Tecnologie di protezione antimalware STAR

Panoramica

Security Technology and Response (STAR) è la divisione di Symantec responsabile dell'innovazione e sviluppo delle nostre tecnologie di sicurezza, che affronta la protezione in cinque aree: file, rete, comportamento, reputazione e rimedio.

In Symantec, Security Technology and Response (STAR) sovrintende alle attività di ricerca e sviluppo di tutte le nostre tecnologie di sicurezza antimalware. Queste costituiscono le funzionalità di protezione di base dei prodotti per la sicurezza aziendali e consumer di Symantec.

L'organizzazione Security Technology and Response (STAR), che comprende Security Response, è un team mondiale di tecnici della sicurezza, analisti e ricercatori sulle minacce che fornisce i contenuti e il supporto delle funzionalità per tutti i prodotti per la sicurezza aziendali e consumer di Symantec. Grazie a centri Security Response dislocati in tutto il mondo, STAR monitora i report sul codice nocivo prodotti da più di 130 milioni di sistemi in Internet, riceve dati da 240.000 sensori di rete in più di 200 paesi e traccia più di 25.000 vulnerabilità che interessano più di 55.000 tecnologie di più di 8.000 vendor. Il team si avvale di questa enorme intelligence per sviluppare e distribuire la protezione della sicurezza più completa del mondo. In STAR lavorano circa 550 dipendenti.

Alcuni anni fa, le tradizionali tecnologie antivirus erano tutto ciò che serviva per proteggere un endpoint dagli attacchi. Tuttavia, di fronte al radicale cambiamento che ha coinvolto il panorama delle minacce negli ultimi anni, non è più ragionevole pensare che le sole tecnologie antivirus siano sufficienti. Per affrontare questa situazione, STAR ha sviluppato un ecosistema collaborativo di tecnologie di sicurezza per proteggere gli utenti Symantec dagli attacchi nocivi.

Principali vettori delle minacce da cui proteggono queste tecnologie:

  • Download drive-by e attacchi Web
  • Attacchi di ingegneria sociale – FakeAV e codec fasulli
  • Bot e botnet
  • Non-Process and Injected Threats (NPT)
  • Attacchi mirati tra cui minacce avanzate persistenti (APT, Advanced Persistent Threat), Trojan e minacce malware zero-day generiche
  • Malware come risultato di download drive-by che hanno aggirato altri livelli di protezione
  • Malware che utilizza tecniche rootkit per nascondersi

Questo ecosistema è composto dalle seguenti cinque aree che lavorano in collaborazione:

  • Protezione basata su file: continua a svolgere un ruolo di rilievo nella protezione per effetto delle nuove innovazioni nell'euristica dei file statici.
  • Protezione basata su rete: è in grado di rilevare vulnerabilità conosciute e sconosciute che vengono utilizzate per introdursi nel sistema di un utente.
  • Protezione basata sul comportamento: esamina il comportamento dinamico delle attività nocive invece delle caratteristiche statiche.
  • Protezione basata sulla reputazione: esamina le metainformazioni di un file – età, origine, modalità di spostamento, presenza geografica, ecc.
  • Rimedio: è un set di tecnologie che può aiutare a ripulire un sistema infetto.

La collaborazione consente a ciascuna tecnologia di operare con maggiore efficienza per stabilire se una determinata situazione è più o meno nociva. Poiché ciascuna tecnologia studia differenti attributi relativi a un processo o a un file, ciò che apprende verrà condiviso con le altre tecnologie. Ad esempio, le tecnologie di protezione basata su rete sono in grado di rintracciare l'origine dei file scaricati dal Web e pertanto condividono questa informazione con le altre tecnologie.

Maggiori dettagli su ciascun tipo di tecnologia sono disponibili nelle seguenti schede.

Protezione basata su file

Una diffusa concezione erronea fa ritenere che i programmi di scansione antivirus vadano semplicemente alla ricerca di schemi noti nei file per determinare se sono validi o nocivi. In realtà, le moderne soluzioni antivirus vanno oltre il semplice confronto degli schemi e applicano tecniche generiche ed euristiche nella ricerca delle minacce. Infatti, i migliori motori antivirus prevedono più metodi per l'identificazione delle minacce conosciute e sconosciute. La protezione basata su file di Symantec è una di queste tecnologie.

La sicurezza basata su file vanta una lunga storia come uno dei componenti fondamentali delle nostre tecnologie di protezione. STAR continua a investire nella sicurezza basata su file promuovendo l'innovazione per stare al passo con gli sviluppi più recenti nel panorama delle minacce. Tenere file infetti in un sistema colpito è uno dei metodi principali utilizzati dalle minacce per mantenere una presenza nel sistema dopo l'attacco iniziale. Per questo motivo la protezione basata su file sarà sempre importante nella rilevazione, neutralizzazione e rimozione delle minacce sui sistemi dei nostri clienti. I vettori di minacce comuni da cui protegge questa tecnologia includono:

  • Malware e virus
  • Attacchi mirati tra cui minacce avanzate persistenti (APT, Advanced Persistent Threat), Trojan e minacce malware generiche
  • Attacchi di ingegneria sociale – FakeAV e codec fasulli
  • Bot e botnet
  • Rootkit
  • PDF nocivi e documenti di Microsoft Office (PowerPoint, Excel e Word)
  • File compressi nocivi
  • Spyware e adware
  • Keylogger

Per affrontare queste minacce, quattro componenti costituiscono la base della nostra tecnologia di protezione basata su file: il motore antivirus, Auto-Protect, il motore ERASER e le nostre tecnologie euristiche Malheur e Bloodhound.

