CyberCapture: Ochrana proti „zero-second“ útokům [infografika]

Ondřej Vlček 23 Čer 2016

Avast Antivirus Nitro Update představuje novou technologii CyberCapture, která identifikuje a reaguje na zcela nové hrozby v době jejich prvního výskytu.

Před dvěma dny jsme představili novou verzi našeho vlajkového antivirového produktu pro Windows PC, kterou označujeme jako Avast Antivirus Nitro Update. Název Nitro koreluje s inovací a novými způsoby, jak celkově zvýšit výkon a ochranu počítače. Jedním z těchto nových způsobů, jakým zvyšujeme úroveň ochrany, je naše nová technologie CyberCapture. Pokud jde o ochranu před tzv. zero-second útoky, CyberCapture dramaticky zvyšuje laťku.

IMAGE_nitro_cyber_capture_infographics_600x500px-1.jpg

CyberCapture zkoumá i ty nejmenší části souboru, než rozhodne o jeho bezpečnosti

Jak tato technologie funguje?

Prostředí internetových hrozeb se v posledních letech výrazně vyvinulo a malware se stal pro kyber-útočníky výnosným byznysem. Hrozby jsou stále více sofistikované a životní cyklus malware se díky polymorfním virům a cíleným útokům drasticky změnil. Polymorfní viry fungují tak, že každý uživatel obdrží jiný vzorek viru než ti ostatní. Tím se dostáváme k „zero-second“ útokům, kterým je těžké pomocí tradičních ochraných metod zabránit. Vzhledem k tomu, že se vzorky neustále přeměňují, jejich životní cyklus se radikálně zkracuje, a to útočníkům umožňuje se zaměřit na velké a rychlé kampaně, které si kladou za cíl v co nejkratším časovém úseku zasáhnout co největší množství obětí. Technologie CyberCapture tyto dosud neznámé soubory detekuje v reálném čase a tím vás chrání před „zero-second“ útoky.

Stručně řečeno, CyberCapture je chytrý skener souborů na bázi cloudu. Raději než se spoléhat na poslední aktualizace virové databáze, CyberCapture izoluje podezřelé soubory v bezpečném prostředí a automaticky pro okamžitou analýzu navazuje obousměrnou komunikaci s virovou laboratoří Avastu. To nám umožňuje odstranit veškeré falešné kódy, vše co směřuje tam, kam nemá, a jiné techniky, které tvůrci malware využívají k maskování jejich skutečných záměrů. Odloupnutím vrstev škodlivých kódů v čistém prostředí našeho cloudu je CyberCapture schopen rozebrat soubor na ty nejmenší části a sledovat jednotlivé příkazy uvnitř malware a plně porozumět pokynům, které jsou skryté uvnitř.

Technologie CyberCapture se vyvinula z naší technologie DeepScreen, která analyzuje neznámé soubory lokálně ve virtuálním prostředí zvaném sandbox. DeepScreen však má dva nedostatky. Zaprvé se spoléhá na tzv. NG virtualizaci, která není kompatibilní se všemi systémy (vyžaduje povolení jistého nastavení v systému BIOS atd.), a zadruhé povoluje podezřelým souborům běžet v sandboxu pouze po krátkou dobu (obvykle 10–15 sekund) a snižuje tak přesnost rozhodovacího algoritmu. Tím, že jsme přesunuli technologii do cloudu a využili veškerý čas potřebný k analyzování souboru, nyní přidáváme další vrstvu ochrany, která bude pro útočníky mimořádně náročná na zdolání.

Při vývoji technologie CyberCapture jsme se snažili zkrátit na minimum čas mezi objevením malwaru a vytvořením detekce. Přesunuli jsme technologii do cloudu, abychom mohli analyzovat vzorky v řízeném prostředí. To, že naše výkonné motory určené k detekci běží na našem backendu, znamená, že kyber-útočníci se musí nejprve poslat soubor do našeho cloudu, aby otestovali schopnosti našich produktů, a to nejen že dělá jejich život těžší, ale nám to zároveň umožňuje je vidět.

Obvykle automatická analýza potřebuje až dvě hodiny, aby rozhodla o tom, zda je soubor bezpečný či nikoliv. V některých případech naše motory nebudou moci rozhodnutí provést, a právě v ten moment do procesu zasáhnou naši zkušení analytici, kteří soubor zanalyzují manuálně. Během této doby bude soubor stále v „zajetí“ (odtud název capture), a tudíž nebude moct způsobit žádnou škodu. Jakmile bude analýza dokončena, uživatel bude informován o výsledku a soubor bude buď umístěn do karantény, nebo uvolněn ze „zajetí“ a nechán běžet.

CyberCapture je zcela nový systém, a tak chvíli potrvá, než se naplno zaběhne a bude plně doladěn. Vzhledem k povaze svého fungování CyberCapture průběžně shromažďuje inteligenci
o nových virech. To znamená, že se díky využívání bude i nadále organicky zlepšovat, a tak bude
i vykazovat lepší výkon.

V Avastu jsme z nové technologie všichni nadšeni a věříme v její velký potenciál. Náš tým pracuje velmi tvrdě na tom, aby naše uživatele držel po celém světě před internetovými hrozbami v bezpečí a CyberCapture je tohoto úsilí důležitou součástí.

Následující infografika názorně vysvětluje postup, jak CyberCapture neznámé soubory analyzuje:

nitro_cyber_capture_infographics_CZ.png

--> -->