Otevřený nástroj dokáže automaticky deaktivovat většinu malware ovládaného na dálku

Výzkumníci v oblasti kybernetické bezpečnosti na Georgia Tech vytvořili nový nástroj, který odstraňuje škodlivý software z infikovaných zařízení tím, že obrací jeho vlastní systémy proti němu.

Nástroj nazvaný ECHO využívá vestavěné aktualizační funkce škodlivého softwaru k jeho vypnutí, čímž zastavuje vzdáleně ovládané sítě infikovaných strojů, známé jako botnety, jak bylo poprvé nahlášeno na Tech Xplore (TX).

Otevřený zdrojový kód ECHO je nyní dostupný na GitHubu a v 75% testovaných případů se ukázal jako úspěšný. Výzkumníci svůj nástroj aplikovali na 702 vzorků škodlivého softwaru pro Android a dokázali úspěšně odstranit infekce v 523 případech, jak vysvětlují ve svém článku.

„Porozumění chování škodlivého softwaru je obvykle velmi těžké s malou odměnou pro inženýra, takže jsme vytvořili automatické řešení,“ řekl Runze Zhang, doktorand na Georgia Tech, jak informoval TX.

Botnety působí problémy již od 80. let a v posledních letech se staly nebezpečnějšími. Škodlivý software Retadup se v roce 2019 rozšířil po Latinské Americe, podle TX. Hrozbě se nakonec podařilo zabránit, ale vyžádalo si to značné množství času a úsilí.

„Je to velmi dobrý přístup, ale bylo to mimořádně pracné,“ řekl Brendan Saltaformaggio, docent na Georgia Tech, jak informoval TX. „Takže se moje skupina sešla a uvědomila si, že máme výzkum, který z toho může udělat vědeckou, systematickou, reprodukovatelnou techniku, namísto jednorázového, lidsky řízeného, bídného úsilí.“

TX informuje, že ECHO funguje ve třech krocích: analyzuje, jak se malware šíří, přeúčelí tuto metodu k odeslání opravy a poté rozešle kód na vyčištění infikovaných systémů. Je to dost rychlé na to, aby zastavilo botnet, než způsobí značné škody.

„Nikdy nemůžeme dosáhnout dokonalého řešení,“ řekl Saltaformaggio, jak bylo hlášeno TX. „Ale můžeme nastavit laťku tak vysoko pro útočníka, že by se jim nevyplatilo používat malware tímto způsobem.“