Motore antivirus

L'esclusivo motore di scansione di Symantec è distribuito su oltre 350 milioni di sistemi. È una tecnologi di sicurezza stabile e ad alte prestazioni che fornisce rilevazione avanzata contro queste minacce più recenti. Il motore viene aggiornato spesso sul campo tramite LiveUpdate per rispondere in modo trasparente alle nuove minacce. Questo ci consente di aggiornare la capacità di rilevazione del nostro prodotto senza richiedere un aggiornamento completo del prodotto stesso.

Auto-Protect

Il modulo di scansione dei file in tempo reale di Symantec rileva le minacce che vengono scambiate a livello di scrittura con un file system. Auto-Protect è un motore di scansione scritto a livello di kernel caratterizzato da alte prestazioni e bassi requisiti di memoria per proteggere contro le minacce più recenti senza interferire con le attività dell'utente. Quando vengono scritti file sul disco di un sistema, Auto-Protect si attiva e utilizza i motori antivirus, Malheur e Bloodhound per sottoporli a scansione. Grazie a questo funzionamento a basso livello, Auto-Protect è in grado di bloccare un file infetto prima che abbia la possibilità di essere eseguito e infettare il sistema. Oltre alla protezione dei file, Auto-Protect fornisce funzionalità essenziali per Analisi Download, parte delle nostre tecnologie avanzate di analisi della reputazione.

Motore ERASER

Il motore ERASER di Symantec fornisce funzionalità di riparazione e rimozione delle minacce trovate nel sistema di un utente dalle nostre tecnologie di rilevazione. ERASER è anche responsabile di controllare che driver e applicazioni eseguiti all'avvio non siano nocivi. Per garantire che il nostro prodotto non venga ingannato da rootkit o altro malware, ERASER si avvale di varie tecniche che aggirano le normali ricerche nel registro di sistema e su disco. Queste tecnologie consentono a ERASER di eseguire l'accesso diretto al registro di sistema e al disco.

Malheur e Bloodhound

Oltre alle tecniche di rilevazione basate sulle firme, forniamo tecnologie che sono in grado di valutare un file che non è mai stato osservato in precedenza, ma che ha caratteristiche comuni ai file nocivi. Questa protezione basata sull'euristica è presente nelle nostre tecnologie Malheur e Bloodhound. Le firme euristiche possono rilevare il malware sconosciuto in base agli attributi del file, ai tentativi di sfruttare vulnerabilità e ad altre attività comunemente reperibili nel malware conosciuto.

Uno sguardo in dettaglio alle funzionalità

Ciascuna delle seguenti sezioni descrive la tecnologia basata su file presente nei componenti di base descritti sopra.

Ampio supporto di file

I file compressi e i file incorporati in altri file fanno parte dell'ampio set di tipi di file che possono essere esaminati alla ricerca di malware nascosto. Un elenco parziale dei tipi di file analizzati include:

DOC, .DOT, .PPT, .PPS, .XLA, .XLS, .XLT, .WIZ, .SDW, .VOR, .VSS, .VST, .AC_, .ADP, .APR, .DB, .MSC, .MSI, .MTW, .OPT, .PUB, .SOU, .SPO, .VSD, .WPS, .MSG ZIP, .DOCX, .DOCM, .DOTX, .DOTM, .PPTX, .PPTM, .PPSX, .PPSM, .XLSX, .XLSB, .XLSM, .XLTX, .XLTM, .XLAM, .XPS, .POTX, .POTM, .ODT, .OTT, .STW, .SXW, .eml, .MME, .B64, .MPA, ,AMG, .ARJ, .CAB, .XSN, .GZ, .LHA, .SHS, .RAR, .RFT, .TAR, .DAT, .ACE, .PDF, .TXT, .HQX. .MBOZ, .UUE, .MB3, .AS, .BZ2, .ZIP, .ZIPX

Motore unpacker

In alcuni casi, il malware utilizzerà la tecnologia “packer” per offuscare i propri file nel tentativo di evitare la rilevazione da parte dei semplici algoritmi di confronto degli schemi. Il nostro motore di decompressione è in grado di:

  • Decomprimere i file eseguibili interessati.
  • Riconoscere centinaia di famiglie distinte di packer.
  • Disassemblare ricorsivamente i file composti da più pacchetti fino a raggiungere il malware di base.

Macchina virtuale generica

La macchina virtuale generica consente l'esecuzione del codice in un ambiente sicuro di tipo sandboxing.

  • Sistema basato su codice a byte come Java o C#, che rende estremamente sicura la produzione di nuove tecnologie di protezione senza arresti anomali o blocchi.
  • Applica euristica estremamente complessa e firme di famiglia a minacce come Trojan.Vundo.
  • Esegue tutta la scansione dei formati di file non tradizionali, ad esempio, PDF, DOC, XLS, WMA, JPG, ecc.

Motore antipolimorfico

Include tecnologia avanzata di emulazione della CPU per indurre il malware polimorfico a rivelarsi.

Tecnologia antirootkit

Symantec ha 3 diverse tecnologie antirootkit progettate per trovare e rimuovere i rootkit più difficili come Tidserv e ZeroAccess, aggirando le tecniche stealth comunemente utilizzate dai rootkit. Le tecniche comprendono:

  • Accesso diretto ai volumi del disco rigido.
  • Scansione diretta degli hive del registro di sistema.
  • Scansione della memoria del kernel.

Motore antitrojan

Include tecniche di hashing avanzate per la scansione contemporanea di milioni di minacce di Trojan e spyware nel giro di microsecondi.

