นักวิจัยพัฒนา Compiler สร้าง Signature ตรวจจับการโจมตีโดยอัตโนมัติ

     

ทีมนักวิจัยจาก Microsoft และมหาวิทยาลัย Erlangen-Nuremberg ประเทศเยอรมนี ประสบความสำเร็จในการพัฒนา Compiler สำหรับสร้าง Signature เพื่อตรวจจับ Exploit Kits ที่ยิง JavaScript มาบนเว็บเบราเซอร์ เรียกว่า Kizzle

ดาวน์โหลดงานวิจัย Kizzle: A Signature Compiler for Exploit Kits

ปัญหาในการสร้าง Signature เพื่อตรวจจับมัลแวร์และการโจมตีได้อย่างแม่นยำและรวดเร็วกลายเป็นเรื่องเก่าไปแล้ว ซึ่ง Kizzle ช่วยตรวจค้นมัลแวร์เหล่านั้นได้ภายในไม่กี่ชั่วโมง ที่สำคัญคือ Kizzle สามารถค้นหาและสร้าง Signature เพื่อรับมือมัลแวร์เหล่านั้นได้โดยอัตโนมัติโดยไม่จำเป็นต้องพึ่งการวิเคราะห์ตรวจสอบและเขียน Signature เองโดยผู้ดูแลระบบด้านความปลอดภัย

ด้วยการวิเคราะห์โค้ดบน Exploit Kits ทีมนักวิจัยสังเกตเห็นว่า ในขณะที่ JavaScript ที่ถูกส่งเข้ามาโดย Exploit Kits มีรูปแบบที่หลากหลาย แต่โค้ดที่เขียนขึ้นมานั้น เมื่อถูกนำมาตรวจสอบโดยละเอียดจะพบว่ามีความหลากหลายค่อนข้างต่ำ คาดว่ามาจากการที่แฮ็คเกอร์มีการใช้โค้ดซ้ำจาก Exploit Kits เวอร์ชันเดิมที่มีอยู่ Kizzle จึงใช้หลักการตรงจุดนี้ในการตรวจจับ Exploit Kits รูปแบบใหม่ๆได้อย่างรวดเร็วและแม่นยำ

“วิธีการของพวกเราคือการถ่วงสมดุลย์ระหว่างแฮ็คเกอร์ที่ชอบดัดแปลงมัลแวร์เพื่อหลบเลี่ยงการตรวจจับกับผู้ดูแลระบบที่ต้องใช้ความพยายามอย่างมากในการป้องกันระบบของตน ซึ่งหัวใจสำคัญของ Kizzle คือ การจัดกลุ่มมัลแวร์ประเภทเดียวกันไว้ด้วยกันโดยอาศัยการแกะมัลแวร์เพื่อตรวจสอบโค้ดภายใน” — ทีมนักวิจัยให้ข้อมูล ซึ่งการจัดกลุ่มมัลแวร์นี้เองที่ช่วยให้ Kizzle สร้าง Signature ได้อย่างมีประสิทธิภาพ

Kizzle ถูกออกแบบมาให้ทำงานบนระบบคลาวด์ และมีศักยภาพเพียงพอในการวิเคราะห์ข้อมูลขนาดใหญ่ได้ โดยจะเน้นที่การสร้าง Signature เพื่อรับมือกับ Exploit Kits เท่านั้น อย่างไรก็ตาม งานวิจัยนี้ยังคงอยู่ในขั้นตอนการทดสอบเพื่อพัฒนาและปรับปรุงให้มีประสิทธิภาพดียิ่งขึ้นเพียงพอต่อการใช้งานจริงในปัจจุบัน

รายละเอียดงานวิจัย: http://research.microsoft.com/pubs/240495/tr.pdf