Software herstelt zichzelf na besmetting door computervirus

Onderzoekers van University of Utah hebben beveiligingssoftware geschreven die besmettingen van onbekende virussen kan herkennen en vervolgens de aangerichte schade direct kan herstellen. De software wist naar verluidt de bekende Shellshock-bug binnen luttele minuten te ondervangen.

Het softwarepakket heet A3 en draait in een virtuele machine. A3, een afkorting van Advanced Adaptive Applications, bestaat uit verschillende debuggers die gelijktijdig bovenop elkaar draaien. De programma's monitoren elkaar en de virtuele machine, op zoek naar abnormale activiteiten op de machine. A3 grijpt in zodra er iets niet klopt.

Het beveiligingspakket werkt anders dan reguliere antivirussoftware, zo claimen de onderzoekers. A3 zou namelijk door de debuggers nieuwe, onbekende virussen automatisch kunnen opsporen zodra er iets op de computer gebeurt wat niet in de haak is. Vervolgens kan A3 de malware stoppen, de software herstellen en 'leren' om de malware nooit meer toe te laten. De meeste traditionele virusscanners werken weliswaar ook met een heuristische scanmethode, maar gebruiken daarvoor geen debuggers. Met heuristisch scannen kan nog onbekende malware worden gedetecteerd op basis van verdacht gedrag.

Het A3-softwarepakket is ontwikkeld door de University of Utah om Linuxservers te beschermen tegen malware. De universiteit werkte daarvoor onder andere samen met Darpa, het onderzoeksinstituut van het Amerikaanse ministerie van Defensie. Het ontwikkeltraject duurde vier jaar en pas in september werd de software voor het eerst gedemonstreerd, zo werd deze week bekendgemaakt.

De eerste bevindingen lijken bemoedigend, schrijft onder andere Phys.org op basis van de informatie van de Amerikaanse universiteit. Het pakket wist bij een demonstratie bij Darpa in september naar verluidt het toen kersverse Bash-beveiligingsprobleem Shellshock meteen te herkennen. Bovendien was de software binnen vier minuten weer hersteld van de aanval, zo beweren de onderzoekers. Door Shellshock konden kwaadwillenden eigen code in een zogenoemde environment-variabele stoppen, waarna de code werd uitgevoerd zodra een systeem een Bash-sessie initieerde.

Vooralsnog zijn er nog geen concrete toepassingen ontwikkeld op basis van A3. Ook zijn er nog geen plannen om thuiscomputers en -laptops van de software, die als opensource is vrijgegeven, te voorzien. De onderzoekers sluiten dit alleen niet uit voor in de toekomst. Ze zeggen hier nog eventueel onderzoek naar te willen doen, maar eerst willen ze kijken wat de software kan betekenen voor grote serverparken, zoals bijvoorbeeld die van Amazon.

Reacties (64)

deathz0rz 14 november 2014 23:00

Het is handig als je in het artikel linkt naar de website van dit project.

torp 14 november 2014 21:34

Doet me denken aan hoe het menselijk lichaam op indringers reageert.

FunFair @torp • 14 november 2014 23:30

Als dit zo werkt, is de volgende uitdaging voor virus schrijvers natuurlijk om een auto-imuun virus te creëren. Dan help je een computersysteem om zeep met zijn eigen virusscanner

jorisvergeerTBA @FunFair • 15 november 2014 04:24

Ik kan niet wachten op het eerste signalament van Win32.HIV.aids

xbeam @jorisvergeerTBA • 15 november 2014 09:06

Scherp ;-)

Denk dat meesten niet weten dat hiv/aids een auto-immuun virus/ziekte is

[Reactie gewijzigd door xbeam op 22 juli 2024 19:03]

Citroentjuh @xbeam • 15 november 2014 09:41

Nee dat denk ik ook niet dat veel mensen dat weten, want het is namelijk niet zo.
Aids tast inderdaad het immuunsysteem aan, maar is geen auto-immuun ziekte (waarbij het immuunsysteem de eigen lichaamscellen aanvalt door veelal een erfelijke aandoening van het systeem)

xbeam @Citroentjuh • 15 november 2014 09:50

Als een T-lymfocyt tijdens zijn ontwikkeling in de thymus reageert op lichaamseigen eiwitten voordat de rijping volledig is dan sterven deze T-lymfocyten en worden geëlimineerd. dan ontstaat een auto-immunziekte.