  • Individua ed estrae aree chiave dei file note per contenere la logica del malware.
  • Prende gli hash crittografici di ciascuna sezione e li cerca nel database delle impronte digitali.
  • Algoritmi avanzati consentono al motore antitrojan di eseguire la scansione simultanea di decine di milioni di forme di malware nel giro di microsecondi.

Motore Photon

Utilizza firme 'fuzzy' per identificare varianti di malware conosciute, nuove e sconosciute.

  • Esamina i file utilizzando simultaneamente centinaia di migliaia di firme fuzzy, migliorando drasticamente le prestazioni di scansione.
  • Le firme fuzzy possono rilevare forme di malware completamente nuove nel momento stesso in cui vengono rilasciate.

Motori euristici avanzati

Rilevazione mirata delle forme polimorfiche sul lato server.

  • Un numero crescente, già oltre la dozzina, di ricerche euristiche di differenti caratteristiche dei file sospetti.
  • Tutti i file sospetti vengono correlati con la reputazione cloud di Symantec e con il nostro elenco affidabile di firme digitali.
  • I motori utilizzano il contesto per adeguare la sensibilità euristica; ad esempio, i maggiori sospetti delle ricerche euristiche si concentrano sui nuovi file scaricati piuttosto che sulle applicazioni installate.

Rete

La protezione basata su rete è un set di tecnologie progettate per bloccare gli attacchi nocivi prima che abbiano la possibilità di introdurre malware in un sistema. Diversamente dalla protezione basata su file che deve attendere la creazione fisica di un file nel computer di un utente, quella basata su rete inizia ad analizzare gli stream di dati in entrata che arrivano in un dispositivo tramite connessioni di rete e blocca le minacce prima che colpiscano il sistema.

Principali vettori di minacce contro cui protegge la tecnologia basata su rete di Symantec:

  • Download drive-by e toolkit di attacco Web
  • Attacchi di ingegneria sociale – FakeAV e codec fasulli
  • Attacchi tramite social media come Facebook
  • Rilevazione di sistemi infettati da malware, rootkit e bot
  • Protezione dalle minacce offuscate
  • Minacce zero-day
  • Protezione dalle vulnerabilità del software prive di patch
  • Protezione da domini e indirizzi IP nocivi

Questa categoria è composta da tre distinte tecnologie di protezione:

Network Intrusion Prevention Solution (Network IPS)

La tecnologia IPS sensibile al protocollo riconosce ed esamina oltre 200 differenti protocolli. Scompone in modo intelligente e accurato i protocolli binari e di rete alla ricerca di segnali di traffico nocivo. Questa intelligence consente una scansione della rete estremamente accurata che assicura una protezione efficace. Alla sua base si trova un motore generico di blocco degli exploit che impedisce gli attacchi alle vulnerabilità che cercano di sfuggire alla rilevazione. Una funzionalità esclusiva di Symantec IPS è che l'attivazione delle funzionalità di protezione standard non richiedono alcuna configurazione. Ogni prodotto consumer Norton e ogni copia di Symantec Endpoint Protection 12.1 e versione successiva attiva questa tecnologia in modo predefinito.

Protezione del browser

Questo motore di protezione si inserisce all'interno del browser ed è in grado di rilevare le minacce più complesse che sfuggono ai tradizionali metodi antivirus e Network IPS. Molti attuali attacchi basati su rete si avvalgono di tecniche di offuscamento per evitare la rilevazione. Operando all'interno del browser, questa protezione è in grado di osservare il codice offuscato che viene rivelato in fase di esecuzione riuscendo in tal modo a rilevare e bloccare gli attacchi che sfuggono ai livelli più bassi dell'ispezione all'interno dello stack di protezione.

Un-Authorized Download Protection (UXP)


All'interno del livello della protezione basata su rete, questa ultima linea di difesa aiuta a mitigare le vulnerabilità sconosciute e prive di patch senza l'ausilio di firme, fornendo un ulteriore livello di sicurezza contro gli attacchi zero-day.

Individuazione dei problemi

Insieme queste tecnologie di protezione basata su rete risolvono i seguenti problemi.

Download drive-by e toolkit di attacco Web

Avvalendosi delle tecnologie Network IPS, protezione del browser e UXP, le tecnologie di protezione dalle minacce di rete di Symantec bloccano i download drive-by e impediscono al malware di raggiungere il sistema di destinazione. Con queste tecnologie utilizziamo vari metodi di prevenzione, tra cui la nostra tecnologia di blocco generico degli exploit, citata in precedenza, e la rilevazione dei toolkit di attacco Web generici. La rilevazione dei toolkit di attacco Web generici analizza le caratteristiche di rete di diffusi toolkit di attacco Web indipendentemente dalle vulnerabilità che vengono attaccate fornendo una protezione zero-day aggiuntiva contro le nuove vulnerabilità e contro i toolkit di attacco Web stessi. La parte migliore di questa protezione contro i toolkit di attacco Web e i download drive-by è che il malware che potrebbe infettare inosservato il dispositivo di un utente viene bloccato proattivamente e tenuto al di fuori del sistema, aspetto che manca nella tradizionali tecnologie di rilevazione. Symantec continua a bloccare decine di milioni di varianti di malware che non vengono generalmente rilevate con altri metodi.

Attacchi di ingegneria sociale   

Poiché le nostre tecnologie di protezione esaminano il traffico della rete e del browser nel momento in cui viene generato, siamo in grado di utilizzare l'intelligence dell'endpoint per determinare se si sta manifestando un attacco di ingegneria sociale, come una soluzione antivirus fasulla o un codec fasullo. Le nostre tecnologie operano per bloccare gli attacchi di ingegneria sociale prima che vengano visualizzati, ostacolando il tentativo di ingannare l'utente finale. La maggior parte delle altre soluzioni concorrenti non include questa potente funzionalità. La nostra soluzione blocca milioni di attacchi che, se vengono eseguiti, non verrebbero rilevati dalle altre tecnologie basate su firme.

Symantec blocca centinaia di milioni di attacchi di ingegneria sociale tramite la tecnologia di protezione dalle minacce di rete.

Attacchi che colpiscono le applicazioni di social media

Le applicazioni di social media sono diventate un metodo per condividere istantaneamente aggiornamenti personali e professionali, nonché video e informazioni interessanti con migliaia di amici. Questa ricerca di aggiornamenti immediati e l'ampiezza di queste reti significano che anche per gli hacker è diventato interessante sfruttarle per infettare gli utenti. Alcune delle comuni tecniche utilizzate dagli hacker comprendono la compromissione degli account e l'invio di spam o collegamenti nocivi, oppure indurre gli utenti a completare sondaggi fasulli, o gli attacchi “likejacking” su Facebook nei quali un utente viene indotto a fare clic su un collegamento per guardare un video mentre un invisibile pulsante ‘Like” (Mi piace) segue il cursore del mouse. L'utente conferma istantaneamente il Mi piace indipendentemente dalle sue intenzioni.

La tecnologia IPS di Symantec può proteggere contro questi tipi di attacchi riuscendo spesso a contrastarli prima ancora che l'utente venga indotto a fare clic su qualcosa. La tecnologia di protezione basata su rete consente a Symantec di bloccare URL ingannevoli e nocivi, applicazioni e truffe.

Rilevazione di sistemi infettati da malware, rootkit e bot


Sapere dove si trovano i computer infetti nella rete è senza dubbio della massima utilità. La nostra soluzione Network IPS offre questa capacità e include la rilevazione e il rimedio delle minacce che potrebbero avere aggirato gli altri livelli di protezione. Rileviamo malware e bot che cercano di comunicare con i server di appartenenza o di ricevere aggiornamenti per diffondere attività più nocive. Questo fornisce ai responsabili IT, che hanno un chiaro elenco di sistemi infetti su cui investigare, la garanzia che la loro azienda è sicura. Grazie a questa tecnica è possibile rilevare e bloccare le minacce polimorfiche e complesse che utilizzano metodi rootkit per nascondersi come Tidserv, ZeroAccess, Koobface e Zbot.

Protezione dalle minacce offuscate


I moderni attacchi basati sul Web si avvalgono di metodi complessi per nascondersi e offuscare le proprie attività. La protezione del browser di Symantec si inserisce all'interno del browser ed è in grado di rilevare minacce estremamente complesse che sfuggono ai metodi tradizionali.

Vulnerabilità zero-day e prive di patch

Una delle protezioni che abbiamo aggiunto recentemente è il livello contro le vulnerabilità zero-day e prive di patch. Grazie a una protezione senza firme, intercettiamo le chiamate alle API System e forniamo protezione contro il download del malware, tecnica che chiamiamo Un-Authorized Download Protection (UXP). Questa è l'ultima linea di difesa nella nostra tecnologia di protezione dalle minacce di rete e aiuta a mitigare le vulnerabilità sconosciute e prive di patch senza l'ausilio di firme. Questa tecnologia viene attivata automaticamente e ha debuttato inizialmente con i prodotti Norton 2010.

Protezione dalle vulnerabilità del software prive di patch

Spesso il malware viene installato in modo invisibile nei sistemi sfruttando le vulnerabilità del software. Le soluzioni di protezione di rete di Symantec offrono un livello di protezione aggiuntivo denominato tecnologia GEB (Generic Exploit Blocking), che consente di attuare un blocco generico degli exploit. Indipendentemente dalla situazione delle patch di un sistema, GEB protegge in modo ‘generico’ contro l'exploit delle vulnerabilità presenti. Nell'attuale panorama delle minacce è comune trovare vulnerabilità in Oracle Sun Java, Adobe Acrobat Reader, Adobe Flash, Internet Explorer, controlli ActiveX o QuickTime. La protezione di blocco generico degli exploit è stata creata effettuando l'ingegnerizzazione inversa del modo in cui può essere sfruttata la vulnerabilità e cercando poi le caratteristiche dell'exploit nella rete, fornendo sostanzialmente una patch a livello di rete. Un unico GEB o una firma della vulnerabilità può proteggere contro migliaia di varianti di malware non ancora osservate da Symantec o altri vendor di prodotti per la sicurezza.

Blocco di IP e domini nocivi

La protezione basata su rete di Symantec comprende anche funzionalità di blocco degli IP e dei domini nocivi che impediscono l'arrivo di malware e traffico pericoloso da siti Web nocivi conosciuti. Avvalendosi delle analisi del team di Security Technology and Response per individuare i siti Web nocivi e aggiornarli tramite LiveUpdate, Symantec fornisce protezione in tempo reale contro le minacce in continua evoluzione.

Migliore resistenza alla fuga

È stato aggiunto ulteriore supporto alla codifica per migliorare l'efficacia della rilevazione e la resistenza all'elusione negli attacchi codificati con tecniche comuni come base64 e gzip.

Rilevazione dei controlli di rete per l'applicazione delle policy di utilizzo e l'identificazione delle perdite di dati

La tecnologia Network IPS può essere utilizzata per identificare applicazioni e strumenti che potrebbero violare le policy di utilizzo aziendali o essere utilizzati per bloccare la protezione contro la perdita di dati attraverso la rete. È possibile rilevare, segnalare o impedire traffico come messaggistica istantanea, comunicazioni peer to peer, accesso a condivisioni aperte, social media e altro traffico 'interessante'.

STAR Intelligence Communication Bus

La tecnologia di protezione di rete non funziona da sola. Questo motore condivide intelligence con altre tecnologie di protezione mediante lo STAR Intelligence Communication Protocol (STAR ICB). Il motore Network IPS comunica con i motori Symantec SONAR e Insight Reputation di Symantec consentendo una protezione più informata e accurata che non ha eguali nei prodotti della concorrenza.

Prodotti Symantec

I seguenti contengono forme di protezione basata su rete.                               

Protezione basata sul comportamento

Milioni di utenti finali vengono attualmente indotti a fare clic su malware camuffato da lettori video o applicazioni antivirus fasulle che non fanno altro che infettare l'utente e convincerlo ingannevolmente a pagare per software che non fa nulla. I download drive-by e i toolkit di attacco Web infettano in modo invisibile gli utenti che visitano i principali siti Web per centinai di milioni. Alcune forme di malware installano rootkit o inseriscono codice nocivo nei programmi in esecuzione e nei processi di sistema. Il malware moderno può essere generato in modo dinamico rendendo la rilevazione basata su file quanto mai insufficiente per proteggere i sistemi degli utenti finali.

Perché la sicurezza basata sul comportamento?

Nel 2010, Symantec ha osservato più di 286 milioni di varianti di malware e ha bloccato più di 3 miliardi di attacchi. Di fronte alla continua crescita delle minacce del malware e delle sue varianti, Symantec ha visto la necessità di creare importanti approcci innovativi che prevengano le infezioni del malware e proteggano gli utenti in modo invisibile e automatico indipendentemente dalle attività che svolgono o dal modo in cui la minaccia cerca di introdursi nei loro sistemi. La tecnologia Insight Reputation di Symantec e la nostra sicurezza basata sul comportamento SONAR (Symantec Online Network for Advanced Response) sono due di questi approcci innovativi.

Le tecnologie di sicurezza basata sul comportamento sono ideali per adattarsi a questa rapida crescita grazie al fatto che i comportamenti possono essere applicati a un ampio numero di file nocivi e file validi molto meglio rispetto all'euristica basata su file. I comportamenti cambiano raramente e non possono essere modificati molto facilmente senza un forte impegno che va a scapito delle strategie di propagazione e creazione del malware.

La tecnologia di protezione basata sul comportamento offre una protezione efficace e non invasiva contro le minacce zero-day mai viste in precedenza. SONAR è la soluzione che fornisce la protezione contro le minacce sulla base di ciò che fa l'applicazione e non di come appare. SONAR costituisce il motore principale della nostra tecnologia basata sul comportamento e comprende: un motore di classificazione basato su intelligenza artificiale, firme comportamentali create esperti e un motore di blocco delle policy sul comportamento. La combinazione di questi componenti offre una protezione leader di settore contro le minacce che sempre più spesso sono attacchi di ingegneria sociale o mirati.

Principali vettori di minacce contro cui protegge la tecnologia basata sul comportamento di Symantec:

  • Attacchi mirati tra cui minacce avanzate persistenti (APT, Advanced Persistent Threat), Trojan, spyware, keylogger e minacce malware generiche
  • Attacchi di ingegneria sociale – FakeAV, generatori di chiavi ingannevoli e codec fasulli
  • Bot e botnet
  • Non-Process and Injected Threats (NPT)
  • Minacce zero-day
  • Malware come risultato di download drive-by che hanno aggirato altri livelli di protezione
  • Malware che utilizza tecniche rootkit per nascondersi

Quando fornisce protezione il livello della tecnologia basata sul comportamento di Symantec?

Indipendentemente dal fatto che l'utente esegua l'applicazione nociva in base a una tecnica di ingegneria sociale o che il malware cerchi di installarsi in modo automatico e invisibile tramite un attacco Web del tipo download drive-by, SONAR impedisce l'infezione in tempo reale non appena il malware viene eseguito, avviato o tenta di inserirsi nei processi in esecuzione (NPT). La protezione zero-day contro Hydraq/Aurora, Stuxnet, oltre che contro i rootkit che incorporano malware come Tidserv e ZeroAccess ha dimostrato che SONAR è una tecnologia indispensabile per la sicurezza degli endpoint.

Come funziona? Motore di classificazione basato su intelligenza artificiale

Symantec ha sviluppato uno dei più grandi database mondiali di profili comportamentali basato su circa 1,2 miliardi di istanze di applicazione. L'analisi tramite tecniche di apprendimento automatico degli attributi di ciò che fanno le applicazioni valide e quelle pericolose consente a Symantec di creare profili di comportamento per le applicazioni che ne sono tuttora prive. Facendo affidamento su circa 1.400 differenti attributi comportamentali e su un dettagliato contesto che viene raccolto dai nostri componenti per la sicurezza degli endpoint come Insight, IPS e il motore AV, il motore di classificazione SONAR è rapidamente in grado di individuare comportamenti nocivi e intervenire per rimuovere le applicazioni pericolose prima che possano causare danni. Nel 2011, SONAR ha analizzato più di 586 milioni di eseguibili, dll e applicazioni per gli utenti Norton e Symantec.

