Tecnologias de proteção antimalware do STAR

Visão geral

Security Technology and Response (STAR) é a divisão da Symantec responsável pela inovação e pelo desenvolvimento de nossas tecnologias de segurança, que cuidam da proteção em cinco áreas: arquivo, rede, comportamento, reputação e correção.

Na Symantec, a divisão Security Technology and Response (STAR) supervisiona os esforços de pesquisa e desenvolvimento de nossas tecnologias de segurança antimalware. Elas compõem os principais recursos de proteção dos produtos de segurança da Symantec para empresas e consumidores.

O departamento Security Technology and Response (STAR), que inclui Security Response, é uma equipe internacional de engenheiros de segurança, analistas de ameaças e pesquisadores que oferecem o conteúdo das funcionalidades subjacentes e suporte de todos os produtos de segurança da Symantec para empresas e consumidores. Com centros de resposta localizados no mundo inteiro, o STAR monitora relatórios de códigos maliciosos de mais de 130 milhões de sistemas na Internet, recebe dados de 240.000 sensores de rede em mais de 200 países e rastreia mais de 25.000 vulnerabilidades que afetam mais de 55.000 tecnologias de mais de 8.000 fornecedores. A equipe usa esse vasto conhecimento para desenvolver e fornecer a proteção de segurança mais abrangente do mundo. O STAR emprega aproximadamente 550 funcionários.

Há alguns anos, as tecnologias antivírus tradicionais eram suficientes para proteger um endpoint de ataques. Contudo, devido à mudança radical no cenário das ameaças nos últimos anos, não faz mais sentido acreditar que somente as tecnologias à base de antivírus são suficientes. O STAR então desenvolveu um ecossistema colaborativo de tecnologias de segurança para proteger os usuários da Symantec de ataques maliciosos.

Essas tecnologias protegem contra estes principais vetores de ameaças:

  • Downloads não solicitados e ataques da Web
  • Ataques de engenharia social – FakeAV e codecs falsos
  • Bots e botnets
  • Ameaças sem processo e injetadas (NPT)
  • Ataques direcionados, inclusive ataques persistentes avançados (APT), Cavalos de Troia e ameaças gerais de dia zero
  • Malware resultante de downloads não solicitados que burlam outras camadas de proteção
  • Malware que utiliza técnicas de rootkit para se ocultar

Esse ecossistema é composto destas cinco áreas que funcionam em colaboração:

  • Proteção baseada em arquivo continua a ser uma proteção importante devido às inovações em heurística de arquivo estático.
  • Proteção baseada em rede detecta quando vulnerabilidades novas e conhecidas são usadas para entrar no sistema do usuário.
  • Proteção baseada em comportamento considera o comportamento dinâmico das atividades maliciosas, e não as características estáticas.
  • Proteção baseada em reputação examina as metainformações de um arquivo: idade, origem, como é transferido, onde reside etc.
  • Correção é um conjunto de tecnologias que pode ajudar a limpar um sistema infectado.

As tecnologias operam em colaboração, o que as torna mais eficientes e eficazes em determinar se uma situação é maliciosa ou não. À medida que cada tecnologia conhece os diferentes atributos de um processo ou um arquivo, ela compartilha esse conhecimento com as outras tecnologias. Por exemplo, as tecnologias de proteção baseada em rede conseguem detectar a procedência dos arquivos baixados da Web e compartilham essa informação com as outras tecnologias.

Há maiores detalhes de cada tecnologia nas guias a seguir.

Proteção baseada em arquivo

Existe uma ideia incorreta de que os verificadores antivírus apenas procuram padrões conhecidos nos arquivos para determinar se esses arquivos são válidos ou não. Na verdade, as soluções antivírus modernas vão além da simples correspondência de padrões e aplicam técnicas genéricas e heurística ao buscar ameaças. Os melhores mecanismos antivírus oferecem vários métodos para a identificação de ameaças conhecidas e desconhecidas. A proteção baseada em arquivo da Symantec é uma tecnologia desse tipo.

A segurança baseada em arquivo é tradicionalmente um dos pilares de nossas tecnologias de proteção. O STAR continua a investir e a incentivar a inovação em nossa segurança baseada em arquivo para manter-se atualizado sobre os últimos desenvolvimentos no campo das ameaças. Ter arquivos infectados em determinada máquina é um dos principais métodos das ameaças para se manterem presentes após o ataque inicial. Por esse motivo, a proteção baseada em arquivo sempre será decisiva na detecção, neutralização e remoção de ameaças nas máquinas de nosso clientes. A tecnologia baseada em arquivo protege contra estes vetores de ameaças:

  • Malware e vírus
  • Ataques direcionados, inclusive ataques persistentes avançados (APT), Cavalos de Troia e malware em geral
  • Ataques de engenharia social – FakeAV e codecs falsos
  • Bots e botnets
  • Rootkits
  • PDFs e documentos do Microsoft Office (PowerPoint, Excel e Word) maliciosos
  • Arquivos maliciosos compactados
  • Spyware e adware
  • Keyloggers

Para lidar com essas ameaças, o núcleo da tecnologia de proteção baseada em arquivo conta com quatro componentes: mecanismo de antivírus, Auto-Protect, mecanismo do ERASER e nossas tecnologias de heurística, Malheur e Bloodhound.