Goh dat is toevallig precies wat aids doet
Alleen is het dan geen afwijking van het lichaam maar zorgt hiv virus hier voor. Dat is precies wat hij bedoelde met zijn grapje

Niemand gaat dood aan hiv of aids maar aan de andere ziektes die onstaan door aids

[Reactie gewijzigd door xbeam op 22 juli 2024 19:03]

rob12424 @xbeam • 15 november 2014 10:44

Nee het hiv virus infecteert de cellen van het afweer systeem en dood ze. Bij een auto immuun ziekte valt het lichaam zijn eigen cellen aan als zijnde vijandig. (Zoals MS)

Dat is een wezenlijk verschil! In sommige gevallen zijn er mensen genezen van Hiv. Dan wordt het virus dus wel herkent. En valt het afweer systeem de eigen afweercellen aan die geïnfecteerd zijn (ik denk dat je daar mee in de war bent)

Ben er overigens van bewust: Een virus heeft altijd een gastheer nodig. Het is een stukje los dna/RNA dat zich implementeerd in het DNA/ RNA van de gastheer en de gastheer deelt. Zonder gastheer kan een virus maximaal vaak maar 78 uur overleven.

Ontopic: Wel leuk dat dit kan. Als ik het goed begrijp is de VM een soort toezichthouder die de boel herstelt!?

xbeam @rob12424 • 15 november 2014 10:56

Er nog niemand genezen van aids.
Zoek maar na alle claimen waren vals.

De gevallen die geclaimt werden zijn weer ingetrokken.

Maar het resultaat is het zelfde hiv zorgt er voor dat het lichaam geen T-cellen meer aanmaakt zodat het lichaam zichzelf aanvalt. Waardoor ander ziektes/virussen een kans krijgen die het lichaam normaal makkelijk aankan.
Vandaar dat ik zijn grap best gepast vindt.

Ronnerd @xbeam • 15 november 2014 13:46

nee.... nee en nog eens nee. Hiv heeft niets van doen met auto-imuun ziekten. Hiv vernietigd het afweersysteem zodat het dusdanig afzwakt dat het afweersysteem niet meer in staat is om andere infecties van virussen of bacteriën de baas te kunnen. Een auto-imuun ziekte is een situatie waarbij het afweersysteem lichaamseigen cellen als vijandig ziet en het gaat aanvallen. Twee totaal verschillende dingen die niets met elkaar te maken hebben.

xbeam @Ronnerd • 15 november 2014 16:11

http://www.ariez.nl/Downl...f5-4833-bc6a-c0dde6ba1d49

rob12424 @xbeam • 15 november 2014 16:41

hiv is een auto immuno deficiëntie disease. Oftewel een automatische afweersysteem TEKORTKOMINGS-- ziekte. Het tekort is uiteindelijk namelijk van cellen van de afweer. De paper die jij post heeft daar deels mee te maken. Een allergie is ook respons op van de automatische afweer op een ziekte en kan tot acute anafylactische shock lijden omdat het lichaam ineens alles uit de kast haalt om lichaamsvreemde stoffen aan te vallen. Of zich richt op 1 lichaamsvreemde stof en geen tijd/aandacht besteed aan de ander. Of ontstekingen. Daarnaast besteed de de paper ook aandacht aan het gebruik van NSAIDS (non steroid anti-inflammatory drugs en SAIDS (steroid anti-inflammatory drugs) en het staken daarvan. De therapie die voor HIV beschreven staat wordt waarschijnlijk als lichaamsvreemde stof aangemerkt en daardoor aangevallen

[Reactie gewijzigd door rob12424 op 22 juli 2024 19:03]

Anoniem: 532949 @FunFair • 15 november 2014 14:34

percies waar ik aan dacht. een beetje zoals HIV , wat zich door een lymfosiet laat "op eten" en vervolgens deze van binnen uit vernietigt door hem als gast cel te gebruiken.

