Site icon Kiber.ba

Obfuscation:Postoje dvije strane svega

Obfuscation:Postoje dvije strane svega-kiber.ba

Obfuscation:Postoje dvije strane svega-kiber.ba

Kako otkriti i spriječiti napadače da koriste ove različite tehnike

Obfuscation:Postoje dvije strane svega je važna tehnika za zaštitu softvera koji nosi i rizike, posebno kada ga koriste autori zlonamjernog softvera. U ovom članku istražujemo zamračenje, njegove efekte i odgovore na nju.

Šta je Obfuscation?

Obfusacija je tehnika namjernog otežavanja čitanja informacija, posebno u kompjuterskom kodiranju. Važan slučaj upotrebe je zamagljivanje podataka, u kojem se osjetljivi podaci čine neprepoznatljivim kako bi se zaštitili od neovlaštenog pristupa. Za to se koriste različite metode.

Na primjer, često se prikazuju samo posljednje četiri cifre broja kreditne kartice, dok se preostale cifre zamjenjuju X-ovima ili zvjezdicama. Za razliku od toga, šifriranje uključuje pretvaranje podataka u nečitljiv oblik koji se može dešifrirati samo pomoću posebnog ključa.

Obfuscation u kodu

Kada je kompjuterski kod zamućen, koriste se složeni jezik i redundantna logika kako bi kod bio teško razumljiv. Cilj? Prevariti i ljudske čitaoce i programe kao što su dekompajleri. Da bi se to postiglo, dijelovi koda se šifriraju, metapodaci se uklanjaju ili se smislena imena zamjenjuju besmislenim. Umetanje neiskorištenog ili besmislenog koda je također uobičajena praksa da se prikrije pravi kod.

Takozvani obfuskator može automatizirati ove procese i modificirati izvorni kod tako da još uvijek radi, ali ga je teže razumjeti.

Druge metode zamagljivanja uključuju kompresiju cijelog programa, čineći kod nečitljivim i mijenjanje toka kontrole kako bi se stvorila nestrukturirana logika koja se teško održava.

Umetanje lažnog koda koji ne utječe na logiku ili rezultat programa također je uobičajeno.

Nekoliko tehnika se često kombinuje da bi se postigao višeslojni efekat i povećala sigurnost.

Druga strana

Nažalost, zamagljivanje nije samo zaštita, već je i izazov. Obfuskaciju ne koriste samo legitimni programeri softvera, već i autori zlonamjernog softvera. Cilj prikrivanja je anonimiziranje sajber napadača, smanjenje rizika od otkrivanja i skrivanje zlonamjernog softvera promjenom ukupnog potpisa i otiska prsta zlonamjernog koda – čak i ako je korisni teret poznata prijetnja. Potpis je heš, jedinstveni alfanumerički prikaz elementa zlonamjernog softvera. Potpisi se vrlo često heširaju, ali mogu biti i još jedan kratki prikaz jedinstvenog koda unutar malver elementa.

Umjesto da pokušava kreirati novi potpis modifikacijom samog zlonamjernog softvera, zamagljivanje se fokusira na mehanizme implementacije kako bi se zavarala antivirusna rješenja koja se oslanjaju na potpise. Uporedite ovo s korištenjem mašinskog učenja, prediktivne analize i umjetne inteligencije za poboljšanje odbrane.

Zamagljivanje, ili prerušavanje koda, može biti i “dobro” i “loše”. U slučaju “lošeg” prikrivanja, hakeri kombinuju različite tehnike da sakriju zlonamerni softver i kreiraju više slojeva maskiranja. Jedna od ovih tehnika su pakeri. Ovo su softverski paketi koji komprimiraju zlonamjerni softver kako bi sakrili njegovo prisustvo i učinili originalni kod nečitljivim. Zatim, tu su i kriptografi koji šifriraju zlonamjerni softver ili dijelove softvera kako bi ograničili pristup kodu koji bi mogao upozoriti antivirusne programe.

Drugi metod je ubacivanje mrtvog koda. To uključuje umetanje beskorisnog koda u zlonamjerni softver da bi se prikrio izgled programa. Napadači također mogu koristiti modifikaciju naredbi, koja uključuje promjenu kodova naredbi u programima zlonamjernog softvera. Time se mijenja izgled koda, ali ne i njegovo ponašanje.

Zamagljivanje koda je, kao što smo vidjeli, samo prvi korak jer bez obzira na to koliko posla haker uloži u zamagljivanje koda kako bi zaobišao EDR, zlonamjerni softver mora komunicirati unutar mreže i sa vanjskim svijetom da bi bio “uspješan”. To znači da komunikacija također mora biti opfusirana. Za razliku od prošlosti, kada su mreže skenirane brzo, i pokušaji da se odmah izvuku podaci u terabajtnom opsegu odjednom, napadači danas komuniciraju tiše kako senzori i prekidači za alate za praćenje ne bi udarili.

Cilj da se IP adrese dobiju putem skeniranja, na primjer, sada se sporije prati kako bi ostao pod radarom. Izviđanje, u kojem akteri prijetnje pokušavaju prikupiti podatke o ciljanim žrtvama, npr. kroz njihovu mrežnu arhitekturu, također postaje sporiji i nejasniji.

Uobičajena metoda zamagljivanja je Exclusive OR (XOR). Ova metoda skriva podatke na način da ih mogu pročitati samo ljudi koji povezuju kod sa 0x55 XOR. ROT13 je još jedan trik u kome se slova zamjenjuju šifrom.

Eksplozije iz prošlosti:

Zašto se ne treba oslanjati samo na potpise

Detekcija zasnovana na potpisima je kao stari prijatelj – pouzdana je kada su u pitanju poznate pretnje. Ali kada je riječ o novim, nepoznatim prijetnjama, to ponekad može biti u mraku. Evo nekoliko razloga zašto se ne biste trebali oslanjati isključivo na potpise:

Zašto su NDR alati toliko važni

IDS rješenja bazirana na anomalijama su kao detektivi koji paze na normalno ponašanje sistema i alarmiraju kada otkriju neuobičajenu aktivnost. Ali alati za otkrivanje i reagovanje mreže (NDR) čak idu i korak dalje: oni se stalno prilagođavaju kako bi ostali korak ispred promenljivog pejzaža sajber pretnji i nude značajno viši nivo sigurnosti od tradicionalnih pristupa zasnovanih na potpisima kroz svoju naprednu analizu i integraciju. Oni su u stanju otkriti i odbraniti se od poznatih i nepoznatih prijetnji.

Evo kako oni to rade:

Za više o tome zašto je NDR ključni sigurnosni alat i kako otkriva čak i najnaprednije prijetnje i složene oblike zamagljivanja, preuzmite našu bijelu knjigu o naprednoj detekciji trajnih prijetnji (APT).

Izvor;The Hacker News

Exit mobile version