حصلت كاسبرسكي على براءة اختراع (تحمل الرقم US10339301) من المكتب الأمريكي لبراءات الاختراع والعلامات التجارية، لقاء تقنية مصمّمة لتيسير اكتشاف الوظائف التخريبية للبرمجيات الخبيثة في الجهاز الافتراضي. وتتيح هذه التقنية للباحثين تحليل ملف مشبوه في محاولة واحدة بدلاً من عدة محاولات، وذلك عبر إنشاء الظروف الدقيقة التي تؤدي إلى تشغيل برمجية خبيثة ما. ويُتوقع عند تنفيذ هذه التقنية أن تزيد من معدل اكتشاف البرمجيات الخبيثة في "صندوق الرمل"، وأتمتة عمل المحللين الذين كانوا لولاها لِينفذوه يدوياً.
وتكمن إحدى طرق الكشف عن السلوك الخبيث لملف في تشغيله ضمن جهاز افتراضي معزول، يُعرف باسم "صندوق الرمل". ويُعتبر صندوق الرمل بيئة اختبارية معزولة ضمن نظام التشغيل هدفها اختبار التغيّرات الحاصلة في الشيفرات المصدرية أو تجربة تطبيق أو ملف يُشتبه في كونه برمجية خبيثة أو اشتماله على برمجية خبيثة. وتعمل هذه الطريقة على أتمتة تحليل البرمجيات الخبيثة، مع بعض العمل اليدوي، لإنشاء بيئة مناسبة تسمح بالكشف عن حقيقة البرمجية الخبيثة وإظهارها على طبيعتها. وعلاوة على ذلك، غالباً ما ينفّذ مجرمو الإنترنت تقنيات خاصة بالتهرّب من صندوق الرمل؛ فيجعلون الملف الخبيث يُجري فحصاً قبل تشغيل نفسه ليرى ما إذا كان موجوداً في جهاز افتراضي، وإلاّ فإنه يظل خاملاً حتى يتأكد من أن الجهاز الافتراضي، أو صندوق الرمل، لا يعمل.
ووصفت براءة الاختراع المعنونة "نظام وطريقة لتحليل الملفات في جهاز افتراضي وتمييز ضررها من عدمه" تقنية تؤدي تلقائياً إلى تنفيذ ملف ما، وخلق الظروف المناسبة لتشغيل كل ملف.
وقد تختلف هذه الظروف، إذ ربما لا تُظهر البرمجية الخبيثة سلوكها التخريبي إذا كانت تستهدف تطبيقاً معيناً، مثل عميل بريد إلكتروني مفقود في صندوق الرمل. ويكون على الباحث، في سبيل التعامل مع هذا التحدي، البحث في السجلات وفهم ما هو مفقود منها وإضافته إلى بيئة الجهاز الافتراضي وتشغيل العملية مرة أخرى.
عندئذ، وبمجرد أن تحاول البرمجية الخبيثة الوصول إلى هدفها، سواء كان تطبيقاً أو مجلداً أو ملفاً، فإن النظام المبتكر والحاصل على براءة اختراع يعترض هذه المحاولة، ولكنه لا ينتظر حتى يتمّ الانتهاء من تنفيذ الملف الخبيث، وإنما يوقف العملية مؤقتاً ويُنشئ التطبيق المطلوب والمحتوى (مثل كلمات المرور الخاصة بالمتصفح)، لتتواصل العملية بعدها.
ويمكن للتقنية الجديدة أن تساعد أيضاً في التغلب على تقنية التهرب عندما تجعل البرمجي الخبيثة نفسها "خاملة" لفترة معينة قبل تنفيذ نفسها من أجل أن تتجنب الكشف عنها، نظراً لاستمرار خمولها لفترة أطول من فترة عمل صندوق الرمل. في مثل هذه الحالات، تسرّع التقنية الحاصلة على براءة اختراع سير الوقت في الجهاز الافتراضي، فارضةً على البرمجية الخبيثة تنفيذ شيفرتها في وقت أبكر، لعجزها عن إدراك هذه الخدعة، نظراً لوجود جميع أجهزة ضبط الوقت والساعات داخل منظومة صندوق الرمل.
وليست قواعد الكشف عن التهديدات، التي تصف كيفية الردّ على حادث معين، مسبقة التثبيت أو التنفيذ داخل المحرك، ولكن يمكن تحديثها وإضافتها بسهولة، وبالتالي، فإن أيّ منطق جديد لا ينطوي على تغيير المحرك بالكامل، ولكنه يُثري سيناريوهات السلوك الخبيث المتاحة فقط.
وأكّد فلاديسلاف بينتييسكي، مدير مجموعة تقنيات المحاكاة لدى كاسبرسكي، وأحد مخترعي التقنية الجديدة، أهمية جعل تقنيات التصدي للتهديدات الإلكترونية أكثر تطوراً، وتمكينها من اكتشاف السلوك الخبيث في وقت مبكر، مشيراً إلى استمرار مجرمي الإنترنت في تطوير تقنيات جديدة للتهرّب، وأضاف: "أصبحت أدوات ضبط وقت الخمول أكثر انتشاراً الآن في مشهد التهديدات الإلكترونية، فما يقرب من نصف العينات التي لا تكتشفها أدوات الحماية التلقائية تستخدم أسلوب "التأخير في التنفيذ"، وفقاً لمحللي البرمجيات الخبيثة لدى كاسبرسكي. لذلك تقوم هذه التقنية الحاصلة على براءة اختراع بإدارة تدفق الملفات بذكاء في صندوق الرمل، سامحة له بتلقي كل ما يحتاج إليه".
وأضاف دنيس كوبيتشيف مدير مجموعة الاختبارات التجريبية لدى كاسبرسكي والمشارك في اختراع التقنية، من جانبه، أن الحكم على الملف، نتيجة لذلك، يمكن أن يتمّ بعد أول محاولة للتحقق منه، مؤكداً أن هذه التقنية "ستوفّر موارد الشركة وتزيد دقة اكتشاف البرمجيات الخبيثة، نظراً للمتطلبات عالية الأداء لصناديق الرمل".
وتعتزم كاسبرسكي استخدام هذه التقنية داخلياً لتحليل البرمجيات الخبيثة وتوظيفها في حلول تستخدم صناديق الرمل. وتواصل الشركة تطوير تقنيات الحماية الجديدة والحصول على مزيد من براءات الاختراع. وأصبح لدى كاسبرسكي بحلول بداية أغسطس الجاري، 814 براءة اختراع في روسيا والولايات المتحدة والصين وأوروبا، فضلاً عن 407 طلبات أخرى لنيل براءات اختراع.