Ramoncito @FunFair • 16 november 2014 10:56

Uitstekende analogie

Je zou op deze manier een bug in het OS kunnen misbruiken om A3 in een onherstelbare loop te zetten bijvoorbeeld. Ik hoop dat er ook nagedacht wordt over dit soort herstelacties, want hoe zit het met een server die zich niet meer (op afstand) laat patchen vanwege A3? Je zou zo onuitroeibare botnets kunnen maken...

Dograver @torp • 14 november 2014 22:28

Nou dat was inderdaad exact het eerste waar ik aan dacht toen ik dit las.
Wat een uitvinding. Dit zijn ontwikkelingen die van mij snel op de markt mogen komen.

Met alle huidige doorlopende ontwikkelingen qua techniek had ik heel lang het idee dat de anti-virus een beetje stil stond qua innovatie.

Los van het feit dat zo'n anti-virus module wel wat zwaarder zal draaien dan de gemiddelde AV denk ik dat hier de multicores eindelijk eens goed benut kunnen worden.

Dikke +1 voor deze ontwikkelaars

[Reactie gewijzigd door Dograver op 22 juli 2024 19:03]

Anoniem: 524877 @Dograver • 14 november 2014 22:31

Inderdaad. Hopelijk werkt dit afweersysteem straks nog beter. Als het ook bekende virussen zou kunnen herkennen is het eventueel een mooi pakket. Alleen vraag ik me wel af hoe zwaar het pakket is. Gezien we ook wen virtuele machine bij draait.

sygys @Anoniem: 524877 • 17 november 2014 08:25

Volgensmij heb ik een hele tijd terug al eens iets gelezen van systemen die zelf indringers, virussen en malware en hacks kunnen herkennen, en zelf kunnen ingrijpen. Enige wat volgensmij nieuw is, is dat het systeem zich nu kan herstellen in een zeer korte tijd.

kozue @Dograver • 15 november 2014 10:41

Dit zijn ontwikkelingen die van mij snel op de markt mogen komen.

Het leuke is dat deze software juist niet op de "markt" komt. Het is opensource dus gratis te downloaden. Gelukkig is nog niet alles in deze wereld in handen van commerciele bedrijven

darknessblade @torp • 15 november 2014 13:12

wat nou as het virus een soort van AIDS is maar dan voor de computer. dan vernietigd de software zichzelf en het systeem

DCG909 14 november 2014 21:36

Ik vraag mij af hoe dit programma dan reageert op tools en software die bedoeld zijn om wijzigingen in andere programma's aan te brengen.
Je kunt bijvoorbeeld Solidworks aanpassen met een tooltje om "realview" werkend te krijgen op consumenten GPU's (ipv alleen professionele kaarten). Ik vermoed dat A3 dit als virus kan identificeren, omdat het een wijziging in de software aanbrengt die niet helemaal koosjer is.

robvanwijk

Wetenschap
Netwerk en systeembeheer

@DCG909 • 14 november 2014 23:03

Je kunt bijvoorbeeld Solidworks aanpassen met een tooltje om "realview" werkend te krijgen op consumenten GPU's (ipv alleen professionele kaarten).

Nou ja, van de technische kant gezien is er geen verschil zichtbaar tussen een "handig (maar niet helemaal koosjer) tooltje" dat extra GPU modellen unlockt, of een officiële update van Solidworks die hetzelfde doet ("we gaan ons business-model aanpassen en verwijderen deze restrictie"), dus dat kan nog knap lastig worden. In het algemeen zou het wel fijn zijn als je virusscanner de auto-update functie (die steeds meer programma's tegenwoordig hebben) niet als infectie beschouwt en "repareert" (ongedaan maakt)...

Ik vraag mij af hoe dit programma dan reageert op tools en software die bedoeld zijn om wijzigingen in andere programma's aan te brengen.

Zoals debuggers? Ik kan me niet voorstellen dat ze dat over het hoofd gezien hebben, maar kan niet vinden hoe ze ermee omgaan. Ook het originele artikel gaat niet in op details:

quote: http://phys.org/news/2014...ware-tackles-malware.html
A3 can detect new, unknown viruses or malware automatically by sensing that something is occurring in the computer's operation that is not correct. It then can stop the virus, approximate a repair for the damaged software code, and then learn to never let that bug enter the machine again.

