МЕТОДЫ УКЛОНЕНИЯ, ИСПОЛЬЗУЕМЫЕ СОВРЕМЕННЫМИ ВРЕДОНОСНЫМИ ПРОГРАММАМИ В КРИМИНАЛИСТИКЕ

EVASION TECHNIQUES USED BY MODERN MALWARE IN CRIME

Nikolay Sychev,

student, Tambov State Technical University,

Russia, Tambov

Anastasia Dmitrieva,

student, Tambov State Technical University,

Russia, Tambov

АННОТАЦИЯ

В статье изложены методы, которые используют вредоносные программы в современном мире. Отмечено, что вредоносные программы не стоят на одном месте и всегда опережают системы по выявлению киберпреступлений.

ABSTRACT

The article describes the methods that malware uses in the modern world. It is noted that malware does not stand in one place and is always ahead of systems for detecting cybercrimes.

Ключевые слова: криминалистика, киберпреступления, технико-криминалистическое обеспечение, борьба с киберпреступлениями.

Keywords: criminalistics, cybercrimes, technical and forensic support, combating cybercrimes.

Современные вредоносные программы проявляют высокую гибкость в обходе систем защиты. Некоторые из них применяют методы, способствующие избежанию обнаружения программами слежения. С другой стороны, недобросовестные разработчики создают вредоносные программы, которые специально применяют методы антианализа, адаптированные к системам обнаружения вредоносного ПО. Они используют различные стратегии для обхода обнаружения и анализа. Ниже приведены наиболее известные и широко используемые методы уклонения, применяемые в нынешних вредоносных программах.

Переименование является одним из наиболее популярных средств, используемых вредоносными программами с целью противодействия антивирусным продуктам. При применении данного подхода вредоносное ПО изменяет свое собственное наименование, а также имена, используемые для обозначения переменных и функций.

Переупаковка – это простой и эффективный метод уклонения от обнаружения. При использовании данного подхода, разработчики вредоносных программ сжимают, шифруют или перестраивают определенные компоненты своего вредоносного кода. Когда вредоносная программа запускается, она сначала распаковывает себя, а затем приступает к выполнению своих функций.

Строковое шифрование является надежным методом, применяемым злонамеренными программами с целью усложнить статический анализ. Они используют пользовательскую систему шифрования, чтобы зашифровать любую существенную строку, которая способна выдать присутствие вредоносного кода. При этом статический анализ сможет обнаружить такой вредоносный код лишь после успешной дешифрации указанной строки.

Шифрование исходного кода представляет собой метод, который используется для сокрытия вредоносной программной логики от систем антивирусной защиты. Этот прием возможно применять как на уровне всего программного продукта в целом, так и на уровне отдельных компонентов программы. Если шифрование применяется на уровне всего продукта, то каждая строка вредоносного кода подвергается шифрованию, тогда как при использовании на уровне класса можно выбрать конкретные классы для шифрования или зашифровать весь код классов полностью. Благодаря этой технике шифрования исходного кода, увеличивается сложность обнаружения вредоносного программного кода и усложняется его адекватная идентификация.

Метод косвенного вызова и отражения - это техника трансформации, позволяющая управлять порядком вызовов в программе. Такая стратегия позволяет избежать автоматического соответствия вызовов и предоставляет возможность направить вызов в исходное место [25].

Метод динамической загрузки представляет собой весьма интересный процесс, ограничивающий возможность вредоносным программам загружать данные и код с помощью внешних источников во время своего выполнения. Важно отметить, что в случае использования данного метода, внешний источник умело уклоняется от статического анализа программы. Более того, для гарантированной безопасности, фрагменты данных и кода, полученные из внешних источников, часто подвергаются шифрованию.

Замаскировка ресурсов представляет собой дополнительный метод, который хакеры применяют в своих вредоносных программах для обхода анализа. Он заключается в запутывании хранения программных ресурсов, например, текстовых строк и графических изображений, на жестком диске, а затем их деобфускации во время выполнения, чтобы они могли быть использованы вредоносной программой.

Анти-разборка – еще один метод, который используется авторами вредоносных программ. Защита от дизассемблирования направлена на ограничение использования современных методов дизассемблирования в целях скрытия кода от анализа вредоносных программ.

Метод антидинамического анализа разработан с целью предотвращения проведения динамического анализа. Существуют две основные категории, связанные с определением среды выполнения. Первая категория не требует знания о том, выполняется ли она в среде анализа. Для активации вредоносного кода данного типа атаки требуется определенный период времени или наступление определенного события, такого как пользовательское взаимодействие. Другая категория атак использует различные методы для определения текущей среды, в которой код выполняется. Этот вид вредоносных программ никогда не активирует вредоносный код, если обнаружит, что выполняется в среде анализа. Таким образом, они могут быть идентифицированы как безопасные приложения. Для получения такой информации они могут использовать различные способы, такие как доступ к глобальным переменным (контактам, количеству изображений и т. д.), измерение времени доступа к кэш-памяти или поиск побочного канала, через который может происходить утечка конфиденциальной информации о среде анализа, которая не должна быть известна вредоносным программам.

Таким образом, в данной статье рассмотрены методы, используемые для скрытия вирусных программ, с их помощью и разрабатывают современные системы по обнаружению киберпреступлений, но и разработчики вирусов не стоят на месте, поэтому важна искать и самому разрабатывать новые методы скрытия для борьбы с ними.

Список литературы:

1. Кутюр М.  Улучшенная скрытая марковская модель [Текст] / Кутюр М. — 10. — Москва: ИСС, 2012 — 117 c.
2. Лин Я. Модель фильтра для системы обнаружения вторжений [Текст] / Лин Я. — 6. — Москва: ИСС, 2012 — 611 c.
3. Рехман С. У.  Автомобильные сети ad-hoc (VANETs) - обзор и проблемы [Текст] / Рехман С. У.  // Netw. — 2013. — № 3. — С. 29-38.
4. Джантан А. Новый алгоритм оценки сходства намерений киберпреступников для сетевой криминалистики [Текст] / Джантан А. // Procedia Technol. — 2013. — № 11. — С. 540-547.
5. Харроу Ф. Обнаружение кибератак с использованием подхода к мониторингу [Текст] / Харроу Ф. // SSCI. — 2018. — № 20. — С. 618-622.
6. Ван Дж. Обнаружение и смягчение атак с использованием переполнения целевых каналов [Текст] / Ван Дж. // IEEE Trans. — 2019. — № 16. — С. 944-956.