedadedeferramentasem´etodos”
Amaiordificuldadeemtestardetectoresdec´odigomalicioso´eencontrar
umconjuntodeprogramasmaliciosos.Motivadoporestadificuldadev´ariospes-
quisadoresclassificaramosprogramasmaliciososconhecidos(M
known
),emc´odigos
maliciososqueest˜aoatualmentedisseminandoeinfectandonovosalvos,osITW(In
thewild)e,osqueexistemsomenteemlaborat´orio(Zoo),sendoque:
M
known
=M
ITW
[M
Zoo
OconjuntoM
ITW
representaprogramasmaliciosos,disseminadoscomore-
sultadodeopera¸c˜oesdodia-a-diaeentrecomputadoresdosusu´arios[Wildlist2006].
OconjuntoM
Zoo
contemc´odigosmaliciososconhecidosquen˜aoest˜aoatualmente
sedisseminando,ouporquen˜aoest˜aomaisinfectandonovossistemasoupor-
queforamapenasexemplosdelaborat´orioquenuncasedisseminaram.Em
2278
1995,JoeWeelscriouaWildList,umalistagemdec´odigosmaliciososreporta-
dosemumcertoper´ıodo(atualmentes˜aoatualizadosmensalmente).AWil-
dList´eumimportanteconjuntodetestesparadetectoresdec´odigosmaliciosos
ecertifica¸c˜oes,comoICSA[ICSA-Labs2006],Checkmark[West-Coast-Labs2006]
eVirusBulletin[Virus-Bulletin2006]).Taiscertifica¸c˜oesrequeremdosdetec-
toresaidentifica¸c˜aodetodosc´odigosmaliciososemM
ITW
(baseadonavers˜ao
atualdaWildList)epelomenos90%dosc´odigosmaliciososemM
Zoo
.Con-
tudo,usarM
ITW
comoconjuntodetestesn˜aoavaliaaefic´aciadosdetectores
diantedeofusca¸c˜oesprovidasporferramentasevasivas,comoasdeprote¸c˜aode
propriedadeintelectual[S.ChowandZakharov2001,C.CollbergandLow1998a,
C.CollbergandLow1998b,Wroblewski2002]ouparasubvers˜aodedetec¸c˜ao.
Marx[Marx2000]apresentouumconjuntodet´ecnicasem´etodosdeteste
paradetectores,comdescri¸c˜oesdasm´etricasrelevantesemostrouasposs´ıveisar-
madilhasquepodeminvalidarosresultados.Brunnstein[Brunnstein2004]realizou
testesespecificamenteemalgoritmosdedetec¸c˜aobaseadosemheur´ısticasquemuitos
detectoresdec´odigosmaliciososutilizam.Marx[Marx2002]estendeuseutrabalho
propondoousodetesteretrospectivoparamediraqualidadedasheur´ısticas.O
testeretrospectivo´eaexecu¸c˜aodeantigasvers˜oesdosdetectorescontranovosc´o-
digosmaliciososquen˜aoeramconhecidosna´epocaqueodetectorfoilan¸cado.Um
outrotrabalho´edeMihaieJha[ChristodorescuandJha2004]queutilizaramal-
gunstiposcomunsdeofusca¸c˜aodeprogramascomoinser¸c˜aodec´odigoirrelevante,
reordena¸c˜aodec´odigo,renomea¸c˜aodevari´aveiseempacotamentodec´odigoedados,
comot´ecnicadeavalia¸c˜aodosdetectores.
J´aBroscheMorgenstern[BroschandMorgenstern2006]avaliaramdetecto-
resdiantedev´ariasferramentasevasivaseumconjuntopequenodec´odigosmalici-
osos,aproximando-sedoexecutadonestetrabalho.Asdiferen¸casest˜aorelacionadas
aotamanhoevaria¸c˜aodoconjuntodesoftwaresmaliciososexaminados(maiorvo-
lumenestetrabalho)edoacr´escimodeferramentasevasivasdejun¸c˜ao
1
,inexistentes
notrabalhodeBroscheMorgenstern.
