บริการการวิเคราะห์มัลแวร์ในคลาวด์สามารถเบี่ยงเบนความสนใจไปเพื่อทำหน้าที่เป็นช่องทาง exfiltration ระหว่างเป้าหมายและผู้โจมตี สถานการณ์ที่ใช้งานได้แม้บนเครื่องจักรที่ตัดการเชื่อมต่อจากอินเทอร์เน็ต
คลาวด์และแอนติไวรัสไม่จำเป็นต้องไปจับมือกันในขณะที่นักวิจัย Itzik Kotler และ Amit Klein de Safebreach เพิ่งแสดงให้เห็นในโอกาสของการประชุมBlack Hat USA 2017- ผู้เผยแพร่ยาต้านไวรัสจำนวนมากขึ้นเรื่อย ๆ กำลังขับไล่การวิเคราะห์มัลแวร์ในคลาวด์ด้วยเหตุผลของประสิทธิภาพ เมื่อตัวแทนซอฟต์แวร์ในท้องถิ่นพบแอปพลิเคชันที่ไม่รู้จักและอาจเป็นอันตรายตอนนี้เป็นเรื่องปกติที่เขาจะส่งไปยังเซิร์ฟเวอร์ของบรรณาธิการเพื่อทำการวิเคราะห์เชิงลึก
บ่อยครั้งที่รหัสผู้ต้องสงสัยจะถูกดำเนินการในเครื่องเสมือนเพื่อสังเกตพฤติกรรมของมัน แต่วิธีการใหม่นี้ไม่เพียง แต่มีข้อดี นักวิจัยสองคนได้แสดงให้เห็นว่าการวิเคราะห์คลาวด์นี้ให้วิธีการใหม่ในการทำให้ข้อมูลลับของแฮ็กเกอร์เบี่ยงเบนจากคอมพิวเตอร์ขององค์กรแม้ว่าจะขาดการเชื่อมต่อบางส่วนหรือทั้งหมดจากอินเทอร์เน็ต
โซลูชั่นสี่วิธีพบว่ามีความเสี่ยง
Modus operandi มีดังนี้ โจรสลัดจัดการเพื่อปรับใช้ซอฟต์แวร์สายลับที่ตรวจไม่พบซึ่งนักวิจัยให้บัพติศมา "จรวด" สิ่งนี้จะรวบรวมข้อมูลที่น่าสนใจและรวมเข้ากับมัลแวร์ตัวที่สองที่เรียกว่า "ดาวเทียม" ซึ่งจะฝากไว้ในเครื่องและจะตรวจจับได้ง่าย (ตัวอย่างเช่นเพราะมันจะมีการคงอยู่ที่ชัดเจน) ตัวแทนป้องกันไวรัสจะดำเนินการกักกันของเขาและส่งมัน - โดยตรงหรือโดยอ้อม - ไปยังเซิร์ฟเวอร์คลาวด์ของบรรณาธิการซึ่งเขาจะถูกดำเนินการในเครื่องเสมือน หากเชื่อมต่อกับอินเทอร์เน็ต "ดาวเทียม" จะสามารถถ่ายโอนข้อมูลที่เป็นความลับไปยังโจรสลัดและ voila
นักวิจัยทดสอบเทคนิคนี้ในโซลูชั่นป้องกันไวรัสโหล สี่ของพวกเขามีความเสี่ยงต่อการโจมตีประเภทนี้: Avira Antivirus Pro, ESET NOD32 Antivirus, Comodo Client Security และ Kaspersky Total Security 2017 สามครั้งแรกได้นำการแก้ไขการวิเคราะห์ของพวกเขาในคลาวด์ซึ่งไม่ได้หมายความว่าตอนนี้อันตราย ในการทดสอบของพวกเขานักวิจัยได้ทำการลบข้อมูลจากเครื่องเสมือนจริงด้วยเทคนิคที่ค่อนข้างง่ายตามคำขอ HTTP หรือ DNS บางทีอาจมีเทคนิคที่ซับซ้อนกว่าที่สามารถข้ามแพทช์เหล่านี้ได้
ไม่มีแพทช์ที่ Kaspersky
Kaspersky ในส่วนของเขาตัดสินใจที่จะไม่ทำอะไรเลย ผู้จัดพิมพ์อธิบายว่า บริษัท ที่กลัวการโจมตีดังกล่าวสามารถตั้งค่าเซิร์ฟเวอร์การวิเคราะห์ Kaspersky ของตัวเองเพื่อไม่ขึ้นอยู่กับบริการคลาวด์ของบรรณาธิการอีกต่อไป แต่นั่นไม่จำเป็นต้องแก้ปัญหาเพราะเซิร์ฟเวอร์นี้อาจทำการวิเคราะห์ประเภทเดียวกันและอาจเรียกใช้มัลแวร์ในเครื่องเสมือนที่เชื่อมต่อกับอินเทอร์เน็ต
แน่นอนว่าลูกค้าอาจบล็อกการเชื่อมต่ออินเทอร์เน็ตทั้งหมดของเครื่องเสมือนทั้งหมดเนื่องจากเขามีการควบคุม นี่คือสิ่งที่นักวิจัยสองคนแนะนำให้ทำ แต่นี่ไม่ใช่วิธีแก้ปัญหาที่เหมาะอย่างยิ่งเนื่องจากการสื่อสารใด ๆ ที่เริ่มต้นโดยมัลแวร์มักจะเผยให้เห็นตัวละครที่เป็นอันตราย ลูกค้ากังวลเพื่อให้แน่ใจว่าการรักษาความลับของข้อมูลของพวกเขาจะถูกบังคับให้ลดประสิทธิภาพของเครื่องมือตรวจจับ แต่มันอาจจะเป็นความชั่วร้ายที่น้อยกว่า
🔴อย่าพลาดข่าว 01NET ใด ๆ ติดตามเราที่Google NewsETWhatsapp-