Verder maak ik me nogal zorgen om die "approximate a repair"; in hoeverre wil je erop vertrouwen dat er niet toch nog ergens iets stuk is? Een klein foutje kan best wel eens lange tijd onopgemerkt blijven en ondertussen gigantische schade aanrichten.

Dus ja, indrukwekkend dat ze dit voor elkaar hebben gekregen, maar ik vrees dat het te vroeg is om vandaag in de boeken te schrijven als de dag waarop computervirussen werden uitgebannen.

[Reactie gewijzigd door robvanwijk op 22 juli 2024 19:03]

cyberstalker @robvanwijk • 15 november 2014 07:31

Ik denk dat dat eigenlijk niet eens zo'n probleem zal zijn, gezien het feit dat deze software op linux wordt gericht. Daar is het de regel dat alle software vanuit een repository komt en dat alle installaties en updates vanuit een centraal pakkettenbeheersysteem (aptitude, emerge, yast, etc...) worden gedaan.

Zolang je ziet dat een update door het op dat systeem gebruikelijke pakkettenbeheersysteem wordt aangepast zou je mogen verwachten dat de update legitiem is.

robvanwijk

Wetenschap
Netwerk en systeembeheer

@cyberstalker • 15 november 2014 14:26

Zolang je ziet dat een update door het op dat systeem gebruikelijke pakkettenbeheersysteem wordt aangepast zou je mogen verwachten dat de update legitiem is.

Totdat iemand een bug in apt vindt... Als je hem zo gek kunt krijgen om een geïnstalleerd pakket vanuit de verkeerde (lees: een gemanipuleerde) repo bij te werken (bijvoorbeeld met een MitM die ie niet detecteert) dan leunt je virusscanner lui achterover en laat apt rustig backdoors aanbrengen.

Ik wil eigenlijk vooral graag hun definitie van "verdacht gedrag" weten, dan is het een stuk makkelijker om te kijken hoe goed dit systeem echt is (en waar zwakheden overblijven).

David Mulder @robvanwijk • 15 november 2014 00:05

Naja, hoe ik het me eerder voorstel is dat je deze tool hebt draaien als er geen updates worden verwacht of wat dan ook. Daarnaast zou je nog steeds een algemene anti virus draaien en indien deze tool gedrag meld dat gevaarlijk lijkt ga je er met de hand nog steeds naar kijken. Wat je wel alleen oplost is dat als er een totaal nieuw virus of lek naar buiten komt, dat de kans relatief groot is dat je net die dag langer de tijd hebt om het te fixen terwijl ze in een ouderwets netwerk al binnen zouden zijn.

DCG909 @robvanwijk • 15 november 2014 07:28

Ik mag denk ik wel aannemen dat updates van CAD software als Solidworks gebruik maken van signed code

bluegoaindian @robvanwijk • 15 november 2014 01:39

auto fuzzing , met correctie t checkt de error bijvoorbeeld buffer overflow , of stack overflow en fixed die bug....

sHELL @DCG909 • 14 november 2014 21:44

Het zou me niet verbazen dat A3 een whitelist heeft waarmee acties van bepaalde programma's genegeerd kunnen worden.

majic @sHELL • 14 november 2014 22:16

Lijkt me ook een optie inderdaad, alleen leg je dan meteen z'n achilleshiel bloot ; kwestie dus van een gewhitelist programma zoeken die toegang heeft tot bestanden, die emuleren aan de oppervlakte enz..

Dograver @majic • 14 november 2014 22:46

Ik ben het helemaal met je eens met een kleine aanvulling.
Dit probleem bestaat met de hedendaagse AV namelijk ook al.

Elke individuele gebruiker kan een eigen whitelist opzetten.
Ik heb zelf ook een aantal bestanden waarvan ik weet dat ze een "emulerende" werking hebben. Preview download soms wel eens een game om te kijken of het wat is. Crackje of iets dergelijks, flipt bijna elke AV op. Deze gooi ik daarom altijd even in de ignore.

