นักวิจัยพัฒนา Compiler สร้าง Signature ตรวจจับการโจมตีโดยอัตโนมัติ

microsoft_logo     fau_logo

ทีมนักวิจัยจาก Microsoft และมหาวิทยาลัย Erlangen-Nuremberg ประเทศเยอรมนี ประสบความสำเร็จในการพัฒนา Compiler สำหรับสร้าง Signature เพื่อตรวจจับ Exploit Kits ที่ยิง JavaScript มาบนเว็บเบราเซอร์ เรียกว่า Kizzle

ดาวน์โหลดงานวิจัย Kizzle: A Signature Compiler for Exploit Kits

ปัญหาในการสร้าง Signature เพื่อตรวจจับมัลแวร์และการโจมตีได้อย่างแม่นยำและรวดเร็วกลายเป็นเรื่องเก่าไปแล้ว ซึ่ง Kizzle ช่วยตรวจค้นมัลแวร์เหล่านั้นได้ภายในไม่กี่ชั่วโมง ที่สำคัญคือ Kizzle สามารถค้นหาและสร้าง Signature เพื่อรับมือมัลแวร์เหล่านั้นได้โดยอัตโนมัติโดยไม่จำเป็นต้องพึ่งการวิเคราะห์ตรวจสอบและเขียน Signature เองโดยผู้ดูแลระบบด้านความปลอดภัย

ด้วยการวิเคราะห์โค้ดบน Exploit Kits ทีมนักวิจัยสังเกตเห็นว่า ในขณะที่ JavaScript ที่ถูกส่งเข้ามาโดย Exploit Kits มีรูปแบบที่หลากหลาย แต่โค้ดที่เขียนขึ้นมานั้น เมื่อถูกนำมาตรวจสอบโดยละเอียดจะพบว่ามีความหลากหลายค่อนข้างต่ำ คาดว่ามาจากการที่แฮ็คเกอร์มีการใช้โค้ดซ้ำจาก Exploit Kits เวอร์ชันเดิมที่มีอยู่ Kizzle จึงใช้หลักการตรงจุดนี้ในการตรวจจับ Exploit Kits รูปแบบใหม่ๆได้อย่างรวดเร็วและแม่นยำ

“วิธีการของพวกเราคือการถ่วงสมดุลย์ระหว่างแฮ็คเกอร์ที่ชอบดัดแปลงมัลแวร์เพื่อหลบเลี่ยงการตรวจจับกับผู้ดูแลระบบที่ต้องใช้ความพยายามอย่างมากในการป้องกันระบบของตน ซึ่งหัวใจสำคัญของ Kizzle คือ การจัดกลุ่มมัลแวร์ประเภทเดียวกันไว้ด้วยกันโดยอาศัยการแกะมัลแวร์เพื่อตรวจสอบโค้ดภายใน” — ทีมนักวิจัยให้ข้อมูล ซึ่งการจัดกลุ่มมัลแวร์นี้เองที่ช่วยให้ Kizzle สร้าง Signature ได้อย่างมีประสิทธิภาพ

Credit: Amy Walters/ShutterStock
Credit: Amy Walters/ShutterStock

Kizzle ถูกออกแบบมาให้ทำงานบนระบบคลาวด์ และมีศักยภาพเพียงพอในการวิเคราะห์ข้อมูลขนาดใหญ่ได้ โดยจะเน้นที่การสร้าง Signature เพื่อรับมือกับ Exploit Kits เท่านั้น อย่างไรก็ตาม งานวิจัยนี้ยังคงอยู่ในขั้นตอนการทดสอบเพื่อพัฒนาและปรับปรุงให้มีประสิทธิภาพดียิ่งขึ้นเพียงพอต่อการใช้งานจริงในปัจจุบัน

รายละเอียดงานวิจัย: http://research.microsoft.com/pubs/240495/tr.pdf


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

พบบั๊กบน Facebook API รูปภาพของผู้ใช้กว่า 6.8 ล้านคนเสี่ยงหลุดสู่ภายนอก

Facebook ออกแถลงการณ์ พบบั๊กบน Application Programming Interface (API) สำหรับรูปภาพบนแพลตฟอร์มโซเชียลมีเดียของตน ซึ่งอาจทำให้บุคคลที่สามสามารถเข้าถึงรูปภาพของผู้ใช้กว่า 6,800,000 คนเกินกว่าที่กำหนดไว้ได้โดยไม่ได้รับอนุญาต

สหรัฐฯ เตือนประชาชนอยู่ในความสงบ หลังพบอีเมลสแปมขู่วางระเบิดทั่วสหรัฐฯ

ตำรวจและหน่วยงานบังคับใช้กฎหมายที่เกี่ยวข้องของสหรัฐฯ ออกมาแจ้งเตือนให้ประชาชนอยู่ในความสงบ หลังพบแคมเปญอีเมลสแปมขู่วางระเบิดแพร่กระจายในหลายเมือง ไม่ว่าจะเป็นนิวยอร์ก ชิคาโก ดีทรอยต์ ซาน ฟรานซิสโก และวอชิงตัน หากไม่ยอมจ่ายค่าไถ่ $20,000 (ประมาณ 650,000 บาท) ส่งผลให้เกิดความวุ่นวายและการอพยพหนีออกจากอาคารไปทั่วทั้งสหรัฐฯ