Un nou instrument open source de eliminare automată poate opri majoritatea programelor malware controlate de la distanță
Atacurile cibernetice pot bloca fluxurile de lucru, pot pune în pericol informațiile vulnerabile ale clienților și pot costa corporațiile și guvernele milioane de dolari. O rețea botnet – o rețea infectată cu malware – poate fi deosebit de catastrofală. Un nou instrument de la Georgia Tech automatizează procesul de eliminare a programelor malware, economisind ore de muncă inginerilor și bani companiilor anunță Universitatea Georgia Tech.
Instrumentul ECHO dezvoltat de o echipă ce cercetători în securitate cibernetică de la Universitatea Georgia Tech, întoarce programul malware împotriva lui însuși, exploatând mecanismele sale de actualizare încorporate și împiedicând reconstrucția rețelelor botnet. ECHO este eficient în 75% în eliminarea botnet-urilor potrivit creatorilor lui. Eliminarea programelor malware dura zile sau săptămâni pentru a fi remediată, dar acum poate fi rezolvată în câteva minute. Odată ce o echipă de securitate își dă seama că sistemul său este compromis, poate acum implementa ECHO, care funcționează suficient de rapid pentru a împiedica botnet-ul să distrugă o întreagă rețea.
„Înțelegerea comportamentului programelor malware este de obicei foarte dificilă, cu puține recompense pentru inginer, așa că am creat o soluție automată”, a declarat Runze Zhang, doctorand la Școala de Securitate Cibernetică și Confidențialitate (SCP) și la Școala de Inginerie Electrică și Calculatoare.
Cercetătorii au prezentat lucrarea „Vaccinul Hitchhiking: Îmbunătățirea remedierii botneturilor prin reutilizarea implementării de la distanță a codului” la Simpozionul Network and Distributed System Security (NDSS 2025) din februarie. Codul open-source al ECHO este disponibil pe GitHub.
Rețeaua botnet explicată
Botnet-ul este un sistem de dispozitive interconectate prin Internet, fiecare dintre acestea rulând unul sau mai mulți roboți (programe software client care comunică prin servere existente, programe controlate de la distanță). Botnet-ul poate fi utilizat pentru a efectua un atac DDoS, pentru furtul de date, distribuirea de spam și permiterea atacatorului să acceseze dispozitivul și conexiunea acestuia.
Botneturile au reprezentat o problemă încă din anii 1980 și au crescut în intensitate recent. În 2019, de exemplu, un malware periculos numit Retadup a compromis sistemele Windows din întreaga Americă Latină. O companie cehă de securitate cibernetică, Avast, a colaborat cu guvernul francez pentru a elimina acest bot. Aceștia au realizat inginerie inversă a malware-ului, creând efectiv un „vaccin” pentru acesta în acest proces. Oricât de eficientă a fost soluția respectivă, nu a fost ușor de replicat. Brendan Saltaformaggio a văzut însă o oportunitate.
„Aceasta este o abordare foarte bună, dar a necesitat extrem de multă muncă”, a spus Saltaformaggio, profesor asociat în SCP. „Așadar, grupul meu s-a reunit și și-a dat seama că avem cercetările necesare pentru a face din aceasta o tehnică științifică, sistematică și reproductibilă, mai degrabă decât un efort singular, condus de om și mizerabil.”
Cum dezmembrează ECHO un botnet
ECHO efectuează eradicarea programelor malware în trei etape. Mai întâi, determină modul în care malware-ul își implementează codul malițios. Apoi, ECHO identifică capacitățile acestui mecanism de implementare și descoperă cum pot fi reutilizate pentru remediere. În continuare, construiește un cod de remediere care utilizează aceleași mecanisme pentru a dezactiva malware-ul. Codul respectiv este apoi testat și, în cele din urmă, trimis către sistem. Echipa a testat ECHO pe 702 mostre de malware Android și a oprit cu succes malware-ul în 523 dintre ele.
Ei speră că succesul ECHO va opri atacatorii în loc.
„O modalitate prin care abordăm problemele în laboratorul nostru este de a găsi compromisul dintre efortul atacatorilor și efortul nostru de a-i combate”, a spus Saltaformaggio. „Nu putem niciodată obține o soluție perfectă, dar putem ridica ștacheta suficient de sus pentru un atacator încât să nu merite să folosească malware în acest fel.” Cu instrumente precum ECHO, botnetele pot fi eliminate înainte de a provoca daune economice și operaționale. Programele malware sunt în continuă evoluție, dar Saltaformaggio și echipa sa își îmbunătățesc metodele odată cu ele. Următorul atac malware este iminent – dar la fel este și soluția.