3.Metodologiadeavalia¸c˜ao
Paraaexecu¸c˜aodasavalia¸c˜oesaquiapresentadasforamadotadosprocedimentos
experimentaisnecess´ariosparagarantiraseguran¸cadoprocesso,umavezquese
trabalhavacomelementospotencialmentedestrut´ıvos,eaconsistˆenciaqualitativa
dosresultadosexperimentais.Omodeloparaoambientedetestes´edetalhado
em3.1.Asm´etricasadotadasparagarantiraconsistˆenciadosresultadosest˜ao
apresentadasem3.2.Finalmente,em3.3s˜aorelatadasasferramentasutilizadas,
tantoparaacria¸c˜aodec´odigosevasivosquantonadetec¸c˜aodesoftwaresmaliciosos.
3.1.Modeloexperimental
Umadasrestri¸c˜oesemummodeloparaan´alisedec´odigomalicioso´eainstala¸c˜ao
deumsistemadedicado,noqualpossamserusadasasestrat´egiasevasivaspara
subvers˜aodedetec¸c˜aosemnenhumdano.Semacria¸c˜aodesseambientededicado,
1
Ferramentadesignadaparaunirdoistiposdearquivo(EXE+EXE)(EXE+JPEG)
2279
desconetadodequalquerrede,poderialevaraocorrˆenciass´eriasdeinfesta¸c˜aocaso
osoftwaremaliciosofosseacidentamenteexecutado.
Naliteraturas˜aopropostosdoism´etodosparaacria¸c˜aodessessistemasde-
dicados:usodesistemasreaisouusodesistemasvirtuais.Osegundom´etodocria
dificuldadesparaaverifica¸c˜aodeefetividadedosoftwareofuscado,umavezque
determinadasfuncionalidadesn˜aoestariamdispon´ıveis.Isso,entretanto,n˜ao´eum
problemaquandooquesequeravaliar´eaeficiˆenciadasferramentasdedetec¸c˜ao
en˜aoacapacidadedeinfesta¸c˜aodosoftwaremalicioso.Assim,nestetrabalhofoi
utilizadoumsistemavirtualdesconectadodarede.
Tendosidoconfiguradoumambienteseguro,aetapaseguintedomodelo
consistenaaplica¸c˜aodeferramentasevasivas,emconjuntosdesoftwaresmaliciosos
en˜aomaliciososparaagera¸c˜aodoscasosdeteste.Aeficiˆenciadasferramentas
dedetec¸c˜aofoient˜aoavaliada,atrav´esdosresultadosdefalsosnegativosefalsos
positivosobtidoscomsuaaplica¸c˜aosobreosc´odigosofuscados(maliciososoun˜ao).
Omodeloexperimentalutilizadoencontra-sedescritonafigura1.
Figura1.Modeloparaavalia¸c˜aodosdetectoresdec´odigomalicioso
3.2.M´etricasparaavalia¸c˜ao
Umdetectordec´odigomaliciosotrabalhaanalisandoumobjetodedados(umar-
quivo,umamensagemdee-mailouumpacotederede)e,determinaseesseobjeto
cont´emumexecut´avelese´emalicioso.Esteprimeiroteste´egeralmentebaseado
emumm´etododosistemaoperacionalparadescobrirotipododadocontidono
objeto,quepodeserdeterminadoporcabe¸calhosMIME,extens˜oesdearquivo,ou
um“n´umerom´agico”que´e´unicoparaumformatodearquivo.Comousodessas
t´ecnicaspode-serestringirabuscadesoftwaremaliciosoaapenasaquelesobjetos
quecontenhamc´odigosexecut´aveis.
