CyberCapture: Schutz vor „Zero-Second”-Attacken - Gerade haben wir eine neue Version unserer Antiviren-Software für PCs vorgestellt, das Avast Antivirus Nitro Update.
Gerade haben wir eine neue Version unserer Antiviren-Software für PCs vorgestellt, das Avast Antivirus Nitro Update. Den Namen Nitro haben wir bewusst gewählt, weil die zahlreichen Innovationen die Software noch schneller und sicherer machen. Ein Beispiel für das Mehr an Schutz ist die neue, spannende und von uns selbst entwickelte Technologie CyberCapture. Diese verstärkt den Schutz vor „Zero-Second”-Attacken noch weiter.
CyberCapture analysiert die kleinsten Bits einer Datei
Und so funktioniert CyberCapture:
Sicherheitsbedrohungen haben sich in den vergangenen Jahren massiv weiterentwickelt und Schadprogramme sind zu einem lukrativen Geschäft für Cyber-Kriminelle geworden. Bedrohungen werden immer komplexer und die Lebensdauer von Schadprogrammen hat sich mit der Zunahme von polymorphen Viren und gezielten Attacken wesentlich verlängert. Polymorphe Viren modifizieren sich selbst, das heißt, sobald eine bestimmte Malware einen Nutzer attackiert hat, verändert sie sich, bevor sie den nächsten Anwender angreift. So entstehen „Zero-Second“-Attacken, denen man mit den traditionellen Schutzmechanismen schwer vorbeugen kann. Da sich die Schadprogramme ständig verändern, verkürzt sich deren Lebensdauer derartig, dass Cyber-Kriminelle mit großangelegten, schnell ausgeführten Kampagnen eine größtmögliche Opferzahl in kürzester Zeit erreichen. CyberCapture erkennt modifizierte, bislang unbekannte Dateien in Echtzeit und schützt Sie so vor „Zero-Second“-Attacken.
Zusammengefasst ist CyberCapture ein cloudbasierter, intelligenter Dateiscanner. Statt sich auf die aktuellen Updates der Virendefinitionen zu verlassen, betrachtet CyberCapture verdächtige Dateien in einer sicheren Umgebung und startet automatisch einen wechselseitigen Kommunikationskanal mit dem Virenlabor von Avast, wo die Bedrohungen sofort analysiert werden. Auf diese Weise können wir falschen Code, Fehlleitungen und andere Tricks der Malware-Programmierer eliminieren, welche diese nutzen, um die wahre Funktionalität des Schadprogramms zu vertuschen. Der verschleierte Code wird im Schutz der Cloud Stück für Stück untersucht, bis CyperCapture die Datei vollständig analysiert, das binäre Muster, das hinter dem Schadprogramm steckt, erkannt und die versteckten Befehle entschlüsselt hat.
CyberCapture basiert auf unserer DeepScreen-Technologie, die unbekannte Dateien lokal in einer virtualisierten „Sandbox“-Umgebung analysierte. DeepScreen hatte aber zwei große Nachteile. Zum einen war die neuartige Virtualisierungsfunktion nicht mit allen Systemen kompatibel (im BIOS mussten bestimmte Einstellungen aktiviert sein etc.). Zum anderen konnte die verdächtige Datei nur für sehr kurze Zeit in der „Sandbox“ untersucht werden (etwa 10-15 Sekunden), sodass die Entscheidungsgrundlage nicht sehr präzise war. Indem wir die Technologie in die Cloud verlegen und uns die notwenige Zeit nehmen, eine Datei vollständig zu analysieren, erhöhen wir den Schutz noch einmal maßgeblich, damit er für Hacker nur sehr schwer zu durchbrechen ist.
Während der Entwicklung von CyberCapture haben wir uns besonders darauf konzentriert, die Zeitspanne zwischen der Entdeckung eines Schadprogrammes und der Implementierung eines Schutzes zu verkürzen. Wir haben uns für die Cloud entschieden, damit wir alle Maßnahmen zur Analyse der Malware-Arten in einer kontrollierten Umgebung umsetzen können. Da unsere umfassenden Erkennungslösungen im Backend laufen, müssen sich Cyber-Kriminelle in unsere Cloud wagen, um unsere Produkte zu testen. Das macht ihnen nicht nur das Leben schwer – wir können sie dann auch besser beobachten.
Im Normalfall dauert die automatisierte Analyse zwei Stunden, um eine fundierte Entscheidung über eine Datei zu treffen. In manchen Fällen ist eine automatische Entscheidungsfindung nicht möglich. Dann analysieren unsere erfahrenen Experten die Datei manuell. Währenddessen isoliert CyberCapture die Datei, damit sie keinen Schaden anrichten kann. Sobald die Analyse beendet ist, wird der Anwender über das Ergebnis informiert. Die Datei kommt danach entweder in Quarantäne, oder kann wieder normal genutzt werden.
CyberCapture ist ein neues System. Es wird deshalb noch etwas Zeit brauchen, bis der Feinschliff abgeschlossen ist und es alle seine Vorteile voll ausspielen kann. CyberCapture sammelt im Funktionsablauf kontinuierlich Informationen zu neuen Viren. So wird die Technologie während des Betriebs ständig verbessert und die Leistung kontinuierlich erhöht. Wir bei Avast sind begeistert von der Technologie und von ihrem Potential überzeugt. Das Team hat sehr hart daran gearbeitet, unsere Anwender auf der ganzen Welt zu schützen. CyberCapture wird dafür ein zentrales Tool sein.