Mecanismo de antivírus

O mecanismo de verificação exclusivo da Symantec é amplamente implementado em mais de 350 milhões de máquinas. É uma tecnologia de segurança estável e de alto desempenho que oferece detecção avançada das ameaças mais recentes. O mecanismo é atualizado com frequência no campo via LiveUpdate para responder continuamente às novas ameaças. Dessa forma, é possível atualizar o recurso de detecção do produto sem necessidade de uma atualização completa.

Auto-Protect

O verificador de arquivo em tempo real da Symantec detecta as ameaças que estão sendo desenvolvidas em um sistema de arquivos e a partir dele também. Gravado no nível do kernel, o Auto-Protect é um mecanismo de verificação de alto desempenho e baixa ocupação que protege das ameaças mais recentes, sem interromper as atividades do usuário. Quando os arquivos são gravados no disco da máquina, o Auto-Protect é acionado e usa os mecanismos de antivírus, Malheur e Bloodhound para verificar os arquivos. Por ser executado em um nível tão baixo, o Auto-Protect consegue bloquear um arquivo infectado antes que ele possa ser executado e infectar o sistema. Além da proteção de arquivo, o Auto-Protect oferece a principal funcionalidade do Download Insight, parte de nossas avançadas tecnologias analíticas de reputação.

Mecanismo do ERASER

O mecanismo do ERASER da Symantec oferece recurso de reparo e remoção para as ameaças encontradas no sistema do cliente por nossas várias tecnologias de detecção. O ERASER também é responsável por verificar se os drivers e os aplicativos executados na inicialização são maliciosos. Para garantir que nosso produto não seja enganado por rootkits ou outro malware, o ERASER usa inúmeras técnicas que evitam o registro de sistema regular e pesquisas de disco. Essas tecnologias possibilitam que o ERASER tenha acesso direto a registro e disco.

Malheur e Bloodhound

Além das detecções baseadas em assinatura, fornecemos tecnologias que podem condenar um arquivo nunca visto antes, mas que tenha características comuns aos arquivos maliciosos. Essa proteção baseada em heurística está incluída em nossas tecnologias Malheur e Bloodhound. As assinaturas heurísticas podem detectar malware desconhecido com base em atributos do arquivo, tentativas de explorar vulnerabilidades e outras ações comuns de malwares conhecidos.

Uma visão mais detalhada dos recursos

As seções a seguir descrevem um recurso da tecnologia baseada em arquivo que é intrínseco aos principais componentes explicados acima.

Amplo suporte a arquivos

Os arquivos compactados e os arquivos incorporados em outros arquivos são alguns dos muitos tipos que podem ser examinados em busca de malware oculto. Uma lista parcial de tipos de arquivos analisados inclui:

DOC, .DOT, .PPT, .PPS, .XLA, .XLS, .XLT, .WIZ, .SDW, .VOR, .VSS, .VST, .AC_, .ADP, .APR, .DB, .MSC, .MSI, .MTW, .OPT, .PUB, .SOU, .SPO, .VSD, .WPS, .MSG ZIP, .DOCX, .DOCM, .DOTX, .DOTM, .PPTX, .PPTM, .PPSX, .PPSM, .XLSX, .XLSB, .XLSM, .XLTX, .XLTM, .XLAM, .XPS, .POTX, .POTM, .ODT, .OTT, .STW, .SXW, .eml, .MME, .B64, .MPA, ,AMG, .ARJ, .CAB, .XSN, .GZ, .LHA, .SHS, .RAR, .RFT, .TAR, .DAT, .ACE, .PDF, .TXT, .HQX. .MBOZ, .UUE, .MB3, .AS, .BZ2, .ZIP, .ZIPX

Mecanismo de descompactador

Em alguns casos, o malware usa a tecnologia de “compactador” para ofuscar seus arquivos e tentar evitar a detecção por algoritmos simples de correspondência de padrões. Nosso mecanismo de descompactador pode:

  • Descompactar arquivos executáveis afetados.
  • Reconhecer centenas de famílias de compactadores distintos.
  • Descompactar repetidamente arquivos que estão compactados em conjunto até o malware central ser alcançado.

Máquina virtual genérica

A GVM permite que o código seja executado em um ambiente restrito seguro.

  • Em sistemas de byte-code, como Java ou C#, o que é extremamente seguro para produzir rapidamente novas tecnologias de proteção sem falhas ou travamentos.
  • Aplica heurística extremamente complexa e assinaturas de famílias para ameaças como Trojan.Vundo.
  • Realiza verificação completa dos formatos de arquivo não tradicionais. Por exemplo, PDF, DOC, XLS, WMA, JPG etc.

Mecanismo antipolimórfico

Inclui tecnologia de emulação de CPU avançada para conseguir que o malware polimórfico se revele.

Tecnologia antirrotkit

A Symantec tem três tecnologias antirrootkit distintas desenvolvidas para localizar e remover até mesmo os rootkits mais resistentes, como Tidserv e ZeroAccess, desviando das técnicas de dissimulação comumente usadas pelos rootkits. As técnicas incluem:

  • Acesso direto a volumes de unidades de disco rígido.
  • Verificação de hive de registro direto.
  • Verificação de memória kernel.

Mecanismo contra Cavalo de Troia

Inclui técnicas avançadas de hashing para detectar simultaneamente milhões de Cavalos de Troia e spyware em microssegundos.