Protezione dalle minacce non basata sui processi

Le minacce attuali non sono solamente file eseguibili di malware autonomo. Esse cercano di nascondersi il più rapidamente possibile inserendosi in processi, applicazioni o componenti del registro di sistema normalmente in esecuzione, celando così le proprie attività nocive dietro i processi del sistema operativo o altre applicazioni legittime. A titolo di esempio, quando un malware viene eseguito, può inserire codice nocivo in processi in esecuzione come explorer.exe (processo shell del desktop) o IExplorer.exe (browser Internet Explorer) o registrare componenti dannosi come estensioni di tali applicazioni. A quel punto l'attività nociva viene rivelata da componenti del sistema operativo noti e affidabili. SONAR impedisce che il codice venga inserito nel processo di destinazione classificando il processo di origine che tenta di eseguire l'inserimento. Inoltre, classifica e, se necessario, impedisce che il codice nocivo venga caricato o eseguito nel processo di destinazione affidabile.

Blocco delle policy comportamentali

I download drive-by funzionando attuando l'exploit delle vulnerabilità presenti in plug-in del browser come Adobe Reader, Oracle Sun Java e Adobe Flash. Dopo l'exploit della vulnerabilità, il download drive-by può fare in modo che l'applicazione vulnerabile lanci in modo invisibile qualsiasi altra applicazione. La creazione di una definizione di blocco delle policy comportamentali consente di bloccare comportamenti nocivi del tipo “Adobe Acrobat non deve creare altri eseguibili” o “I file dll non possono essere inseriti nel processo explorer.exe", proteggendo in tal modo il sistema. Questo può essere descritto come blocco di un comportamento in base a una policy o a una regola. Queste definizioni/policy di SONAR vengono create dal team di Symantec STAR e distribuite automaticamente in modalità blocco senza richiedere alcuna gestione da parte dell'utente. Ciò impedisce comportamenti sospetti da parte di applicazioni valide e protegge automaticamente gli utenti.

Firme BPE (Behavioral Policy Enforcement)

Essere in grado di seguire costantemente il panorama mutevole delle minacce è parte essenziale della nostra tecnologia SONAR e la nostra protezione è potenziata dalla possibilità di individuare anche le minacce del futuro. Quando viene osservata una nuova famiglia di minacce, come un nuovo rootkit, Trojan, FakeAV o qualche altro tipo di malware, ora siamo in grado di creare firme comportamentali per rilevare una nuova famiglia di minacce e rilasciarle senza la necessità di aggiornare il codice del prodotto. Queste sono chiamate firme SONAR BPE (Behavioral Policy Enforcement). Queste firme sono veloci da scrivere, testare e distribuire e forniscono a SONAR la flessibilità e l'adattabilità per rispondere a certe classi di minacce emergenti con un numero molto ridotto di falsi positivi. Abbiamo molte firme SONAR BPE per individuare app FakeAV ingannevoli e specifiche minacce di malware e rootkit come Graybird, Tidserv, ZeroAccess e Gammima.

Pertanto, come funzionano le firma BPE?

Prendiamo in esame un'applicazione che viene eseguita.

  • Essa rilascia alcuni componenti nella directory temporanea di Windows
  • Aggiunge una serie di voci di registro
  • Modifica il file hosts
  • Non ha un'interfaccia utente
  • Quindi apre comunicazioni su porte ad alto livello

Ognuno di questi singoli comportamenti di per sé non è nocivo, ma considerati complessivamente rivelano un profilo pericoloso. Il nostro analista STAR crea una regola in cui si stabilisce che se osserviamo questa sequenza di comportamenti con eseguibili che manifestano determinate caratteristiche di Insight Reputation, allora dobbiamo bloccare l'esecuzione del processo e ripristinare le modifiche. SONAR ha la capacità di implementare una sandbox virtuale intorno all'applicazione infettata ma legittima e in tal modo è in grado di impedire che attui azioni nocive che potrebbero danneggiare il computer di un utente. Questo costituisce un nuovo paradigma nella protezione degli endpoint che si focalizza sulle attività e sul comportamento dell'applicazione invece che sul suo aspetto.

Rimedio automatico di file nocivi tramite sandboxing

Il motore di protezione del comportamento in tempo reale monitora e applica il sandboxing ad applicazioni, processi ed eventi nel momento in cui si verificano invece che in modo statico. Le modifiche al sistema possono essere ripristinate per impedire che l'attività nociva influisca sul sistema.

Monitoring di applicazioni e processi in tempo reale


SONAR monitora e protegge oltre 1.400 aspetti di tutte le applicazioni, dll e processi in esecuzione fornendo protezione in tempo reale contro le minacce nel momento in cui vengono eseguite.

STAR Intelligence Communication Bus

La tecnologia SONAR non funziona da sola. Questo motore condivide intelligence con altre tecnologie di protezione mediante lo STAR Intelligence Communication Protocol (STAR ICB). Il motore SONAR comunica con i motori Network IPS, AV e Insight Reputation consentendo una protezione più informata e accurata che non ha eguali nei prodotti della concorrenza.   

Protezione basata sulla reputazione

La più recente aggiunta alla suite di tecnologie di protezione sviluppata da STAR, la sicurezza basata sulla reputazione, risponde all'ultima evoluzione nel panorama delle minacce, il malware microdistribuito. Grazie al contribuito di oltre 130 milioni di utenti, il nostro sistema di reputazione apprende quali applicazioni sono valide e quali sono pericolose in base ai modelli di adozione anonimi dei nostri utenti. Quindi, utilizza questa intelligence per classificare in modo automatico praticamente qualsiasi file di software sul pianeta. Questi dati di reputazione vengono utilizzati da tutti i prodotti Symantec per bloccare automaticamente il nuovo malware e identificare e autorizzare al contempo le nuove applicazioni legittime.