Vraag je de gemiddelde 40+er maar eens om een bestand te whitelisten in de antivirus

Ik denk daarom ook dat de gemiddelde gebruiker met deze mogelijke innovatie weer stukken beter beschermd is. De gevorderde gebruiker weet vaak waar hij mee bezig is.

roches @Dograver • 15 november 2014 23:46

Nu generaliseer je een beetje, ik ben 40+ en bij mij in de AV staan zeker wel programma's op de whitelist...

Als je nou 65+ had gezegd...

kozue @DCG909 • 15 november 2014 10:49

Onder linux zijn er geen tools die dat soort wijzigingen aan hoeven te brengen want zowat alles in het basis OS is open source. Oftewel zulk soort fixes maak je door gewoon een nieuwe binary te compileren.
Het enige wat ik me voor kan stellen zijn game cracks, maar dat is dan ook precies het gedrag van virussen en ik mag hopen dat deze software game cracks inderdaad afvangt. Als je dat soort dingen, die toch al niet helemaal veilig zijn, wilt doen, kun je ook wel even de scanner uit zetten.

Anonymoussaurus 14 november 2014 21:42

Zou het ook werken met virussen die Anti-virussen blokkeren?

Overigens wel erg handig

robvanwijk

Wetenschap
Netwerk en systeembeheer

@Anonymoussaurus • 14 november 2014 23:12

Vermoedelijk wel:

A3, een afkorting van Advanced Adaptive Applications, bestaat uit verschillende debuggers die gelijktijdig bovenop elkaar draaien. De programma's monitoren elkaar en de virtuele machine, op zoek naar abnormale activiteiten op de machine.

Als ze elkaar ook in de gaten houden, dan zou een aanval op A3 zelf ook gedetecteerd en geblokkeerd moeten worden.

Van de andere kant... hoeveel verschillende debuggers zijn er actief? Als ie vier minuten nodig heeft om ShellShock te detecteren (en repareren, dus minder tijd voor alleen detectie), betekent dat dan dat een aanvaller een paar minuten de tijd heeft om alle debuggers tegelijk (of vlak na elkaar) aan te vallen?
Het zou een enorme prestatie zijn (effectief komt het erop neer dat je een 0-day nodig hebt voor elke afzonderlijk component), maar van de andere kant, hoeveel defence-in-depth zal de gemiddelde admin gebruiken op een systeem met een magische virusscanner...?

Anonymoussaurus @robvanwijk • 14 november 2014 23:17

Tenzij dat virus zo sterk is dat hij alle debuggers tegelijk blokkeert.

rob12424 @robvanwijk • 15 november 2014 16:51

Het werkt vanuit een VM waarschijnlijk een aangepaste beveiligde Linux container(s)

martijnvanegdom 14 november 2014 21:53

Veel virussen tegenwoordig detecteren of ze in een virtual machine draaien.. en zodra een vm word gedetecteerd houden ze zich koest.. vraag me af hoe ze die proberen te herkennen

roy-t @martijnvanegdom • 14 november 2014 23:06

Van de VMWare site

Click Start > Run.
Type msinfo32 and press Enter.
In the right pane, look for System Manufacturer for 'VMware, Inc.'

Dat kan ook via code, en voor andere VMs geld vast ook zo'n truuk. Simpel dus

Stoney3K

Wetenschap

@roy-t • 14 november 2014 23:15

Van de VMWare site

[...]

Dat kan ook via code, en voor andere VMs geld vast ook zo'n truuk. Simpel dus .

Dat werkt natuurlijk alleen als een VM zich als VM adverteert.

Die System Manufacturer kun je net zo makkelijk spoofen naar iets als "ASUSTeK Inc.", en dan heeft een OS of programma niks in de gaten.

Het is zelfs een eigenschap van een goed virtualisatie-pakket dat het gevirtualiseerde systeem niks in de gaten moet hebben.

roy-t @Stoney3K • 15 november 2014 09:43

Het is slechts een klein voorbeeld, maar er zijn ook geavanceerdere technieken. Zoals het checken van timings van bepaalde operaties. Helemaal transparant maken van een VM is erg moeilijk.