  • Localiza e extrai as regiões de arquivo mais conhecidas por conter lógica de malware.
  • Obtém hashes criptográficos de cada seção e os procura no banco de dados de impressão digital.
  • Algoritmos avançados permitem que o mecanismo contra Cavalo de Troia verifique simultaneamente dezenas de milhares de variedades de malware em microssegundos.

Mecanismo Photon

Usa assinaturas pouco nítidas para identificar variações de malware novas e conhecidas.

  • Verifica arquivos usando centenas de milhares de assinaturas pouco nítidas simultaneamente, o que melhora consideravelmente o desempenho da verificação.
  • As assinaturas pouco nítidas podem detectar novas variedades de malware assim que são lançadas.

Mecanismos de heurística avançados

Detecção voltada para as variedades polimorfas no servidor.

  • Mais de uma dúzia de heurísticas (e aumentando) buscam diferentes características suspeitas dos arquivos.
  • Todos os arquivos suspeitos são conferidos na nuvem de reputação da Symantec e em nossa lista de assinaturas digitais confiáveis.
  • Os mecanismos usam o contexto para ajustar a sensibilidade heurística. Por exemplo, a heurística suspeita mais dos arquivos recém-baixados do que dos aplicativos instalados.

Rede

A proteção baseada em rede é um conjunto de tecnologias desenvolvido para bloquear ataques maliciosos antes que eles consigam introduzir malware no sistema. Ao contrário da proteção baseada em arquivo que precisa aguardar a criação física de um arquivo no computador do usuário, a proteção baseada em rede começa a analisar os fluxos de dados recebidos na máquina do usuário por meio das conexões de rede e bloqueia as ameaças antes que elas entrem no sistema.

A tecnologia baseada em rede da Symantec protege contra estes principais vetores de ameaça:

  • Downloads não solicitados e toolkits de ataques da Web
  • Ataques de engenharia social – FakeAV e codecs falsos
  • Ataques via mídias sociais, como o Facebook
  • Detecção de sistemas infectados por malware, rootkit e bot
  • Proteção contra ameaças ofuscada
  • Ameaças de dia zero
  • Proteção de vulnerabilidades de software sem patch
  • Proteção de domínios e endereços IP maliciosos

Esta categoria consiste em três tecnologias de proteção distintas:

Solução de prevenção contra intrusões na rede (Network IPS)

O IPS com reconhecimento de protocolo detecta e verifica mais de 200 protocolos. Ele separa protocolos binários e de rede com inteligência e precisão em busca de sinais de tráfego malicioso. Essa inteligência possibilita uma verificação de rede altamente precisa e oferece proteção robusta. Em seu núcleo, há um mecanismo genérico de bloqueio de explorações, que permite o bloqueio de ataques a vulnerabilidades. Um recurso exclusivo do Symantec IPS é não precisar de configuração para ativar imediatamente os recursos de proteção do Network IPS. Todo produto Norton para o consumidor e todo Symantec Endpoint Protection 12.1 e posterior contam com essa importante tecnologia por padrão.

Proteção do navegador

Este mecanismo de proteção fica inserido no navegador e pode detectar as ameaças mais complexas que os métodos tradicionais de antivírus e Network IPS não conseguem detectar. Muitos ataques originados na rede usam técnicas de ofuscação para evitar detecção. Por operar dentro do navegador, a Proteção do navegador é capaz de observar o código conforme ele é executado, e assim detectar e bloquear ataques que burlam as camadas inferiores de inspeção na pilha de proteção.

Proteção de download não solicitado (UXP)


Na camada de proteção baseada em rede, essa última linha de defesa ajuda a mitigar vulnerabilidades desconhecidas e sem patch, sem o uso de assinaturas, o que cria uma camada extra de segurança contra ataques de dia zero.

Concentrando-se nos problemas

Essas tecnologias de proteção baseada em rede solucionam os seguintes problemas.

Downloads não solicitados e toolkits de ataques da Web

Com a utilização do Network IPS, da Proteção do navegador e de nossa tecnologia UXP, as tecnologias de proteção a ameaças de rede da Symantec bloqueiam downloads indesejados e impedem que o malware atinja o sistema final. Usamos uma variedade de métodos de prevenção com essas tecnologias, inclusive nossa tecnologia de Bloqueio genérico de explorações (mencionada abaixo) e detecção genérica de toolkit de ataque da Web. Nossa detecção genérica de toolkit de ataque da Web analisa as características de rede de toolkits de ataques da Web, independentemente das vulnerabilidades que estão sendo atacadas, e assim oferece proteção adicional contra ataques de dia zero em novas vulnerabilidades, bem como proteção contra toolkits de ataques da Web. A melhor parte dessa proteção contra toolkits de ataques da Web e downloads não solicitados é que o malware que teria infectado silenciosamente um sistema do usuário é barrado proativamente e impedido de entrar no sistema, o que as tecnologias de detecção tradicionais normalmente não conseguem detectar. A Symantec continua a bloquear dezenas de milhares de variações de malware que não são normalmente detectadas por outros meios.

Ataques de engenharia social   

Como as tecnologias de proteção observam o tráfego de rede e do navegador enquanto ele ocorre, podemos usar a inteligência do endpoint para determinar a ocorrência de um ataque de engenharia social, como uma solução de antivírus falsa ou um codec falso. Nossas tecnologias trabalham para bloquear ataques de engenharia social antes que eles apareçam, frustrando as tentativas de enganar o usuário final. A maioria das outras soluções da concorrência não incluem esse poderoso recurso. Nossa solução bloqueia milhões de ataques que outras tecnologias tradicionais baseadas em assinatura normalmente não detectam.

