Mоделі і методи діагностування Zero-Day загроз в кіберпросторі

Анотація

Робота присвячена розробці моделей і методів діагностування Zero-Day загроз в кіберпросторі для підвищення ефективності виявлення складних шкідливих комплексів, що використовують поліморфні мутатори. Пропонується метод детектування досліджуваного зразка антивірусними рішеннями за допомогою публічного і локального мультисканера. Розробляється метод діагностування поліморфних шкідливих програм за допомогою Yara правил. Описується багатокомпонентний сервіс, що дозволяє організувати безкоштовне рішення аналізу шкідливих програм з гібридною архітектурою розгортання в публічних і приватних хмарах. Виконується проектування хмарного сервісу для детектування шкідливих програм на основі пісочниць з відкритим вихідним кодом і MAS, що дозволяє горизонтально масштабироваться в гібридних хмарах і показує високу пропускну здатність при обробці потоку шкідливих і невредоносних об'єктів. Основним завданням сервісу є збір артефактів після динамічного і статичного аналізу досліджуваного об'єкта для детектування Zero-Day загроз. Показується ефективність запропонованих рішень. Наукова новизна дослідження визначається створенням методів: 1) детектування досліджуваного зразка заздалегідь встановленими антивірусними рішеннями, які дозволяють в окремому потоці проводити статичне сканування досліджуваного об'єкта без обмежень на кількість запитів за хвилину і тим самим підвищити швидкість обробки об'єктів і обмежити публічний доступ до конфіденційних файлів; 2) діагностування поліморфних шкідливих програм за допомогою Yara правил, що дозволяє детектувати нові модифікації, які не виявляються доступними рішеннями. Практична значущість визначаєтся розробкою гібридної архітектури системи, яка дозволяє проводити ретроспективний пошук за сімействами, відстежуючи зміни в деструктивних компонентах, збирати базу шкідливих URL адрес для блокування трафіку до керуючих серверів, збирати витягнуті завантажені файли, аналізувати вкладення в фішингові листи, інтегруватися з SIEM, IDS, IPS, антифішинг і Honeypot система, поліпшити якість роботи SOC аналітика і час реакції на інциденти, упереджувати атаки зловмисників і блокувати нові загрози, що не детектируются доступними антивірусними рішеннями.