Em algum momento, quando criança, um dos seus pais provavelmente lhe disse: “as ações falam mais alto do que as palavras.” É uma boa lição de vida – e isso pode ser bastante verdadeiro quando se luta contra malware.
Os cibercriminosos tornaram-se extremamente habilidosos para disfarçar a verdadeira natureza dos ataques de malware. Por isso, a melhor maneira de proteger seus usuários é empregar uma abordagem em camadas que inclua análises pré e pós-execução. Pode-se aprender muito avaliando o que um arquivo desconhecido “diz” que é. Mas às vezes, a única maneira de parar o malware avançado é observar o que ele faz uma vez que cruza a porta de entrada.
Para entender como as ferramentas anti-malware pré e pós-execução funcionam juntas, imagine que você está gerenciando um pequeno mercado e tem um problema com ladrões. Os ladrões se parecem com outros clientes. Como você julga os bons compradores e os maus? As organizações são encarregadas de resolver problema semelhante na proteção contra malware disfarçado para parecer um tráfego inofensivo.
O antivírus baseado em assinatura desempenha um papel precoce, filtrando um grande número de ataques conhecidos. Passando à analogia do mercado, isso é como recusar a entrada a todos os compradores que foram capturados antes, que têm sua foto pendurada na parede do escritório do gerente. É uma medida de segurança importante, mas não vai parar os ladrões que você nunca viu antes ou aqueles disfarçados que não parecem mais iguais.
No próximo nível, a varredura aplica técnicas sofisticadas de análise estatística e de aprendizado de máquina a arquivos desconhecidos. Essas varreduras comparam atributos de código estático (linguagem de código-fonte ou compilação usada, DLLs vinculadas e outros recursos estáticos) contra ameaças conhecidas, sem assinaturas. Voltando à nossa analogia, isso é comparável ao, por exemplo, ao software de reconhecimento facial que captura alguém que entra na loja com um registro criminal de roubo, mesmo que nunca estivesse lá antes.
A varredura estática capta uma grande quantidade de malware, mesmo que esteja bem disfarçada. Mas, como sabemos, os cibercriminosos não desistem apenas quando emergem novas defesas. Eles desenvolvem novas técnicas (como embalagem, polimorfismo e metamorfismo) para passar por eles. (Na nossa analogia, estes seriam os ladrões de lojas mais experientes que, por exemplo, se vestiriam como vendedores ou pediriam para alguém com ficha limpa roubar para eles.) Para parar ameaças como essas, é preciso se aprofundar: Observando o que o arquivo desconhecido ou “greyware” realmente faz.
A verificação pós-execução detecta qualquer comportamento potencialmente mal-intencionado, como violações de acesso, varredura de memória, sinais de persistência, ataques de proxy em aplicativos legítimos. Seguindo a analogia, as ferramentas de pós-execução são o equivalente a ter uma equipe de vigilância assistindo cada centímetro das instalações e aparecendo no momento em que alguém tenta roubar ou demonstra um nível suficiente de comportamento suspeito para chamar a atenção da segurança da loja. Você não está necessariamente impedindo todos os ladrões de entrar na loja, mas você está garantindo que eles não podem causar muito dano uma vez dentro.
A verificação pré-execução pode impedir que a maioria dos malwares seja executada nos endpoints, mas pode perder alguns ataques avançados. As ferramentas de pós-execução param o comportamento mal-intencionado antes de causar danos significativos, mas o arquivo executa no sistema antes de agir.
Nenhum método, por si só, vai parar todo ataque ou desvendar toda técnica de disfarce. Mas trabalhando juntos como parte de uma estratégia de defesa de várias camadas, eles oferecem proteção poderosa contra as ameaças mais sofisticadas. A prevenção de ameaças não é mais sobre a publicação de fotos e a esperança de alguém detectar um ladrão, trata-se de garantir que as ferramentas para detectar os novos criminosos que você ainda precisa identificar estejam funcionando corretamente.
*Raja Patel é vice-presidente e gerente geral de produtos de segurança corporativa da McAfee