Tiniduske @martijnvanegdom • 14 november 2014 23:20

En er kan ook bv naar het mac adres worden gekeken van de netwerkkaart. Standaard ook herkenbaar maar wel gemakkelijk aan te passen natuurlijk

goarilla @martijnvanegdom • 15 november 2014 11:15

Puur uit nieuwsgierigheid: heb je hier concrete bronnen voor. Ik heb een paar dingen gelezen van AVG-vendors maar die zijn allesbehalve objectief. Ik denk ook dat deze "stealth" methode tijdelijk is omdat VM's dominant gaan worden als server en misschien zelfs als desktop platform. En malware met een VM ook genoeg kan aanvangen.

* Je kan een VM detecteren door de hw codes (ven id, dev id) van de geemuleerde hardware te
controleren (lspci -n in Linux). Je kan tevens ook een Linux chroot jail detecteren door het inode nummer van je / filesystem te controleren (dit is bij een jail niet 2).

Silent7 14 november 2014 21:54

oh nice, al is de vraag hoeveel extra cores je nodig hebt om het systeem lekker te laten werken, naast nice was mijn eerste gedachte namelijk Norton antivirus traagheid is coming back.

kozue @Silent7 • 15 november 2014 10:52

Dat was ook mijn eerste gedachte. Debuggers zijn niet zo goed voor de performance van je software. Sommige programma's worden er echt heel traag van. Overal dus zomaar een debugger aan hangen lijkt me dus een performance killer.

Anoniem: 63672 14 november 2014 22:36

Ik ben heel benieuwd hoe het om zou kunnen gaan met RandsomWare.
Is A3 ook in staat dat te herkennen voordat het virus zich uitvoert, en of het ook bestaande infecties kan herstellen.
Dat zou een leuke deuk betekeken in de inkomsten van dat soort "schorem"

RGAT @Anoniem: 63672 • 15 november 2014 00:42

Ransomware is *nogal* lomp, alles moet geencrypt worden voordat er mee gedreigt kan worden.
Verbaasd me eigenlijk dat huidige antiviruspakketten dat niet al oppakken...
Als een nieuw process, waarvan de executable pas korte tijd op het systeem staat (net gedownload) ineens alle bestanden aanspreekt en redelijk wat resources gebruikt, tja...

Legion-Inc. 14 november 2014 21:58

Cool....

Maar het eerste wat bij mij opkwam...

Als deze software zich verder ontwikkeld, wanneer leert het dat de mens het grootste gevaar is voor het systeem en het verklooien van zijn processen.

Silent7 @Legion-Inc. • 14 november 2014 21:59

hahahahaha
je hebt wel een punt,

90710 @Legion-Inc. • 14 november 2014 22:03

Vijandige computersystemen

Bv GLaDOS.

Damic @90710 • 14 november 2014 22:12

GLaDOS was gewoon aan het testen

iets met gas en een kat en een doos.

WhiteDog @Damic • 15 november 2014 00:25

Stukje taart?

Damic @WhiteDog • 15 november 2014 02:06

It's a lie, liever die robotten

kozue @Legion-Inc. • 15 november 2014 10:56

Zal wel meevallen met deze software. Dan moet zo'n systeem eerst uberhaupt weten wat een mens is, en zolang het een automatische debugger blijft weet het sowieso niets over de bron van input.

Obelink 14 november 2014 22:49

Hoe het bovenstaande werkt word mij niet duidelijk maar ik zit mij af te vragen of ze niet met de methode welke Quickpar gebruikt besmette bestanden zouden kunnen herstellen?

[Remmes] 14 november 2014 22:52

Ik ben beniuwd hoe de software omgaat met bijv encryptie (vaak ransomware die dus je bestanden insluit)

Ook ben ik benieuwd of er virusmakers dan weer iets kunnen maken tegen de software ala man in the middle.

Op dit item kan niet meer gereageerd worden.

Software herstelt zichzelf na besmetting door computervirus

Lees meer

Reacties (64)

Sorteer op:

Weergave: