Учёные из Пермского Политеха разработали инструмент для борьбы с инфостилерами — вирусным ПО, крадущим данные с компьютера. По данным компании-разработчика антивируса Dr.Web, в 2024 году число обнаруженных угроз увеличилось на 26,20%, уникальных угроз — на 51,22%.
При этом утечки конфиденциальной информации и пользовательских данных в 72% случаев затронули частных лиц, в 54% — организации. Для борьбы с этими угрозами исследователи из Пермского Политеха разработали код для обнаружения стилеров.
Код разработан на основе открытого инструмента YARA — набора правил для обнаружения стилеров. Эффективность российской разработки составила 93%. Как сообщает издание Naked Science, стилеры используются злоумышленниками в сложных атаках для сбора информации и проникновения в системы.
Самым опасным инфостилером признан Lumma Stealer, который маскируется под файлы с двойным расширением. Из-за этого методы детектирования антивирусов не всегда эффективны против стилеров из-за гибкости этого софта.
В качестве альтернативы как раз и разработан код на основе YARA. Уникальный набор правил YARA разработан спецами Пермского Политеха прежде всего для обнаружения вирусов класса Lumma Stealer.
Этот метод анализирует поведение стилера и сигнатуры для высокой точности детектирования. Однако новые правила YARA могут быть адаптированы и под другие семейства стилеров. «Наш способ анализирует поведение вируса: какие процессы он запускает, с какими файлами взаимодействует, пытается ли использовать какие-то техники для скрытия своей работы и так далее.
Такой подход позволяет понять характерное поведение стилера, даже если его код был изменён или замаскирован.
Также метод учёных обращает внимание на сигнатуры — это своего рода "отпечаток пальца" вредоносной программы, то есть уникальная последовательность байтов или строк», – рассказала Дарья Тарутина, магистрант кафедры «Автоматика и телемеханика» ПНИПУ.
Рубрика: Технологии. Читать весь текст на www.ferra.ru.