A Symantec bloqueia centenas de milhões de ataques de engenharia social com a tecnologia de proteção contra ameaças de rede.

Ataques direcionados a aplicativos de mídia social

Os aplicativos de mídia social se tornaram um meio de compartilhamento instantâneo de atualizações pessoais e profissionais, de vídeos e informações interessantes com milhares de amigos. Essa busca imediata por atualizações e a abrangência das redes também indicam que o principal objetivo dos hackers é usá-las para infectar você. Algumas das técnicas comuns dos hackers incluem o comprometimento de contas e o envio de spam ou links maliciosos, que induzem os usuários a participar de pesquisas falsas, ou ataques de “curtidas” do Facebook, nos quais o usuário clica em um link para assistir a um vídeo enquanto um botão "Curtir" invisível acompanha a movimentação do cursor. Você "curte" a atualização querendo ou não.

A tecnologia de IPS da Symantec pode proteger desses tipos de ataques, pois os bloqueia antes que o usuário seja induzido a clicar em qualquer coisa. A Symantec intercepta URLs e aplicativos falsos e maliciosos, e golpes, com a tecnologia de proteção baseada em rede.

Detecção de sistemas infectados por malware, rootkit e bot


Não seria bom saber onde estão os computadores infectados de sua rede? Nossa solução Network IPS oferece esse recurso e inclui detecção e correção de ameaças que podem ter passado por outras camadas de proteção. Detectamos malware e bots tentando se "conectar à origem" ou obter atualizações para disseminar mais atividades maliciosas. Com isso, os gerentes de TI, que têm uma lista de pendências de sistemas infectados para investigar, têm a certeza de que a empresa está protegida. Ameaças polimórficas e complexas que utilizam métodos de rootkit para se ocultar, como Tidserv, ZeroAccess, Koobface e Zbot, podem ser detectadas e interceptadas com esse método.

Proteção contra ameaças ofuscada


Os atuais ataques na Web usam métodos complexos para se ocultar ou ofuscar. A Proteção do navegador da Symantec se instala no navegador e pode detectar ameaças altamente complexas que os métodos tradicionais não detectam.

Dia zero e vulnerabilidades sem patch

Uma de nossas mais recentes formas de proteção é a camada extra contra dia zero e vulnerabilidades sem patch. Com o uso de proteção sem assinatura, interceptamos chamadas de API do sistema e protegemos contra o download de malware, o que chamamos de Proteção contra download não solicitado (UXP). Essa é a última linha de defesa da tecnologia Network Threat Protection e ajuda a mitigar as vulnerabilidades desconhecidas e sem patch, sem o uso de assinaturas. Essa tecnologia é ativada automaticamente e tem sido fornecida desde o lançamento do Norton 2010.

Proteção de vulnerabilidades de software sem patch

Geralmente, o malware é instalado silenciosamente nos sistemas por meio de exploração das vulnerabilidades de software. As soluções de proteção de rede da Symantec oferecem uma camada de proteção adicional que é a tecnologia Generic Exploit Blocking (GEB). Independentemente de o sistema ter patches ou não, o GEB protege ‘genericamente’ de explorações de vulnerabilidades subjacentes. Vulnerabilidades no Oracle Sun Java, Adobe Acrobat Reader, Adobe Flash, Internet Explorer, controles ActiveX ou QuickTime são comumente encontradas no atual cenário de ameaças. Criamos nossa proteção GEB com a engenharia reversa de como a vulnerabilidade poderia ser explorada e, em seguida, procuramos as características da exploração na rede, praticamente fornecendo um patch no nível da rede. Uma única assinatura de vulnerabilidade ou GEB pode proteger de milhares de variações de malware que a Symantec ou outros fornecedores de segurança nunca viram antes.

Bloqueio de domínio e IP maliciosos

A Proteção baseada em rede da Symantec também inclui recursos para bloqueio de domínio e IP maliciosos, o que impede a entrada de malware e tráfego oriundo de sites maliciosos conhecidos. Com as análises da equipe de Security Technology and Response para encontrar sites maliciosos e atualizá-los via LiveUpdate, a Symantec oferece proteção em tempo real contra as ameaças em contínua transformação.

Maior resistência à evasão

Foi incluído um suporte adicional a criptografia para aumentar a eficiência da detecção e a resistência à evasão em ataques codificados com técnicas comuns, como base64 e gzip.

Detecção de auditoria da rede para imposição do uso de políticas e identificação de vazamento de dados

O Network IPS pode ser usado para identificar aplicativos e ferramentas que possam violar políticas de uso da empresa ou que possam ser usados para impedir a proteção ao vazamento de dados por meio da rede. É possível detectar, alertar ou interceptar tráfego, como o de mensagens instantâneas, Ponto a ponto, login em compartilhamento aberto, mídias sociais e outros tipos de tráfego "interessantes".

