Open-Source-verktøy kan automatisk deaktivere de fleste fjernstyrte skadelige programmer

Cybersikkerhetsforskere ved Georgia Tech har skapt et nytt verktøy som fjerner skadevare fra infiserte enheter, ved å vende skadevarens egne systemer mot seg selv.

Verktøyet, kalt ECHO, bruker skadevarens innebygde oppdateringsfunksjoner til å stenge den ned, og stopper fjernstyrte nettverk av infiserte maskiner, kjent som botnet, som først ble rapportert av Tech Xplore (TX).

ECHO’s åpen-kildekode er nå tilgjengelig på GitHub og har vist suksess i 75% av testede tilfeller. Forskerne anvendte deres verktøy på 702 Android malware-prøver og oppnådde vellykket fjerning av infeksjoner i 523 tilfeller, som forklart i deres artikkel.

“Å forstå oppførselen til skadevaren er vanligvis veldig vanskelig med liten belønning for ingeniøren, så vi har laget en automatisk løsning,” sa Runze Zhang, en doktorgradsstudent ved Georgia Tech, som rapportert av TX.

Botnet har skapt problemer siden 1980-tallet og har blitt mer farlige i de senere årene. Skadevaren Retadup spredte seg over Latin-Amerika i 2019, ifølge TX. Trusselen ble til slutt nøytralisert, men det krevde betydelig tid og innsats for å gjøre det.

«Dette er en veldig god tilnærming, men det var ekstremt arbeidskrevende,» sa Brendan Saltaformaggio, førsteamanuensis ved Georgia Tech, rapportert av TX. «Så, gruppen min samlet seg og innså at vi har forskningen for å gjøre dette til en vitenskapelig, systematisk, reproduserbar teknikk, i stedet for en engangs, menneskedrevet, elendig innsats.»

TX rapporterer at ECHO fungerer i tre trinn: den analyserer hvordan skadevaren sprer seg, tilpasser denne metoden for å sende inn en løsning, og deretter skyver ut koden for å rense de infiserte systemene. Den er rask nok til å stoppe en botnet før den forårsaker store skader.

“Vi kan aldri oppnå en perfekt løsning,” sa Saltaformaggio, som rapportert av TX. “Men vi kan heve listen høyt nok for en angriper at det ikke ville være verdt det for dem å bruke skadevare på denne måten.”