Исследователь превратил игровой движок в антивирус

[душман]

ИБ-эксперт Патрик Уордл разработал инновационный способ обнаружения и блокировки вредоносного ПО и эксплоитов на Mac. В качестве антивирусного продукта Уордл предложил использовать игровой движок от компании Apple.

На конференции RSA Conference, проходившей на этой неделе в Сан-Франциско, Уордл рассказал, как ему и его коллегам удалось создать ряд инструкций по выявлению вредоносного ПО и несанкционированных попыток проникновения в систему и внедрить их в набор инструментов GameplayKit для разработки macOS-игр.

Сначала исследователи разработали ПО с открытым исходным кодом MonitorKit, которое связывается с несколькими компонентами macOS и запускает оповещения в случае обнаружения подозрительной активности (например, кейлоггинга, загрузки файлов, симуляции кликов или шифрования файлов).

Целью исследователей было создание системы для сбора индикаторов потенциальных угроз (заражения системы вредоносным ПО, атак троянов-вымогателей и даже попыток эксплуатации уязвимостей нулевого дня).

Вторым этапом было создание движка, способного сортировать события и с помощью разработанных исследователями инструкций отличать вредоносную активность от легитимной. В конечном результате должна была получиться система для обнаружения и блокировки/предупреждения пользователей о потенциальных угрозах. На этом этапе Уордл обратил свое внимание на компьютерные игры.

Исследователь понял, что базовый функционал игровых движков (получение событий, применение по отношению к ним инструкций и генерирование соответствующих результатов) – это именно то, что ему нужно, а с фреймворком GameplayKit от Apple оказалось очень легко работать.

По мнению Уордла, любой игровой движок с качественным API (не обязательно от Apple) в теории может быть связан с набором системных вызовов и оповещений и играть роль решения безопасности.