STAR Intelligence Communication Bus

A tecnologia de proteção de rede não funciona sozinha. Esse mecanismo compartilha informações com nossas outras tecnologias de proteção por meio do protocolo STAR Intelligence Communication (STAR ICB). O mecanismo de Network IPS comunica-se com o mecanismo SONAR da Symantec e o mecanismo de Insight Reputation, o que possibilita uma proteção mais informada e precisa que nenhuma outra empresa de segurança oferece.

Produtos da Symantec

Estes produtos contêm formas de proteção baseada em rede.                               

Proteção baseada em comportamento

Milhões de usuários finais têm sido induzidos a clicar em malwares disfarçados, como videoplayers ou aplicativos falsos de antivírus, que servem apenas para infectar e criar engenharia social, o que leva o usuário a pagar por um software que não faz nada. Toolkits de downloads não solicitados e ataques da Web infectam silenciosamente os usuários que acessam sites conhecidos às centenas de milhões. Alguns malwares instalam rootkits ou injetam código malicioso em programas e processos do sistema em execução. Atualmente, o malware pode ser gerado dinamicamente, tornando a detecção baseada em arquivo insuficiente para proteger os sistemas dos usuários finais.

Por que a segurança baseada em comportamento?

Em 2010, a Symantec viu mais de 286 milhões de variações de malware e bloqueou mais de 3 bilhões de ataques. Com o aumento contínuo das ameaças de malware e suas variações, a Symantec percebeu que era preciso criar abordagens inovadoras para impedir infecções por malware e proteger os usuários, de forma silenciosa e automática, independente das ações do usuário ou de como o malware entra nos sistemas dos usuários finais. A tecnologia Insight Reputation da Symantec e nossa segurança baseada em comportamento Symantec Online Network for Advanced Response (SONAR) são duas dessas abordagens inovadoras.

As tecnologias de segurança baseadas em comportamento estão em melhor condição de acompanhar essa taxa de crescimento rápido porque os comportamentos podem melhor generalizar uma grande população de arquivos maliciosos e arquivos válidos do que as heurísticas baseadas em arquivo. Os comportamentos dificilmente mudam ou não mudam com facilidade, a não ser por meio de um grande esforço, que prejudica as estratégias de criação e propagação do malware.

A tecnologia de proteção baseada em comportamento oferece uma proteção eficaz e não invasiva contra ameaças de dia zero ainda não conhecidas. SONAR é a solução que fornece proteção contra ameaças com base no que o aplicativo faz, e não no que o aplicativo parece. SONAR é o principal mecanismo de nossa tecnologia baseada em comportamento e compõe-se de: um mecanismo de classificação baseado em inteligência artificial, assinaturas comportamentais de autoria humana e um mecanismo de bloqueio de política comportamental. Esses componentes juntos oferecem uma proteção de segurança líder do setor contra as ameaças que são, em geral, ataques direcionados e de engenharia social.

A tecnologia baseada em comportamento da Symantec protege contra estes principais vetores de ameaças:

  • Ataques direcionados, inclusive ataques persistentes avançados (APTs), Cavalos de Troia, spyware, keyloggers e malware em geral
  • Ataques de engenharia social – FakeAV, geradores de chaves falsas e codecs falsos
  • Bots e botnets
  • Ameaças sem processo e injetadas (NPTs)
  • Ameaças de dia zero
  • Malware resultante de downloads não solicitados que burlam outras camadas de proteção
  • Malware que utiliza técnicas de rootkit para se ocultar

Quando a camada da tecnologia baseada em comportamento da Symantec oferece proteção?

Não importa se o usuário executa o aplicativo malicioso propositalmente (acionado por engenharia social) ou se o malware tenta, automática e silenciosamente, ser instalado por um ataque da Web, como um download não solicitado, o SONAR impede que o malware infecte os sistemas em tempo real após ser executado ou iniciado e tentar injetar-se nos processos em execução (NPTs). Com proteção de dia zero contra Hydraq/Aurora, Stuxnet e rootkits com malware incorporado, como Tidserv e ZeroAccess, o SONAR provou ser uma tecnologia essencial para a proteção de endpoints.

Como ele funciona? Mecanismo de classificação baseado em inteligência artificial

A Symantec desenvolveu um dos maiores bancos de dados de perfis comportamentais do mundo em praticamente 1,2 bilhões de instâncias de aplicativos. Ao analisar os atributos do que os aplicativos válidos e inválidos fazem com o uso da análise de aprendizagem de máquina, a Symantec pode criar perfis de comportamentos para aplicativos que ainda nem foram criados! Contando com quase 1.400 atributos comportamentais diferentes e contextuais que podemos obter de nossos outros componentes de segurança de endpoint, como Insight, IPS e mecanismo de antivírus, o mecanismo de classificação SONAR consegue rapidamente detectar comportamentos maliciosos e tomar medidas para remover aplicativos inválidos antes que eles causem danos. Em 2011, mais de 586 milhões de executáveis, DLLs e aplicativos foram analisados pelo SONAR para clientes da Norton e da Symantec.

Proteção contra ameaças sem processo

As ameaças modernas nem sempre são apenas executáveis de malware independentes. Elas tentam se ocultar o mais rápido possível injetando-se em processos e aplicativos comumente em execução ou registrando componentes em aplicativos extensíveis. Dessa forma, ocultam sua atividade maliciosa em nome de processos de SO ou aplicativos confiáveis. Por exemplo, quando um malware é executado, ele pode injetar código malicioso nos processos em execução, como explorer.exe (processo shell de área de trabalho) ou IExplorer.exe (navegador Internet Explorer) ou registrar componentes maliciosos como extensões desses aplicativos. Em seguida, a atividade maliciosa é exibida por componentes de SO conhecidos e confiáveis. SONAR evita que o código seja injetado no processo de destino classificando o processo de origem que tenta a injeção. Ele também classifica e, se necessário, evita que o código malicioso seja carregado ou executado no processo de destino/confiável.

