Kötü amaçlı yazılım dağıtma kusurlu belgelerin eklenmesi e-postalara göndermek kitaptaki en eski numaralardan biridir. Bu sadece teorik bir risk değil, gerçek saldırganlar kötü niyetli belgeler kullan her zaman hedeflere bulaşmak için. Bu nedenle, istenmeyen e-posta ve kimlik avı önleme çabalarının yanı sıra Gmail, geçen yılın sonunda kötü amaçlı yazılım algılama yeteneklerini daha özel belge izlemeyi içerecek şekilde genişletti. İyi haber, çalışıyor.

Salı günü San Francisco'daki RSA güvenlik konferansında, Google'ın güvenlik ve kötüye kullanımla mücadele araştırma lideri Elie Bursztein, belgeler için yeni derin öğrenme tarayıcısının her hafta işlemesi gereken 300 milyar eke karşı ne kadar başarılı olduğuna dair bulgular sunacak. Sınırsız çeşitlemeleriyle meşru belgeler ile tehlikeli bir şeyi gizlemek için özel olarak manipüle edilmiş belgeler arasındaki farkı söylemek zor. Google, her gün engellediği kötü amaçlı belgelerin yüzde 63'ünün sistemlerinin önceki gün işaretlediklerinden farklı olduğunu söylüyor. Ancak bu, tam olarak derin öğrenmenin yardımcı olabileceği örüntü tanıma problemi türüdür.

Şu anda Gmail kullanıcılarına yönelik kötü amaçlı yazılım tehditlerinin yüzde 56'sı Microsoft Office belgelerinden ve yüzde 2'si PDF'lerden geliyor. Yeni tarayıcı, etkin olduğu aylarda günlük kötü amaçlı Office belgesi algılamasını yüzde 10 artırdı.

Bursztein, WIRED'e "Yüzde on önemlidir" dedi. "Boşluğu mümkün olduğunca kapatmaya çalışıyoruz. Mümkün olan her yerde, mantıklı olduğu yerde makine öğrenimini eklemeye devam etmek istiyoruz. Makine öğrenimi bazen harika şeyler yapar, ancak bazen aşırı abartılır. Bunu bir ekstra olarak kullanmaya çalışıyoruz." katman yerine katman. Bunun çok daha iyi çalıştığını düşünüyoruz."

Belge çözümleyici yaygın kırmızı bayrakları arar, kasıtlı olarak karıştırılmış bileşenleri varsa dosyaları araştırır ve makroları incelemek gibi diğer kontrolleri yapar (Microsoft Word belgelerinde komutları bir dizi halinde zincirleyen ve genellikle saldırılarda kullanılan araç). Saldırganların gönderdiği kötü amaçlı belgelerin hacmi günden güne büyük farklılıklar gösterir. Bursztein, belge tarayıcının devreye alınmasından bu yana, kötü niyetli botnet'ler veya diğer toplu dağıtım yöntemleri aracılığıyla patlamalar halinde gönderilen şüpheli belgeleri işaretlemede özellikle başarılı olduğunu söylüyor. Ayrıca tarayıcının analiz etmede ne kadar etkili olduğunu keşfetmesine de şaşırdı. Microsoft Excel belgeleri, değerlendirilmesi zor olabilen karmaşık bir dosya biçimi.

Yüzde 10'luk bir algılama artışı çok fazla görünmese de, Google'ın üzerinde çalıştığı ölçekte büyük bir gelişme ve kötü niyetli belge tehdidinin dünya çapında gerçek bir endişe kaynağı olduğu düşünüldüğünde, herhangi bir kazanım verimli. Bursztein, şirketlerin ve kâr amacı gütmeyen kuruluşların diğer kuruluşlara göre kötü amaçlı belgeler tarafından üç kat daha fazla hedef alındığını ve devlet kurumlarının beş kat daha olası olduğunu söylüyor. Bazı sektörlerin de hedef alınması diğerlerinden daha olasıdır. Örneğin ulaşım ve kritik altyapı hizmetleri, eğitim sektöründen çok daha yüksek bir riske sahiptir.

Kötü niyetli belge saldırılarının yaygınlığı dünyanın her yerinde değişiklik gösterir, ancak saldırganlar için bu yaklaşım her zaman bir seçenektir. Bursztein, kötü amaçlı belgeler oluşturmaya ve bunları antivirüs tarayıcılarından kaçmak için uyarlamaya yönelik kitlerin çevrimiçi suç forumlarında kolayca bulunabildiğine ve fiyatlarının yaklaşık 400 ila 5,000 ABD Doları arasında olduğuna dikkat çekiyor.

Tarayıcı her zamankinden daha fazla kötü amaçlı belge yakalarken, Bursztein ve meslektaşları, dünya çapında Gmail hesaplarına gönderilen kötü amaçlı yazılımın daha da büyük bir bölümünü engelleme umuduyla onu iyileştirmeye devam edecek.

"Kötü amaçlı yazılım, spam ve kimlik avından sonra yaptığımız bir şey çünkü kötü amaçlı yazılım biraz daha zor" diyor. "Bir e-postada kötü amaçlı yazılımın kendisine sahip değiliz; bu noktada elimizdeki tek şey belgeler. Ancak her zaman algılama yeteneklerimizi geliştirmek istiyoruz ve kötü amaçlı belgelerle kullanıcılarımız için en fazla etkiyi yaratabileceğimizi seçtik. "

Tam gelişmiş bir hack, yalnızca sahte bir Word belgesi indirmesi olduğunda, kullanıcılar alabilecekleri ekstra korumaları alacaklardır.