Ondrej Vlcek

25 Junho 2016

CyberCapture: proteção contra os ataques zero-segundo

Go to comments Leave a comment

Esta semana nós lançamos uma nova versão do nosso principal produto antivírus para Windows, que foi chamada de Avast Antivírus Nitro Update. O nome da atualização é Nitro porque está repleta de inovação, novas formas de aumentar a velocidade e maior proteção. Uma das novas formas de aumentar a proteção é com uma nova e inteligente tecnologia exclusiva chamada CyberCapture. A CyberCapture aumenta significativamente o nível de proteção contra ataques desconhecidos, chamados zero-segundo.

IMAGE_nitro_cyber_capture_infographics_600x500px.jpgA CyberCapture procura os mais ocultos bits de um arquivo para determinar se é seguro

Deixe-me explicar como ela funciona e dê uma olhada no infográfico abaixo que mostra o caminho seguido por um arquivo desconhecido.

O panorama das ameaças digitais evoluiu significativamente nos últimos anos e os malwares se tornaram um lucrativo negócio para os cibercriminosos. As ameaças se tornam cada vez mais sofisticadas e o tempo de vida de um malware mudou drasticamente com a utilização de polimorfismos em servidores e ataques direcionados. Ocorre polimorfismo em servidores quando um malware ataca um usuário e depois o código se altera em um novo malware que ataca o próximo usuário, criando ataques desconhecidos, zero-segundo, que são muito difíceis de evitar utilizando os métodos tradicionais de proteção. Uma vez que estão constantemente sofrendo mutações, o seu tempo de vida é radicalmente reduzido, permitindo que os cibercriminosos façam grandes ataques muito rapidamente, atingindo um maior número de vítimas em um curto intervalo de tempo. A CyberCapture detecta arquivos mutantes ainda desconhecidos em tempo real e por isso protege você dos ataques zero-segundo.

Resumindo, a tecnologia CyberCapture funciona na nuvem com um escâner inteligente de arquivos. Mais do que se apoiar nas últimas atualizações de banco de dados de vírus, a CyberCapture isola os arquivos suspeitos em um ambiente seguro e estabelece automaticamente um canal de comunicação com o Laboratório de Ameaças Avast para uma análise imediata. Desta forma, podemos bloquear todos os falsos códigos, redirecionamentos e outras coisas que os desenvolvedores de malwares usam para mascarar as suas verdadeiras intenções. Limpando as camadas de código que escondem o malware dentro da nossa nuvem segura, a CyberCapture pode analisar completamente o arquivo e observar os comandos binários dentro do malware e captar totalmente as instruções que eles contêm.

A CyberCapture é a evolução da nossa tecnologia DeepScreen, que analisava arquivos desconhecidos no próprio computador do usuário, em um ambiente seguro virtualizado (“sandbox”). No entanto, a DeepScreen tinha dois problemas. Primeiro, ela se apoiava no componente de virtualização NG, que não era compatível com todos os sistemas (e requeria certas configurações na BIOS do computador, etc.). Em segundo lugar, ela permitia que arquivos suspeitos fossem executados em uma sandbox por um breve período de tempo (em geral, 10 a 15 segundos), reduzindo muito a precisão da decisão a ser tomada pelo algoritmo do antivírus. Levando a tecnologia para a nuvem, e analisando mais demoradamente o arquivo, acrescentamos agora uma camada adicional de proteção que tornará um ataque algo muito mais difícil de ser executado.

Ao desenvolver a CyberCapture, nós colocamos um grande esforço para diminuir o tempo entre a descoberta do malware e a distribuição de um antídoto de proteção. Movemos a tecnologia para a nuvem para que pudéssemos disparar todo o nosso armamento pesado contra os arquivos suspeitos em nosso ambiente controlado. Além disso, executar os poderosos mecanismos de detecção do nosso lado significa que os cibercriminosos têm de se submeter à nossa nuvem para testar a capacidade dos nossos produtos, o que não só dificulta a vida deles como também permite que acompanhemos os seus movimentos.

Em geral, a análise automática irá levar até duas horas para tomar uma decisão final sobre o arquivo. Em certos casos, não será possível que os nossos sensores automáticos tomem uma decisão, é então onde entram os nossos analistas mais experientes para um julgamento individual. Durante este processo, o arquivo ainda é mantido "preso" e não pode causar nenhum mal aos computadores. Uma vez que a análise terminar, o usuário é notificado sobre o resultado e o arquivo é finalmente enviado à Quarentena ou "solto" para que possa ser executado.

A CyberCapture é uma tecnologia nova e levará um pouco de tempo para estar completamente ajustada, dando o melhor resultado possível. Pela própria natureza das operações que realiza, a CyberCapture está continuamente colhendo informações sobre novos vírus. Isto significa que está continuamente se aprimorando e terá um desempenho cada vez melhor.

Aqui na Avast estamos orgulhosos desta nova tecnologia e acreditamos no seu potencial. A nossa equipe trabalha arduamente para manter os nossos usuários seguros em todo o mundo, e a CyberCapture é uma parte importantíssima deste esforço.

nitro_cyber_capture_infographics_PT_2.png

Threat Research