Bloqueio de política comportamental

Downloads não solicitados funcionam por meio da exploração de vulnerabilidades em plug-ins de navegador, como Adobe Reader, Oracle Sun Java e Adobe Flash. Depois de a vulnerabilidade ter sido explorada pelo download não solicitado, ela poderá fazer com que o aplicativo vulnerável inicie qualquer aplicativo desejado silenciosamente. Com a criação de uma definição de bloqueio de política comportamental, podemos bloquear comportamentos maliciosos, como “O Adobe Acrobat não deve criar outros executáveis” ou “As DLLs não devem injetar-se no processo do explorer.exe e assim proteger o sistema". Isso pode ser descrito como bloqueio de comportamento com base em política ou regra. Essas definições/políticas do SONAR são criadas pela equipe do Symantec STAR e implementadas automaticamente no modo de bloqueio, sem necessidade de gerenciamento do cliente. Isso impede comportamentos suspeitos de aplicativos válidos e protege automaticamente os usuários.

Assinaturas de Behavioral Policy Enforcement (BPE)

Conseguir acompanhar a evolução do cenário de ameaças em contínua transformação é um elemento essencial da tecnologia SONAR, e nossa proteção expande-se com a possibilidade de enfrentar as futuras ameaças também. Quando uma nova família de ameaças é detectada, como um novo rootkit, Cavalo de Troia, FakeAV ou outro tipo de malware, podemos criar novas assinaturas comportamentais a fim de detectar uma nova família de ameaças e liberá-las, sem necessidade de atualizações de código no produto. São as assinaturas de SONAR Behavioral Policy Enforcement. As assinaturas são rápidas de desenvolver, testar e implementar, e conferem ao SONAR a flexibilidade e a adaptabilidade para responder a certas classes de ameaças emergentes, com uma taxa baixa de falsos positivos. Temos muitas assinaturas de SONAR BPE voltadas para aplicativos FakeAV enganosos, ameaças de malware e rootkits específicos, como Graybird, Tidserv, ZeroAccess e Gammima.

Como funcionam as assinaturas de BPE?

Vamos analisar um aplicativo que acaba sendo executado.

  • Ele insere certos componentes no diretório temporário do Windows
  • Adiciona várias entradas de registro
  • Altera o arquivo host
  • Não tem uma interface de usuário
  • E abre a comunicação nas portas altas

Todos esses comportamentos por si só podem não ser “ruins”, mas o perfil comportamental como um todo é. Nosso analista do STAR cria uma regra que determina que, diante dessa sequência de comportamentos com executáveis com certas características de Insight Reputation, devemos interromper o processo de execução e reverter as alterações. O SONAR consegue implementar uma área restrita virtual em torno do aplicativo infectado, porém legítimo. Dessa forma, é possível evitar que o aplicativo infectado execute ações maliciosas que podem prejudicar o computador do usuário. Esse é um paradigma novo em termos de proteção e segurança de endpoint, pois aproveita as funções e os comportamentos do aplicativo, e não sua aparência.

Correção de automação de arquivos maliciosos com área restrita

Mecanismo de proteção comportamental em tempo real monitora e restringe os aplicativos, processos e eventos à medida que ocorrem, e não estaticamente. As alterações do sistema podem ser revertidas para evitar o impacto da atividade maliciosa no sistema.

Monitoramento de aplicativos e processos em tempo real


O SONAR monitora e protege de mais de 1.400 aspectos de todos os aplicativos em execução, DLLs e processos, o que garante proteção em tempo real contra as ameaças enquanto são executadas.

STAR Intelligence Communication Bus

A tecnologia SONAR não funciona sozinha. Esse mecanismo compartilha informações com nossas outras tecnologias de proteção por meio do protocolo STAR Intelligence Communication (STAR ICB). O mecanismo SONAR comunica-se com o mecanismo Network IPS, antivírus e Insight Reputation, o que possibilita uma proteção mais informada e mais precisa do que a oferecida por qualquer outra empresa de segurança.   

Proteção baseada em reputação

A mais recente inclusão no conjunto de tecnologias de proteção desenvolvidas pelo STAR, segurança baseada em reputação, soluciona o último desenvolvimento no cenário de ameaças, o malware microdistribuído. Usando os conhecimentos combinados de mais de 130 milhões de colaboradores, nosso sistema de reputação aprende quais aplicativos são válidos e inválidos de acordo com os padrões de adoção anônimos de nossos usuários. Em seguida, ele utiliza essa inteligência para classificar automaticamente quase todo arquivo de software existente. Esses dados de reputação são utilizados por todos os produtos da Symantec para bloquear automaticamente malware novo e, por outro lado, identificar e aceitar novos aplicativos legítimos.

