Ondrej Vlcek, CTO e Vice-presidente Executivo da Avast, explica os métodos avançados de detecção de malware da CyberCapture usados em todos os produtos Avast.
Há alguns meses, explicamos a você sobre a nossa tecnologia exclusiva CyberCapture. A CyberCapture é um componente vital do Avast Antivírus Nitro Update e fornece aos usuários uma melhor e mais rápida proteção contra ataques zero-segundo. No artigo de hoje, eu queria ir mais a fundo na tecnologia da CyberCapture e explicar quais os seus componentes.
Essencialmente, a CyberCapture é um processo de escaneamento inteligente de arquivos baseado nas nuvens. Para conseguir uma análise instantânea, a CyberCapture estabelece automaticamente um canal de comunicação nos dois sentidos entre o Laboratório de Ameaças da Avast ao mesmo tempo que protege os computadores de arquivos suspeitos até que a análise termine. Assim que o arquivo é isolado, a nossa equipe pode passar através das barreiras de código falso, redirecionamentos, ofuscação e outras técnicas que os criadores de malwares usam para ocultar as suas verdadeiras intenções. Dessa forma, a CyberCapture consegue dissecar o arquivo malicioso, observar as instruções binárias dentro do malware e entender os verdadeiros objetivos ocultos dentro dele.
O que acontece por baixo do pano com a proteção contra ataques zero segundo?
Ao analisar arquivos potencialmente maliciosos, limpamos as camadas de código e observamos as instruções binárias dentro do objeto. Utilizamos várias tecnologias de análise, incluindo verificações de comportamento e similaridade.
Fazemos essas verificações de similaridade ao executar o arquivo em um ambiente virtual e monitorando os vários componentes como, por exemplo, os acessos ao registro, as operações com arquivos e na memória. Um exemplo de padrão de comportamento que detectamos é escrever no registro para obter persistência e salvar arquivos em C:\Windows, que nos permite acompanhar os arquivos baixados e a criação de blocos de memória. Antes, essas detecções eram preferencialmente executadas no módulo DeepScreen do programa Avast. No entanto, essa solução nem sempre dava os melhores resultados, principalmente porque não conseguíamos criar a camada de virtualização necessária para que a DeepScreen funcionasse independentemente das configurações do sistema, além de que o tempo necessário para que as amostras coletadas pela DeepScreen mostrassem as suas verdadeiras intenções não era suficiente.
Como a CyberCapture identifica os arquivos maliciosos?
Há vários anos, a nossa equipe técnica desenvolveu uma tecnologia que chamamos MDE. Em suma, a MDE consiste em um enorme banco de dados que funciona sobre todos os dados que temos indexados e permite que executemos rapidamente as verificações de similaridade. As funções da MDE nos ajudam a calcular a similaridade entre dois arquivos e foram otimizadas para identificar malwares. Com a nova versão da CyberCapture, nós continuamos a nos apoiar na inteligência por trás da MDE. Mais do que isso, lançamos recentemente uma segunda versão da MDE, que contém mais funções e melhora a sua pontaria. O fato de que as verificações de similaridade da CyberCapture sejam agora executadas na nuvem permite que acessem a versão mais recente do banco de dados, o que é algo muito importante.
A segunda tecnologia que ajuda a CyberCapture obter um elevado grau de proteção contra arquivos maliciosos mais recentes é a Evo-Gen. No centro dessa tecnologia está um algoritmo genético desenvolvido pelos Laboratórios de Vírus da Avast que localizam com eficiência grandes quantidades de malwares, atribuindo descrições curtas e genéricas a cada um. A Evo-Gen é uma ferramenta vital quando temos de analisar milhões (e algumas vezes até dezenas de milhões) de arquivos ao mesmo tempo: usando o algoritmo, podemos descobrir arquivos maliciosos que estão distribuídos aleatoriamente em diversos conjuntos de vírus. A Evo-Gen também evoluiu com significativas melhorias que lhe acrescentamos ao incluí-la no projeto CyberCapture.
A análise comportamental dos arquivos é executada em ambientes virtuais da nossa exclusiva tecnologia "NG", lançada com o Avast 2014. A NG foi um importante projeto da Avast, não porque nos tenha trazido as melhores taxas de detecção por si própria, mas porque nos permitiu focar ainda mais no estudo do comportamento dos malwares e gradativamente criar um rico banco de dados no qual a CyberCapture pode ser construída. A vantagem de executar as amostras da CyberCapture em um ambiente controlado e "limpo" por um maior período de tempo é impressionante: é algo realmente muito difícil que os cibercriminosos possam vencer.
Por fim, as assinaturas genéricas de vírus continuam com o seu papel dentro da nossa estratégia de detecção de malwares. Elas fornecem proteção offline e reduzem consideravelmente a sobrecarga dos nossos sistemas na nuvem (entenda-se "listas brancas"). As assinaturas também dão suporte a nossa análise de comportamento, escaneamento da memória e extração de metadados (veja mais sobre isso abaixo). Finalmente, elas têm um valor incalculável em certas regiões onde o acesso à internet de banda larga é reduzido, naquelas onde os programas são mais distribuídos através de mídias removíveis e as conexões com a internet não são sempre confiáveis.
O que chama a atenção na nova versão MDE da CyberCapture
Além das melhorias na nossa tecnologia MDE, Evo-Gen e de análise de comportamento, nossa equipe implementou um novo sistema chamado Simzilla, que segue um caminho diferente para as verificações de similaridade. A Simzilla nos dá maneiras de calcular as diferenças entre arquivos parecidos e determinar se devem ser classificados como limpos ou maliciosos. Além de utilizar as verificações de similaridade, continuamos a comparar e verificar os resultados da análise de comportamento malicioso e de conteúdo.
Por fim, a nova versão da CyberCapture também vem com um novo sistema de classificação e agrupamento em tempo real, muito mais poderoso ao verificar parâmetros específicos. Este algoritmo também é uma verificação de similaridade, mas o que o torna único é que se baseia em um aprendizado automatizado. Comparando funções de vários sistemas, o algoritmo permite que coletemos informações úteis sobre o comportamento dos malwares e que possamos reagir mais rapidamente a novas famílias e subtipos. Isto é especialmente importante quando as amostras têm um tempo de vida útil muito pequeno.
O contínuo desenvolvimento da CyberCapture é uma importante inovação no campo da cibersegurança e estamos muito contentes de que esteja disponível a todos vocês. No próximo artigo, irei contar a vocês como a tecnologia AVG irá nos ajudar a tornar a CyberCapture e outras funções ainda mais poderosas.