O Echo transmia os próprios sistemas do malware para se atacar – como combater fogo com fogo, mas mais inteligente Echo usa o canal de atualização do malware para empurrar uma autodestruição digital A ferramenta da Georgia Tech torna a limpeza do botnet quase automática
Infecções por malware, especialmente aquelas ligadas a botnets, continuam causando grandes danos aos sistemas corporativos, geralmente não são detectados até que seja tarde demais.
TechXplore Os pesquisadores da Georgia Tech desenvolveram uma ferramenta chamada Echo que gira as tabelas usando a própria infraestrutura do Malware para removê -la.
O Echo explora um recurso essencial em muitas cepas de malware: mecanismos de atualização remota integrados. Ao identificar e reaproveitar esses mecanismos, o Echo pode implantar uma carga útil personalizada que desativa o malware de dentro.
Um remédio auto-dito para botnets
Botnets – uma rede de computadores infectados controlados por atores maliciosos – há muito tempo representa uma séria ameaça de segurança cibernética. Eles podem bloquear os fluxos de trabalho, expor dados confidenciais e infligir perdas financeiras.
Normalmente, a remoção de botnets é um processo tedioso e manual que pode levar dias ou até semanas. O Echo pretende mudar isso. Nos testes, ele neutralizou com sucesso 523 das 702 amostras de malware Android, alcançando uma taxa de sucesso de 75%.
A idéia de sequestrar os canais de comunicação de malware não é totalmente nova. Em 2019, o Avast e as autoridades francesas colaboraram para desmantelar a botnet retadup na América Latina. Embora bem -sucedido, o esforço foi difícil de reproduzir.
“Esta é uma abordagem muito boa, mas era extremamente trabalhoso”, disse Brendan Saltaformaggio, professor associado da Georgia Tech. “Então, meu grupo se reuniu e percebeu que temos a pesquisa para tornar isso uma técnica científica, sistemática e reproduzível, em vez de um esforço único, orientado a ser humano e miserável.”
O Echo funciona primeiro mapeando como o malware implanta código. Em seguida, analisa se esses canais de implantação podem ser reutilizados para transportar uma nova carga útil benigna que desativa a infecção original.
Uma vez validado, este código de remediação é testado e implantado. O processo reduz significativamente o tempo de resposta da botnet e limita potenciais danos.
A ferramenta, agora de origem aberta Girub não é para substituir as soluções de segurança tradicionais, mas as complementam.
“Nunca podemos obter uma solução perfeita, mas podemos elevar a fasquia alta o suficiente para um atacante que não valeria a pena usar malware dessa maneira”, explicou Saltaformaggio.
Organizações usando antivírus Assim, Epp e outro Proteção de malware As ferramentas podem recorrer ao eco para otimizar a remediação assim que uma violação é detectada.
Você também pode gostar