O problema: o cenário mutante das ameaças atuais

Nos anos anteriores, um número relativamente pequeno de ameaças foi distribuído para milhões de máquinas. Cada uma podia ser facilmente interceptada com uma única assinatura de antivírus implementada em cada sistema protegido. Ao perceberem isso, os autores de malware mudaram as táticas e passaram a utilizar várias técnicas de ofuscação para alterar rapidamente a aparência das ameaças produzidas. Os invasores comumente geram uma nova variação de ameaça em tempo real para cada vítima, ou várias vítimas, o que resulta em centenas de milhões de novas variações por ano.

Essas ameaças são então distribuídas por meio de ataques de engenharia social da Web nos computadores de destino. Nossos dados demonstram que a maioria das ameaças atuais terminam em menos de 20 máquinas no mundo inteiro, praticamente impossibilitando as empresas de segurança aprenderem sobre a maioria dessas ameaças, capturarem uma amostra, analisarem e desenvolverem uma assinatura reativa tradicional. Com mais de 600.000 novas variações criadas diariamente (a Symantec recebeu 240 milhões hashes de ameaças exclusivas no último ano de máquinas de clientes protegidas), é inviável criar, testar e distribuir o volume de assinaturas tradicionais necessárias para solucionar o problema.

A solução: Proteção baseada em reputação

O espaço de ocupação tradicional de um vírus requer que o fornecedor de segurança obtenha uma amostragem de cada ameaça para que possa fornecer a proteção. A segurança baseada em reputação da Symantec adota uma abordagem totalmente diferente. Ela não enfoca apenas arquivos inválidos; ela tenta classificar com precisão todos os arquivos de software, válidos e inválidos, com base em incontáveis "pings" de telemetria anônimos enviados à Symantec a cada segundo, todos os dias, no mundo inteiro. Esses pings quase em tempo real informam a Symantec sobre:

  • Os aplicativos que estão sendo desenvolvidos nas máquinas de nossos clientes (cada aplicativo é identificado com exclusividade por seu hash SHA2).
  • A origem dos aplicativos na Web.
  • Se os aplicativos são assinados digitalmente ou não.
  • A idade dos aplicativos.
  • Inúmeros outros atributos.

Adicionamos dados de nossa Global Intelligence Network, nossa organização Security Response e fornecedores de software legítimo que fornecem instâncias de aplicativo à Symantec.

Esses dados são incorporados em um modelo em larga escala, semelhante à rede social Facebook, e são compostos de links entre aplicativos e usuários anônimos, e não apenas conexões entre usuários. Dessa forma, as relações entre todos esses arquivos e nossos milhões de usuários anônimos são codificadas. Em seguida, analisamos essa rede usuários e aplicativos a fim de derivar classificações de segurança sobre cada aplicativo e poder identificá-los como válidos, inválidos ou intermedíários. No momento, esse sistema rastreia mais de 1,98 bilhões de arquivos válidos e inválidos e descobre novos arquivos, em uma taxa de até 20 milhões por semana.

Recursos

Os produtos de cliente, servidor e gateway da Symantec usam dados de reputação para ajudar a melhorar sua proteção de quatro maneiras:

Proteção superior

O sistema de reputação computa classificações de reputação altamente precisas sobre cada arquivo, válido e inválido. Esse procedimento é eficaz com malwares conhecidos e também pode identificar as ameaças mais ocultas, inclusive as que afetam apenas alguns usuários em toda a Internet. Isso aumenta as taxas de detecção em todas as categorias de malware.

O aspecto mais visível da maior proteção fornecida por reputação é o do recurso Download Insight (DI) dos produtos Norton e do recurso Download Advisor (DA) do Symantec Endpoint Protection. O DI/DA intercepta todo arquivo executável novo no momento do download da Internet. Depois consulta a nuvem de reputação da Symantec em busca de uma classificação. Com base nas classificações recebidas da nuvem, o DI/DA assume uma destas três ações:

  • Se o arquivo desenvolveu uma má reputação, ele é imediatamente bloqueado.
  • Se o arquivo desenvolveu uma boa reputação, ele pode ser executado.
  • Se o arquivo ainda está desenvolvendo sua reputação e seu nível de segurança é desconhecido, o usuário é avisado de que o arquivo não está comprovado. O usuário pode decidir, de acordo com sua tolerância ao risco, se quer usar o arquivo ou não. Alternativamente, em implementações corporativas, o administrador pode especificar diferentes limites de bloqueio/permissão para diferentes departamentos segundo a tolerância ao risco específica de cada departamento.

Evita falsos positivos

Dois aspectos distintos da tecnologia contribuem para diminuir as taxas de falsos positivos já baixas em software legítimo:

Primeiramente, porque a tecnologia baseada em reputação deriva suas classificações de arquivo com base no gráfico de adoção social, e não do conteúdo de cada arquivo (como a tecnologia de verificação de antivírus tradicional), oferece uma segunda opinião para aumentar nossas tecnologias de detecção tradicionais, como heurísticas de antivírus ou bloqueio de comportamento. Se ambas as opiniões indicarem que um arquivo é "malicioso", a probabilidade de um julgamento errado se torna infinitesimalmente pequena.

E também, porque o sistema mantém informações de prioridade sobre todo conteúdo executável, essas informações também podem ser incluídas na decisão de condenar ou não. Por exemplo, uma condenação ambígua de um arquivo que está em apenas dois sistemas do mundo inteiro seria menos danosa do que a condenação de um arquivo que está em milhões de máquinas. Considerar essa informação possibilita a tomada de decisões mais bem informadas para proteger melhor nossos usuários.

