Pesquisadores enganam o AV da Cylance para que não identifique malwares conhecidos

Views: 218
0 0
Read Time:5 Minute, 26 Second

Pesquisadores enganam AV Cylance para que não identifique malwares conhecidos. Uma empresa australiana de cibersegurança diz que enganou o produto anti-vírus Cylance Protect, da BlackBerry, fazendo-o acreditar que alguns dos tipos mais perigosos de malware, incluindo o WannaCry e o ransomware SamSam, eram programas benignos.

A Skylight Cyber diz que examinou como o produto Protect da Cylance avalia o malware, atribuindo a ele uma pontuação, para determinar se um executável provavelmente é malicioso.

Os pesquisadores da Skylight Cyber ​​dizem que descobriram que anexar strings do executável de um aplicativo de jogo a arquivos como o WannaCry poderia enganar o mecanismo de detecção do Cylance Protect, fazendo-o pensar que o arquivo não era um malware. As descobertas foram primeiramente relatadas pela Motherboard da Vice, mas o aplicativo de jogo específico não foi revelado.

O CEO da Skylight, Adi Ashkenazy, disse ao ISMG – Information Security Media Group que a questão que os pesquisadores descobriram com as sequências de jogos é essencialmente um “preconceito” que é incorporado ao mecanismo de detecção do Cylance Protect. 

Após cerca de quatro anos de superexcitação [sobre AI], acho que este é um exemplo de como a abordagem fornece uma nova superfície de ataque que não era possível com o legado [software antivírus]“, diz Adi Ashkenazy, CEO da empresa Skylight Cyber , sediada em Sydney , que conduziu a pesquisa com CTO Shahar Zini.

Segundo o ISMG, em um comunicado, o Blackberry Cylance diz que “sabe que um bypass foi divulgado publicamente por pesquisadores de segurança. Verificamos que há um problema com o Cylance Protect, que pode ser aproveitado para contornar o componente anti-malware do produto. Nossa pesquisa e as equipes de desenvolvimento identificaram uma solução e lançarão um hotfix automaticamente para todos os clientes executando versões atuais nos próximos dias.” 

Segundo o site da Motherboard da Vice, o método funciona porque o algoritmo de aprendizado de máquina do Cylance tem um viés que faz com que ele ignore qualquer código malicioso e recursos em um arquivo mal-intencionado se também vê sequências do arquivo benigno anexado a um arquivo mal-intencionado – essencialmente anulando a conclusão correta do mecanismo de detecção. O truque funciona mesmo se o mecanismo Cylance concluísse anteriormente que o mesmo arquivo era malicioso antes que as cadeias benignas fossem anexadas a ele.

Os pesquisadores testaram seu ataque contra o ransomware WannaCry que prejudicou hospitais e empresas em todo o mundo em 2017, bem como o mais recente Samsam ransomware, a popular ferramenta de hacking Mimikatz e centenas de outros arquivos maliciosos conhecidos e em quase todos os casos, eles foram capazes de enganar o mecanismo Cylance.

O site da Skylight Cyber apresenta todo um detalhamento do método de AI e diz que ao analisar cuidadosamente o mecanismo e o modelo do produto antivírus baseado em AI da Cylance, identificaram um viés peculiar em relação a um jogo específico. Combinando uma análise do processo de extração de recursos, sua forte dependência de strings e seu forte viés para este jogo específico, os especialistas foram capazes de criar um bypass simples, ou seja, anexando uma lista selecionada de strings a um arquivo malicioso, eles foram capazes de alterar sua pontuação de maneira significativa, evitando a detecção. 

Segundo a Skylight Cyber, “esse método foi bem-sucedido em 100% dos 10 principais malware de maio de 2019 e quase 90% em uma amostra maior de 384 malwares.”

De acordo com Ryan Permeh, fundador e cientista chefe da Cylance, para determinar se um arquivo é malicioso ou benigno, o mecanismo do Cylance analisa quatro milhões de recursos ou pontos de dados diferentes. Isso inclui coisas como o tamanho do arquivo, elementos estruturais presentes e entropia (o nível de aleatoriedade), etc. Os programadores do Cylance então “treinam” o mecanismo, mostrando-o sobre um bilhão de arquivos maliciosos e benignos e ajustam o sistema para aprimorar sua detecção.

Mas durante o treinamento, o sistema também examina os arquivos em busca de padrões para ver como as variantes de malware evoluem com o tempo para antecipar como o novo malware pode parecer – essencialmente “predizendo” o que os autores de malware farão. Os modelos são treinados novamente, diz Permeh, mas apenas a cada seis meses, e os usuários só precisam atualizar o software se quiserem os recursos mais recentes e melhorias de desempenho.

Mas nenhum desses treinamentos e testes importam se o algoritmo tiver um viés que também esteja sendo treinado para ignorar o que ele aprende com o outro treinamento. Isso é essencialmente o que os pesquisadores da Skylight Cyber ​​descobriram.

Ashkenazy diz que se o Blackberry Cylance tentar resolver esse problema com uma lista negra, “então pode ser uma solução rápida, mas muito ruim“…”Corrigir o viés no modelo em si vai ser substancialmente mais difícil, já que não é um patch, e sim um retreinamento completo do modelo“, complementa.

Permeh, disse à Motherboard Vice que eles usam assinaturas e heurísticas codificadas em seus produtos e não confiam inteiramente no aprendizado de máquina, mas a IA tem precedência na detecção.

No entanto, ele reconheceu para Motherboard Vice o potencial para o tipo de desvio que os pesquisadores descobriram.  “De um modo geral, em todos esses cenários de IA, os modelos são probabilísticos. Quando você treina um, você aprende o que é bom e o que é ruim… Ao treinar o que é um bom arquivo, aprendemos os atributos disso… [e] é inteiramente possível que superestimamos a bondade disso”, disse ele à Motherboard. “Uma das partes interessantes de ser basicamente o primeiro a adotar uma abordagem AI-first é que ainda estamos aprendendo. Investimos muito em pesquisas adversas, mas isso ainda é uma evolução.”

Ao contrário do que Ashkenazy disse, Permeh não acha que levará muito tempo para reciclar o algoritmo para corrigir o problema, uma vez que ele saiba os detalhes do desvio global. 

Segundo a Skylight “os fornecedores muitas vezes abordam o problema de segurança com uma solução única e os hackers não são bonecos de madeira, eles contra-atacam e você precisa estar pronto para o contra-ataque, inovando constantemente e aumentando o custo do ataque.” 

A Skylight acredita que a solução está em uma abordagem híbrida, usando AI / ML principalmente para o desconhecido, mas verificando com técnicas experimentadas e testadas usadas no mundo legado. 

FONTE: https://minutodaseguranca.blog.br/pesquisadores-enganam-o-av-da-cylance-para-que-nao-identifique-malwares-conhecidos/

Previous post Segurança ou conformidade? Uma decisão que não deve ser tomada
Next post Empresa de serviços forenses paga resgate após ataque cibernético

Deixe um comentário