Il problema: un panorama delle minacce in continua evoluzione

Negli anni precedenti, numeri relativamente piccoli di minacce sono stati distribuiti a milioni di sistemi. Ciascuna poteva essere bloccata facilmente con una singola firma antivirus distribuita su ciascun sistema di protezione. A partire da questo, gli autori di malware hanno evoluto le tecniche e attualmente si avvalgono di una serie di tattiche di offuscamento per modificare rapidamente l'aspetto della minaccia che producono. È normale attualmente osservare la generazione di una nuova variante di minaccia in tempo reale per una o più vittime, che si traduce in centinaia di milioni di nuove varianti distinte ogni anno.

Queste minacce vengono quindi distribuite ai computer di destinazione tramite attacchi basati sul Web o di ingegneria sociale. I nostri dati indicano che la maggior parte delle minacce attuali finisce su meno di 20 sistemi in tutto il mondo rendendo praticamente impossibile alle aziende che si occupano di sicurezza catturare un esemplare, studiarlo, analizzarlo e scrivere una tradizionale firma di risposta. Con oltre 600.000 nuove varianti create ogni giorno (lo scorso anno Symantec ha ricevuto 240 milioni di hash di minacce univoci dai sistemi protetti), non è pensabile creare, testare e distribuire il volume di firme tradizionali necessario per risolvere il problema.

La soluzione: protezione basata sulla reputazione

La tradizionale impronta digitale di un virus richiede che il vendor ottenga un esemplare di ciascuna minaccia prima di poter fornire la protezione. La sicurezza basata sulla reputazione di Symantec adotta un approccio completamente diverso. Non si focalizza solamente sui file pericolosi, ma cerca di classificare accuratamente tutti i file di software, buoni e cattivi, in base a innumerevoli "ping" di telemetria anonima inviati a Symantec ogni secondo di ogni giorno da ogni parte del mondo. Questi ping in tempo reale forniscono a Symantec le seguenti informazioni:

  • Le applicazioni distribuite sui sistemi dei nostri clienti (ogni applicazione è identificata in modo univoco dal suo hash SHA2).
  • L'origine delle applicazioni sul Web.
  • Se le applicazioni contengono o meno la firma digitale.
  • L'età delle applicazioni.
  • Molti altri attributi.

A queste informazioni aggiungiamo i dati della nostra Global Intelligence Network, dell'organizzazione Security Response e di vendor di software legittimi che offrono istanze di applicazione a Symantec.

Questi dati vengono incorporati in un modello su larga scala, simile al social network di Facebook, e sono composti da collegamenti tra le applicazioni e gli utenti anonimi invece che dalle sole connessioni tra gli utenti. Questo codifica la relazione tra tutti questi file e i nostri milioni di utenti anonimi. Quindi analizziamo questa rete di utenti di applicazioni per ottenere valutazioni di sicurezza su ogni singola applicazione, identificando ciascuna come buona, pericolosa o sospetta. Attualmente questo sistema traccia più di 1,98 miliardi di file validi e pericolosi e scopre nuovi file a un ritmo superiore a 20 milioni alla settimana.

Funzionalità

I prodotti per client, server e gateway di Symantec utilizzano i dati sulla reputazione per aiutare a migliorare la protezione nei quattro modi seguenti:

Protezione di livello superiore

Il sistema di reputazione calcola punteggi estremamente accurati su ogni singolo file per definirlo valido o pericoloso. Oltre all'efficacia contro il malware più diffuso, è in grado di identificare le minacce più nascoste, anche quelle che colpiscono solo un gruppo di utenti in tutta Internet. Questo aumenta le percentuali di rilevazione in tutte le categorie di malware.

L'aspetto più evidente della maggiore protezione fornita dalla reputazione può essere osservato nella funzionalità Analisi download presente nei prodotti Norton e in Download Advisor (DA) presente in Symantec Endpoint Protection. Queste funzionalità intercettano ogni nuovo file eseguibile nel momento in cui viene scaricato da Internet. Quindi interrogano il cloud di reputazione di Symantec per ottenere una valutazione. In base alle valutazioni ricevuta dal cloud, viene adottata una delle seguenti tre azioni:

  • Se il file ha sviluppato un reputazione pericolosa, viene bloccato.
  • Se il file ha sviluppato una reputazione valida, viene autorizzato per l'esecuzione.
  • Se la reputazione del file è ancora in fase di evoluzione e la sua sicurezza non è nota, l'utente viene avvisato che il file non è stato comprovato. L'utente può quindi decidere, in base alla propria tolleranza del rischio, se usare o meno il file. In alternativa, nelle distribuzioni aziendali, l'amministratore può specificare differenti soglie di blocco/autorizzazione per ogni reparto in base alla specifica tolleranza di rischio.

Previene i falsi positivi

Due distinti aspetti della tecnologia contribuiscono a ridurre ulteriormente le già ridotte percentuali di falsi positivi di Symantec sul software legittimo:

Innanzitutto, poiché la tecnologia basata sulla reputazione ricava le proprie valutazioni sui file in base all'adozione generale invece che al contenuto di ciascun file (come nei tradizionali metodi di scansione antivirus), fornisce un secondo parere per potenziare le nostre tecnologie di rilevazione tradizionali come l'euristica antivirus o il blocco del comportamento. Se entrambi i pareri indicano che un file è 'nocivo' la probabilità di una convinzione errata diventa infinitamente piccola.

Quindi, poiché il sistema mantiene informazioni sulla diffusione di tutti contenuti eseguibili, queste informazioni possono anche essere incluse nella decisione finale su file. Ad esempio, la sentenza ambigua di un file che si trova solo su due sistemi nel mondo sarebbe molto meno dannosa di una sentenza equivalente su un file presente in milioni di sistemi. La considerazione di queste informazioni in ogni decisione significa prendere decisioni più informate per proteggere meglio gli utenti.

