Мы обнаружили, насколько уязвимы наши компьютерные системы, когда в 1990-х годах появились первые крупные вирусы, и нам дважды напомнили об этом во время атак Stuxnet в 2010 году. Сегодня простые вирусы больше не являются проблемой; они были вытеснены компьютерными программами, которые могут частично или полностью взять на себя управление системой. Это не просто попытки взлома без какой-либо причины, кроме как «продемонстрировать, что это возможно», они также включают сложные постоянные угрозы, используемые для шпионажа и другой незаконной деятельности.
В то время как методы хакеров становятся все более умными, системы обнаружения, позволяющие их остановить, также становятся все более совершенными. Раньше целью было обнаружение «сигнатуры», но сегодня даже подозрительный фрагмент кода может быть обнаружен и протестирован в контролируемых условиях — известных как эмуляция.
Системы обнаружения сетевых вторжений на основе эмуляции (EBNID) также могут обнаруживать эксплойты нулевого дня: атаки, от которых пока не существует средств защиты.Кандидат наук Али Аббаси и студент Джос Ветцельс представят свои обширные исследования EBNID на конференции Black Hat.
Системы EBNID отслеживают злоумышленников в три этапа: предварительная обработка, эмуляция и эвристическое обнаружение. На первом этапе анализируется сетевой трафик, на этапе эмуляции подозрительный код изолируется и тестируется, а на последнем этапе принимается решение, подавать ли сигнал тревоги. Аббаси и Ветцельс продемонстрировали, что эта технология является большим шагом вперед, но они также показали, как другие могут обойти систему, например, путем фрагментации подозрительного кода и, таким образом, обхода эмулятора (если подозреваемый не распознан, сигнал тревоги не сработает. ).Найти слабые места — это хорошо, но следующим шагом в исследованиях Аббаси и Ветцельса является поиск новых решений.
Аббаси, который учился в Китае, ранее возглавлял исследовательскую группу в Иране, которая занималась анализом уязвимостей и тестированием на проникновение во время атак Stuxnet. Ветцельс сейчас выпускник. Оба исследователя привязаны к Сервисам Cyber Security.
Группа исследований безопасности под руководством проф. Роэль Виринга.
Группа является частью исследовательского института CTIT Университета Твенте.Али Аббаси и Джос Ветцельс представят свой доклад «Путь APTs: избегая ваших EBNIDS» на конференции Black Hat Europe 2014, международной конференции, посвященной информационной безопасности.