Desempenho aprimorado

Uma máquina de usuário comum tem milhares de arquivos que nunca mudam e, com pouquíssimas exceções, todos eles são válidos. Contudo, como os antivírus tradicionais priorizam a busca por arquivos inválidos de acordo com uma lista de ameaças conhecidas, eles têm que verificar todos os arquivos no sistema do usuário para compará-los com a lista de ameaças conhecidas. À medida que novas ameaças são descobertas, cada arquivo no sistema do usuário deve ser novamente verificado com novas assinaturas para saber se o arquivo corresponde a alguma das ameaças recém-descobertas.

Esse processo se torna muito ineficiente quando você considera que os fornecedores de segurança publicam milhares de novas assinaturas de vírus todos os dias. A segurança baseada em reputação, no entanto, tem classificações de segurança precisas para todos os arquivos, válidos e inválidos. Dessa forma, os produtos com tecnologia de reputação podem verificar o sistema do usuário e marcar os arquivos válidos definitivamente como válidos e separá-los para que não sejam verificados novamente, a menos que haja alteração de conteúdo. Isso causa um impacto significativo no desempenho, e reduz a necessidade de recursos de uma verificação tradicional e proteção em tempo real em até 90%, o que representa uma melhor experiência para o usuário.

Bloqueio baseado em políticas

As soluções de segurança tradicionais têm priorizado o bloqueio de malware de forma binária; tudo que for identificado como inválido será removido da máquina do usuário e o restante permanecerá (independentemente de ser válido ou não). Muitas oportunidades no mundo real em que o malware pode ganhar espaço no sistema do usuário permanecem sem tratamento. Considere um malware recém-criado por um criminoso cibernético. Muito provavelmente as assinaturas de antivírus existentes não detectarão essa ameaça, porque o fornecedor nunca teve a oportunidade de analisá-la. A não ser que a nova ameaça explore uma vulnerabilidade conhecida ou exiba um padrão pré-determinado de comportamentos suspeitos, as técnicas de segurança existentes continuarão sem detectá-la. A segurança baseada em reputação ajuda os usuários e os administradores de TI a lidar com a situação, pois eles podem tomar decisões mais embasadas sobre o conteúdo executável que aceitam em suas máquinas.

Além de gerenciar informações a respeito de um arquivo ser válido ou inválido, o sistema baseado em reputação da Symantec mantém atributos adicionais, como a prioridade e a idade de cada arquivo. Esses atributos podem ser usados para implementar políticas em nossos futuros produtos empresariais, de modo que os administradores possam controlar o que pode ser instalado no sistema do usuário. Por exemplo, no caso de uma nova ameaça, ainda que ela não esteja sinalizada como maliciosa, ela será recente e os usuários e os administradores de TI poderão usar informações sobre reputação para implementar políticas sobre o que aceitam em suas máquinas. Por exemplo, o administrador de TI pode determinar que os funcionários do departamento financeiro farão o download somente dos aplicativos que têm pelo menos 1000 usuários certificados e duas semanas de disponibilidade na Internet; ao passo que o setor de TI pode ter permissão para fazer o download de arquivos de qualquer idade que tenham pelo menos outros 100 usuários e uma reputação moderada. Essas políticas permitem que os administradores adaptem sua proteção segundo a tolerância específica de cada departamento ao risco. Nossos estudos indicam que essa é uma maneira muito eficaz de reduzir a exposição a riscos de novos malwares em uma empresa.

Correção

Embora nosso objetivo nunca seja permitir a entrada de ameaças em uma máquina, no mundo real ainda há situações em que o sistema do usuário pode se infectar. Essas circunstâncias provavelmente incluem:

  • Usuários que não tinham produto de segurança instalado.
  • Usuários cuja assinatura de produto expirou.
  • Usuários atacados por uma nova ameaça de dia zero.

As tecnologias de correção da Symantec enfrentam essas situações com os recursos de limpeza de máquinas já infectadas. O principal conjunto dessas tecnologias está embutido em todos os nossos produtos de segurança antimalware.

Mais recentemente, disponibilizamos um conjunto de ferramentas independentes para ajudar a corrigir infecções mais agressivas. Essas ferramentas incluem Norton Power Eraser e Symantec Power Eraser (incluídas no Symantec Endpoint Protection Support Tool). Os recursos dessas ferramentas de correção incluem:

Um mecanismo ágil e facilmente atualizado

Já que o espaço da ameaça sempre muda para burlar os conjuntos de segurança, essas ferramentas podem ser facilmente atualizadas para reagir às novas ameaças de dia zero.

Enfrentando as infecções por inteiro

Dos descarregadores às atividades e aos rootkits que os ocultam, as infecções atuais são complexas e utilizam vários componentes para gerar um resultado lucrativo para os hackers. O mecanismo do Power Eraser procura detectar e remover esses riscos por meio da verificação de padrões comportamentais, e não apenas da própria ameaça, mas também do descarregador que introduziu a ameaça no sistema.

Técnicas de detecção agressivas

O mecanismo do Power Eraser utiliza vários mecanismos de heurística novos e pontos de análise de dados a fim de detectar uma grande variedade de ameaças. Estão incluídos heurística de compactador, análise de ponto de carga, heurística de rootkit, análise comportamental, análise de distribuição e monitores de configurações do sistema.