Migliori prestazioni

Il tipico sistema di un utente contiene migliaia di file che non cambiano mai e, con pochissime eccezioni, tutti questi file sono validi. Tuttavia, poiché il tradizionale antivirus è focalizzato sulla ricerca di file pericolosi in base a un elenco di minacce nocive note, deve sottoporre a scansione ogni file nel sistema di un utente per confrontarlo con tale elenco. Quando vengono scoperte nuove minacce, ogni file nel sistema deve essere esaminato di nuovo in base alle nuove firme per verificare se esiste una corrispondenza con qualche nuova minaccia scoperta.

Il processo diventa molto inefficiente se si considera che i vendor di prodotti per la sicurezza pubblicano quotidianamente migliaia di nuove firme di virus. La sicurezza basata sulla reputazione, invece ha per definizione valutazioni accurate della sicurezza di tutti i file, validi e pericolosi. Questo consente ai prodotti con tecnologia di reputazione di esaminare il sistema di un utente e contrassegnare in modo definitivo i file validi evitando di sottoporli nuovamente a scansione, a meno che ovviamente non cambi il loro contenuto. L'effetto sulle prestazioni è notevole, riducendo fino al 90% le risorse necessarie a una scansione tradizionale e alla protezione in tempo reale che si traduce un un'esperienza migliore per l'utente.

Blocco basato su policy

Le soluzioni per la sicurezza tradizionali sono focalizzate sul blocco del malware conosciuto con un approccio di tipo binario: tutto ciò che viene identificato come pericoloso viene rimosso dal sistema dell'utente e tutto il resto viene lasciato (indipendentemente dal fatto che sia pericoloso o meno). Nel mondo reale questo lascia irrisolte numerose opportunità nelle quali il malware può ancora farsi strada nel sistema di un utente. Ad esempio, nel caso di un nuovo malware che è stato appena creare da un criminale informatico, è altamente probabile che le firme antivirus esistenti non siano in grado di rilevarlo perché il vendor non ha ancora avuto la possibilità di analizzarlo. A meno che la nuova minaccia non colpisca una vulnerabilità conosciuta o esibisca uno schema di comportamenti sospetti prestabiliti, è possibile che non venga rilevata dalle tecniche di sicurezza esistenti. La sicurezza basata sulla reputazione aiuta gli utenti e gli amministratori IT a risolvere questa situazione prendendo decisioni più informate sul contenuto dei file eseguibile che autorizzano nei loro sistemi.

Oltre a gestire le informazioni relative alla validità o pericolosità del file, il sistema basato sulla reputazione di Symantec mantiene altri attributi come la diffusione e l'età di ciascun file. Questi attributi possono essere utilizzati per implementare policy nei nostri prodotti futuri per le aziende che consentano agli amministratori di controllare cosa può essere installato sul sistema di un utente. Ad esempio, nel caso di una nuova minaccia, anche se non è stata contrassegnata come nociva, la sua età sarà molto recente e utenti e amministratori IT possono usare le informazioni sulla reputazione per implementare policy che stabiliscono cosa autorizzare nei loro sistemi. L'amministratore IT può scegliere di limitare ai dipendenti del reparto finanza il download di applicazioni con almeno 1000 utenti certificati e almeno due settimane di disponibilità in Internet, mentre il personale dell'help desk IT può venire autorizzato a scaricare file di qualsiasi età con almeno 100 utenti e un punteggio di reputazione moderato. Queste policy consentono agli amministratori di adattare la protezione in base alla tolleranza di rischio di ogni reparto. I nostri studi indicano che questo è un metodo molto efficace per mitigare il rischio di esposizione a nuovo malware in un'azienda.

Rimedio

Anche se il nostro obiettivo non è mai quello di consentire che una minaccia raggiunga un sistema, nel mondo reale esistono tuttora situazioni in cui il sistema di un utente può venire infettato. Tali circostanze possono comprendere:

  • Utenti che non avevano installato in precedenza un prodotto per la sicurezza.
  • Utenti il cui abbonamento al prodotto è scaduto.
  • Utenti attaccati da una nuova minaccia zero-day.

Le tecnologie di rimedio di Symantec risolvono queste situazioni fornendo le funzionalità per ripulire i sistemi già infettati. Il set di base di queste tecnologie è integrato in tutti i nostri prodotti antimalware.

Più recentemente abbiamo reso disponibile un set di strumenti autonomi per agevolare il rimedio di infezioni molto aggressive. Questi strumenti comprendono Norton Power Eraser E Symantec Power Eraser (incluso in Symantec Endpoint Protection Support Tool). Le funzionalità di questi strumenti di rimedio includono:

Un motore agile e facilmente aggiornabile

Poiché il contesto delle minacce è in continua evoluzione allo scopo di eludere le suite per la sicurezza, questi strumenti possono essere aggiornati facilmente per rispondere alle nuove minace zero-day.

Individuazione delle infezioni nello loro interezza

Dagli strumenti di download ai payload e ai rootkit che si nascondono, le infezioni moderne sono molto complesse, utilizzano più componenti per orchestrare un risultato remunerativo per gli hacker. Il motore di Power Eraser è ottimizzato per rilevare e rimuovere questi rischi andando alla ricerca di schemi di comportamento non solo della minaccia, ma anche dello strumento di download che l'ha introdotta inizialmente nel sistema.

Tecniche di rilevazione aggressive

Il motore di Power Eraser utilizza nuovi motori euristici e punti di analisi dei dati per rilevare un'ampia gamma di minacce. Questi comprendono euristica packer, analisi del punto di caricamento, euristica rootkit, analisi comportamentale, analisi della distribuzione e monitor della configurazione di sistema.