На этой неделе вышла новая версия антивирусных продуктов для защиты компьютеров – Avast Antivirus Nitro Update. Имя новой версии выбрано неслучайно. Nitro отражает стремление разработчиков усовершенствовать защиту и повысить скорость работы, применяя для этого самые передовые инновационные технологии. Об одной из них мы сегодня поговорим. Это эффективная технология обнаружения и анализа вредоносного ПО нашей собственной разработки под названием CyberCapture. Мы с уверенностью заявляем, что CyberCapture поднимет планку в области эффективности антивирусной защиты в режиме реального времени.

В данной статье мы подробно расскажем как работает наша новая технология, а с помощью инфографики ниже у вас появится возможность увидеть путь, который проделывает неопознанный файл перед при обнаружении. 

Современные киберугрозы переживают не только количественный, но и качественный скачок в своем развитии, а индустрия киберпреступности превратилась из увлекательного хобби хакеров в весьма доходный бизнес. Киберугрозы становятся все более сложными, а средний срок жизни вредоносной программы значительно сократился, порой не превышая и нескольких часов. Многие разработчики вирусов применяют технологии серверного полиморфизма и использования целевых вирусных атак. Данная технология заключается в автоматическом видоизменении вредоносного кода после успешной атаки на первого пользователя перед тем, как напасть напасть на следующую цель. Вирус постоянно меняется. В результате чего достигается максимальный эффект атаки в режиме реального времени, обнаружение и эффективное противодействие которой практически невозможны с позиций традиционных методов антивирусной защиты. Ввиду того, что вредоносный код обрел способность самостоятельно видоизменяться, продолжительность его жизни существенно сократилась, что позволяет злоумышленникам фокусироваться на крупномасшабных и быстрых атаках, нацеленных на максимальное количество пользователей в максимально сжатые сроки. CyberCapture эффективно обнаруживает полиморфные и еще неизвестные вирусы, обеспечивая надежную защиту пользователя в режиме реального времени.

CyberCapture представляет собой интеллектуальный файловый сканер, в основе которого лежат облачные технологии. В целях повышения эффективности нашего антивируса мы приняли решение не полагаться полностью на обновления вирусной базы данных, а добавили инновационный компонент защиты CyberCapture, который изолирует неизвестные и потенциально небезопасные файлы в защищенной среде и автоматически передает их на анализ вирусным аналитикам лаборатории онлайн-угроз компании Avast. Это позволяет нам идентифицировать ложные участки кода, перенаправления и другие уловки, с помощью которых разработчики пытаются замаскировать истинные намерения вредоносных программ. Преодолевая многоуровневую структуру обфусцированного кода, CyberCapture способен проанализировать команды на бинарном уровне внутри самой вредоносной программы и лучше понять скрытые в ней команды.

Технология CyberCapture была разработана на базе технологии DeepScreen, которая анализировала неизвестные файлы в специальном виртуальном пространстве, изолированном от основной системы компьютера – виртуальной песочнице. У технологии DeepScreen было два основных недостатка. Во-первых, технология была основана на компоненте NG, отвечающим за аппаратную виртуализацию, который не был совместим со всеми системами (требовалась активация специальных настроек в BIOS). И, во-вторых, технология позволяла запускать подозрительный файл в виртуальной песочнице в течение короткого промежутка времени (не более 10-15 секунд), ограничивая эффективность работы механизма обнаружения. Переместив технологию в облачное пространство, и уделяя подробному анализу подозрительного файла требуемое для этого время, мы исправляем недостатки технологии, качественно совершенствуя защитные функции нашего решения и делая его еще более эффективным.

При разработке функции CyberCapture основной упор был сделан на максимальное сокращение времени между обнаружением вредоносного кода, идентификацией угрозы и внесением сигнатуры в вирусную базу данных. Мы перенесли технологию в облако, что позволяет нам исследовать образцы вредоносного кода с применением всего арсенала алгоритмов обнаружения, находящегося у нас на вооружении в полностью подконтрольном нам виртуальном пространстве. Более того, перенос алгоритмов анализа вредоносного кода в облачное пространство практически исключает возможность компрометации нашего антивируса, так как теперь для отключения механизмов защиты Avast злоумышленникам придется вступить во взаимодействие с нашим облаком, что практически невозможно технически, а, главное, это грозит хакерам неизбежным разоблачением.

Как правило, автоматизированный анализ подозрительного файла на предмет его безвредности не занимает и двух часов. Иногда по его итогам вынести окончательный вердикт затруднительно. В таких случаях в дело вступают профессионалы – аналитики лаборатории онлайн-угроз Avast, которые вручную проанализируют файл и вынесут окончательное решение. Во время анализа файл находится в «карантине» и не может нанести ущерб системе компьютера. После завершения анализа программа мгновенно уведомит пользователя о результатах – файл либо остается в карантине, либо признается безвредным.

CyberCapture представляет собой совершенно новый алгоритм, поэтому потребуется время для оптимизации настроек и достижения максимального уровня эффективности его работы. Благодаря тому, что в основе механизма лежат технологии искусственного интеллекта, CyberCapture непрерывно пополняется новыми образцами самых новейших вирусов и иного вредоносного ПО. Это означает, что данный механизм будет постоянно самосовершенствоваться, увеличивать производительность и эффективность обнаружения.

Мы – сотрудники компании Avast – верим в большой потенциал нашей новой технологии. Наши разработчики и вирусные аналитики приложили максимум усилий для усовершенствования технологии защиты, которой доверяют сотни миллионов пользователей по всему миру, а CyberCapture должен стать одним из ключевых шагов на пути к эффективной антивирусной защите нового поколения.