Firma Kaspersky otrzymała patent (US10339301) przyznany przez amerykański Urząd Patentów i Znaków Towarowych dla technologii stworzonej w celu zwiększenia skuteczności wykrywania szkodliwej funkcjonalności w maszynie wirtualnej.
Poprzez wierne odtworzenie warunków prowadzących do wykonania szkodliwego oprogramowania technologia będąca przedmiotem patentu umożliwia badaczom analizę podejrzanego pliku już podczas jednej próby zamiast kilku.
Przewiduje się, że implementacja technologii zwiększy współczynnik wykrywania szkodliwej aktywności w piaskownicach oraz zautomatyzuje pracę analityków, która w innych okolicznościach musiałaby zostać wykonana ręcznie.
Jedną z metod wykrywania szkodliwego zachowania pliku jest uruchamianie go w wyizolowanej piaskownicy. Metoda ta automatyzuje analizę szkodliwego oprogramowania, nadal jednak wymaga pewnej pracy manualnej, aby stworzyć odpowiednie środowisko, w którym szkodliwe oprogramowanie ujawni swoją „prawdziwą naturę”. Poza tym cyberprzestępcy często stosują techniki obchodzenia piaskownicy: aby uniemożliwić wykrycie go, szkodliwy plik, zanim zostanie wykonany, może sprawdzić, czy znajduje się w maszynie wirtualnej, lub wstrzymać aktywność do czasu, gdy piaskownica przestanie działać.
Patent zatytułowany „System i metoda analizy plików w maszynie wirtualnej pod kątem szkodliwości” opisuje technologię, która automatycznie uruchamia wykonanie plików oraz odpowiednie warunki dla każdego z nich.
Warunki te mogą się różnić. Szkodliwe oprogramowanie może nie ujawnić swojego niebezpiecznego zachowania, jeśli jego celem jest określona aplikacja, na przykład klient poczty e-mail, którego brakuje w przeglądarce. Aby sprostać temu wyzwaniu, badacz musi przejrzeć dzienniki zdarzeń, odkryć, czego brakuje, dodać to do środowiska maszyny wirtualnej i uruchomić proces na nowo.
Teraz, gdy szkodliwe oprogramowanie próbuje uzyskać dostęp do aplikacji, foldera, pliku itp., opatentowany system przechwytuje taką próbę. Nie czeka jednak, aż plik zostanie wykonany, ale zatrzymuje proces i tworzy wymaganą aplikację oraz jej zawartość (np. hasła przeglądarki), po czym proces jest kontynuowany.
Opatentowana technologia może również pomóc w zwalczaniu techniki unikania wykrycia, która polega na tym, że szkodliwe oprogramowanie pozostaje w uśpieniu przez pewien czas, zanim zostanie wykonane, pozostając nieaktywne przez okres dłuższy niż działa piaskownica. W takich przypadkach opatentowana technologia przyspiesza upływ czasu w maszynie wirtualnej, przez co szkodliwy kod zostaje zmuszony do wcześniejszego wykonania się. Ponieważ wszystkie czasomierze oraz zegary zostały udostępnione w piaskownicy, szkodnik nie ma możliwości rozszyfrowania tej sztuczki.
Władysław Pinciskij, menedżer grupy ds. technologii emulacji z firmy Kaspersky oraz jeden z wynalazców technologii, skomentował: – Ponieważ cyberprzestępcy nieustannie wymyślają nowe techniki unikania wykrycia, musimy rozwijać bardziej wyrafinowane technologie w celu zidentyfikowania szkodliwego zachowania. Na przykład obecnie coraz popularniejsze stają się czasomierze usypiania – według analityków szkodliwego oprogramowania z firmy Kaspersky niemal połowa próbek pominiętych przez automatyczne narzędzia wykorzystuje opóźnioną aktywację. Opatentowana technologia inteligentnie zarządza przepływem plików w piaskownicy, tak aby środowisko testowe otrzymało na czas wszystko, czego potrzebuje.
Dzięki temu werdykt może zostać dostarczony po pierwszym żądaniu. Pozwoli to badaczom zaoszczędzić zasoby, zwiększając jednocześnie dokładność wykrywania szkodliwego oprogramowania — dodał Denis Kobiczew, menedżer grupy testowej w firmie Kaspersky oraz współwynalazca opatentowanej technologii.
Opisywana technologia będzie wykorzystywana wewnętrznie do analizowania szkodliwego oprogramowania oraz zaimplementowana w rozwiązaniach wyposażonych w piaskownicę.
Firma Kaspersky nieustannie rozwija i patentuje nowe technologie ochrony. Do sierpnia 2019 r. firma posiadała łącznie 814 patentów w Stanach Zjednoczonych, Chinach, Europie oraz Rosji i złożyła nowych 407 wniosków patentowych.