Pode-sedefinirumdetectordec´odigomaliciosoDcomoumafun¸c˜aocujo
dom´ınioeintervalos˜aooconjuntodosprogramasexecut´aveisPeoconjunto(mali-
cioso,n˜aomalicioso),respectivamente.Emoutraspalavras,umdetectorD´euma
fun¸c˜aoD:P!(malicioso,n˜aomalicioso)definidacomo:
malicioso sepcontˆemc´odigomalicioso
n˜aomalicioso casocontr´ario
D(p)=
2280
Aavalia¸c˜aodeumdetectorDsignificafazerinteragirtodosprogramasde
entradap2P,verificandoacorretudedaresposta.Nestecontexto,falsospositivos
s˜aoprogramasn˜aomaliciososqueodetectormarcacomoinfectado;efalsosnegativos
s˜aoc´odigosmaliciososqueodetectorfalhaemreconhecer.Tamb´em,ataxadeacerto
medearela¸c˜aoentreon´umerodereaispositivos(c´odigosmaliciososdetectados)e
ototaldec´odigosmaliciosos,desconsiderandoassimosc´odigosn˜aomaliciosos,que
s˜aousadosapenasparacontrole,poisousu´ariopodeviraperderaconfian¸cano
detectorseon´umerodefalsospositivosforsignificativo.
Paraefeitodeavalia¸c˜ao,reduz-seoconjuntoPaumconjuntofinito(en˜aode
todososprogramasexistentes,que´evirtualmenteinfinito).Issopermitedelimitar
deformaexataossubconjuntosdefalsospositivosefalsosnegativosparaumdado
conjuntoP.OselementosdeumconjuntodetesteP
T
s˜aoclassificadosemdois
subconjuntosdisjuntos,umdeprogramasn˜aomaliciososBeoutrodeprogramas
maliciososM.AtaxadefalsospositivosFP
P
T
,falsosnegativosFN
P
T
,eataxade
acertoHR
P
T
(todosrelacionadoscomoconjuntodetestesP
T
)s˜aodefinidoscomo:
FP
P
T
=
|{p2B:D(p)=malicioso}|
|B|
FN
P
T
=
|{p2M:D(p)=n˜aomalicioso}|
|M|
HR
P
T
=
|{p2M:D(p)=malicioso}|
|M|
Avalida¸c˜aodosresultadosobtidosocorreuatrav´esdean´alisesdesensibilidade
eespecificidadeemrela¸c˜aoaotamanhodosconjuntosdetestesexaminados(P
T
),
adotando-secomocrit´erioaobten¸c˜aodeumasensibilidadeinferiora4%.
3.3.Testesparasele¸c˜aodeferramentas
Paraaavalia¸c˜aoaquirealizadausou-sedoisconjuntosdistintosdeferramentas.Um
primeiro,oconjuntoavaliado,compostoporferramentascomerciaisparadetec¸c˜ao
desoftwaremalicioso.Osegundoconjuntodeferramentasfoicompostoporferra-
mentasparausoemprote¸c˜aodepropriedadeintelectual(quetornariamaengenharia
reversamaisdispendiosaatrav´esdaofusca¸c˜aodec´odigo)eferramentasdispon´ıveis
nacomunidadeblackhatparausoemsubvers˜aodedetec¸c˜ao.
Aescolhadequaisferramentasdeevas˜aoedetec¸c˜aoseriamutilizadasnopro-
cedimentodeavalia¸c˜ao,ocorreuemumprocessodesele¸c˜oessucessivasentreasmais
usadasnosdoissubgrupos.Noprocessodesele¸c˜aoforamrealizadostrˆespr´e-testes
datadosemjulho,setembroenovembrode2006,descritosaseguir.Asavalia¸c˜oes
foramrealizadassemprecomtodososdetectoresatualizadoseavaliadosseparada-
mente(somenteumdetectorinstaladonosistemaporvez,paraevitarinterferˆencia).
Primeiropr´e-teste-julho2006
Nestetesteforamcriadas147variantesde22c´odigosmaliciosos,apartirde
10ferramentasevasivas(FSG,UPX[UPX2006],ASPack[ASPACK-Software2006],
2281
[ Pobierz całość w formacie PDF ]

zanotowane.pl

doc.pisz.pl

pdf.pisz.pl

mirabelkowy.keep.pl