Вредоносное ПО иногда меняет свое поведение. [Исследовательская суббота]

Доктор Тудор Думитрас из Университета Мэриленда присоединяется к Дэйву Битнеру, чтобы поделиться результатами исследования, проведенного в сотрудничестве с промышленными партнерами из Facebook, NortonLifeLock Research Group и EURECOM. Проект называется: "Когда вредоносное ПО изменило свое мнение: Эмпирическое исследование переменного поведения программ в реальном мире". В исследовании команда проанализировала, как образцы вредоносного ПО меняют свое поведение при выполнении на разных хостах или в разное время. Такие "двойные личности" могут запутать текущие методы анализа и обнаружения вредоносного ПО. Трассировки выполнения вредоносного ПО обычно собираются путем выполнения образцов в контролируемой среде (в "песочнице"), и методы, созданные и протестированные с помощью таких трассировок, не учитывают широкий спектр поведения, наблюдаемый в реальном мире. В статье команда показывает, как вариативность поведения может сделать эти методы более эффективными, чем они есть на самом деле, и дает некоторые рекомендации по работе с вариативностью. Исследование и краткое изложение можно найти здесь: Когда вредоносное ПО изменило свое мнение: Эмпирическое исследование переменного поведения программ в реальном мире Анализ вариативности вредоносного ПО в реальном мире.