Az idei első félévben csupán egyetlen kártevőnek, az Emotet trójainak 30 ezer különböző variánsát fedezték fel a víruslaboratóriumok.
A bűnözők nem magán a kártevőn, hanem a csomagolásán változtatnak ilyen sokszor, de ez éppen elég ahhoz, hogy a hagyományos vírusvédelmi technológiák már ne tudják tartani a lépést a variánsokkal. A hatékony védekezés megoldása a mesterséges intelligencia lehet.
Egy mai trójai olyan összetett kódból áll, amelyet általában évekig fejlesztenek a bűnözők. Számukra ez a befektetés csak akkor térül meg, ha az elkészült kártevőt sokszor és hatékonyan tudják úgy újracsomagolni, hogy az egyes verziókat a vírusirtó szoftverek már ne ismerjék fel. Folyamatos harcról van szó a két fél között: a védelmi szoftverek megtanulják felismerni az új verziót, mire a bűnözők azt gyorsan módosítják egy kicsit, és még újabbat adnak ki.
Az eredmény pedig, hogy rengeteg – akár több tízezer változat – születik meg egyetlen kártevőből, a vírusvédelmi cégek pedig nehezen tartanak lépést a sok különböző mutációval, mivel azokat mind fel kell dolgozniuk. És bár utóbbi évtizedben egy sor olyan védelmi technológiát (például a heurisztikus és a magatartás-alapú felismerést) mutattak be, amely segíti a még ismeretlen változatok felismerését, mégsem bizonyult maradéktalanul elegendőnek.
A bűnözők így jelenleg ugyanazt a kódmagot csomagolják be különféle titkosításokkal újra és újra, a kártevő már csak a megtámadott számítógép memóriájában bontódik ki. A német G DATA által fejlesztett mesterséges intelligencia, a DeepRay pontosan azt ismeri fel jó eséllyel, hogy a számítógépre érkező kód be van-e csomagolva ilyen „álruhába”. Természetesen néha legitim szoftverek is használnak a kártevőkhöz hasonló csomagolási technikákat, például a másolás elleni védelem céljából. Ezért egy álcázási technika észlelése után a DeepRay a számítógép memóriájában alapos analízisnek veti alá a kódot, és megpróbálja az ismert kártevőcsaládok kódmagját megtalálni.
A G DATA ezzel a fejlesztéssel a bűnözők jelenlegi „üzleti modelljét” próbálja gazdaságtalanná tenni. Az „álruha” cserélgetése ugyanis a támadók számára gyors és nem túl költséges megoldás. A hagyományos, szignatúrákon alapuló védelmi szoftverek gyártói számára ugyanakkor sok befektetésbe kerül minden egyes álcázási technika felismerése.
A DeepRay technológiát a német gyártó fél évvel ezelőtt mutatta be, azóta minden windowsos termékének a része. Most pedig az egyik legaktívabb trójai, az Emotet példáján illusztrálja, hogy a mesterséges intelligencia milyen hatékony az új variánsok megállításában.
Egy nap a G DATA víruslaboratóriuma az Emotet 16 új változatát azonosítja, majd azonnal teszteli, hogy más gyártók szignatúra alapú védelme felismeri-e ugyanezeket az adott időpontban. Az eredményeket az alábbi táblázat mutatja be:
A táblázatból látszik, hogy az első gyártó felismerte az új variánsok felét. Az is kiderül, hogy a szignatúrát aznap délelőtt 11 óra körül bocsátották ki, majd körülbelül 16 óráig tartotta magát – késő délutánra azonban az Emotet ismét előnybe került. A második és a harmadik gyártó viszont az új variánsok közül egyetlen egyet sem ismert fel az adott időpontban. A negyedik gyártó pedig egyetlen egy új variánst állított meg. Az utolsó, ötödik gyártó az új variánsoknak szintén a felét ismerte fel, egy részüket délelőtt, egy más részüket pedig délután, a kettő között lyukkal.
Az 5 gyártó együttesen az új variánsok 82 százalékát volt képes blokkolni, de közülük egyetlen sem teljesített 50% felett; a mesterséges intelligencia viszont az összes új variánst felismerte.
A DeepRay a felismeréshez neurális hálózatokat használ, amelyek betanításához a G DATA hardveres háttér-infrastruktúrát épített ki. A mélyebb elemzésre csak akkor kerül sor, ha a védelem érzékeli valamilyen csomagolási technika (álruha) jelenlétét, és erre már a védett számítógép memóriájában kerül sor.
A technológiát a G DATA folyamatosan fejleszti, de a rendszer hatékonyságát jól mutatja, hogy a kezdeti algoritmusokhoz fél év alatt csak egyetlen alkalommal kellett hozzányúlni. Ha a mesterséges intelligencia beválik, előbb-utóbb más gyártók is követni fogják a németeket, ez jelentheti majd a vírusvédelmi megoldások új generációját.
