Febrero 6, 2014
AVZ: Análisis heurístico sin falsos positivos contra las amenazas futuras
¿Cómo podemos localizar y destruir TODOS los elementos maliciosos que se esconden en las entrañas de nuestro equipo?
Especialmente, esos programas malignos nunca antes detectados con un gran potencial dañino y que suelen estar patrocinados por estados y naciones. La respuesta es sencilla. No puedes.
Para encontrar un gato negro malicioso en una habitación a oscuras, se necesita un equipo de expertos que lo hagan manualmente. Y esto supone un gran coste. Pero, con un producto antivirus, simplemente se llega a saber que algo sofisticado está ocurriendo. Al menos, si se utilizan tecnologías antivirus antiguas basadas en firmas clásicas y análisis de archivos.
Entonces… ¿Cuál es la solución?
Una vez más, es muy simple: solo es necesario poner a trabajar a unos súper cerebros para automatizar las funciones de búsqueda y destrucción de las infecciones sofisticadas en el producto antivirus.
¿Cómo lo hacemos en Kaspersky Lab?
Hacemos que esos “súper cerebros” trabajen en un entono de protección que analiza las señales de las docenas de sensores de Kaspersky Lab ubicados en los equipos protegidos. Este análisis sistemático y omnisciente es mucho más efectivo que cualquier predicción basada en la cafeomancia. ¿No creéis que es mejor una protección proactiva que una simple conjetura?
Hablemos de los sensores… una característica común de todos ellos es que disponen del arma especial de Kaspersky Lab: el análisis heurístico.
Resulta que dicho análisis lleva presente en el campo de la virología informática alrededor de 25 años. Algunas compañías antivirus han eliminado o minimizado el uso de esta tecnología porque requiere un continuo desarrollo. Si todavía, no sabes en qué consiste, aquí te brindo una breve explicación…
Los códigos maliciosos se pueden identificar de dos formas: directa e indirectamente:
Directamente: en este caso, se realiza a través de las firmas clásicas. Sabes qué aspecto tiene un malware, así que desarrollamos una firma para él y la buscamos cuando analizamos un objeto sospechoso.
Indirectamente: en esta ocasión el análisis heurístico entra en juego. Descubrimos el programa malicioso gracias a nuestro conocimiento previo de las secuencias típicas de comandos en el código (análisis estático) o gracias a su comportamiento (análisis dinámico).
¿Un ejemplo de análisis indirecto? Un programa se escribe en una clave autorun del registro del sistema, intercepta las pulsaciones del teclado, abre un puerto y transmite algo a través de Internet. Además, el programa escribe algún tipo de dato en el disco duro en cilindro 0, cabezal 0, sector 1… y modifica el MBR. ¡Aceptémoslo! Este tipo de comportamiento no tiene nada que ver con un programita inocente, ¿verdad?
La ventaja principal de usar el análisis heurístico en lugar del sistema de firmas es que no necesitamos saber cómo es el malware; es decir, no necesitamos conocer su código único. En su lugar, descubrimos y atacamos al programa analizando su comportamiento malicioso.
Además, resulta que el número de actividades y comportamientos no es tan extenso como la combinación de códigos maliciosos. Por ejemplo, con un solo registro heurístico se pueden detectar 600.000 variaciones del gusano WBNA. Así que ya podrás imaginarte lo rápido que puede ser análisis del virus con este sistema.
El análisis heurístico se usa en todos los módulos de protección de Kaspersky Lab (por ejemplo, los módulos antirootkit o antiphishing). Además, en las tecnologías analíticas de alto nivel como System Watcher o los servicios de reputación en la nube ayuda a comprender los entornos internos de los equipos y descubrir posibles ataques. Además, está nuestro módulo especial AVZ para el análisis heurístico automáticos de un sistema. ¿Queréis saber más al respecto?
Se introdujo AVZ allá en el año 2007. Tiene diferentes papeles: backup, asistente de restauración de archivos, shredder… Estos usos dependen del producto donde se integra. Desde el punto de vista heurístico y la protección frente amenazas desconocidas, realiza dos grandes tareas: (i) permite al equipo de soporte técnico realizar un diagnóstico remoto y curar las infecciones más persistentes; (ii) ofrece una serie de herramientas que permite a los usuarios experimentados y administradores de sistema identificar las anomalías maliciosas de los ordenadores y redes que gestionan.
La función más importante de AVZ es su analizador heurístico (actualizado cada día), que realiza un gran trabajo al monitorizar todo lo que sucede dentro del equipo. ¡Esto supone la mitad del trabajo! AVZ interpreta diferentes parámetros y permite localizar al “mal”, analizar el sistema y usar los resultados para crear una zona de cuarentena con cualquier objeto sospechoso y un informe detallado.
Lo magnífico de este informe es que puede ser leído por un ser humano y por un robot. Una vez analizado, nuestro equipo de soporte puede realizar un diagnóstico exacto y prescribir un tratamiento. Mientras tanto, el robot puede crear un remedio para que se lance en un intérprete de scripts integrado.
¡Has oído bien! Nuestros productos disponen de un intérprete especial para lenguaje script. Contiene todos los instrumentos necesarios para una operación AV (eliminación de archivos, objetos en cuarentena…) junto a otras tecnologías realmente útiles (combate contra infecciones activas durante el tratamiento, entre otras).
Otro rasgo de los informes es que contiene información importante sobre el sistema para el diagnóstico antivirus. Los objetos que son “dulces e inocentes” se incluyen en la lista blanca para que no obstaculizar el trabajo de los especialistas y acelerar el análisis.
Todo es cuestión de técnica: el remedio de script se envía al equipo infectado y se llevan a cabo medidas de restauración. El usuario solo necesita copiar el texto en la ventana del script. La experiencia nos muestra que esta función es irremplazable una vez instalada la protección en un sistema ya infectado (incluyendo amenazas desconocidas) como para corregir los efectos después de la infección.
Un analizador heurístico tiene sus limitaciones cuando nos referimos a los falsos positivos. Esto es lógico, ya que el análisis heurístico trabaja con conjeturas de un objeto basadas en experiencias pasadas, no en hechos. Así, siempre se cuela algún error. Todavía no se ha inventado una tecnología que ofrezca la solución definitiva… pero estamos trabajando en ello. Mientras tanto, lo más importante es solucionar los errores cuanto antes mediante actualizaciones. Sin embargo, con AVZ… ¡Ya no existe este problema!
Primero, AVZ trabaja en solitario y no necesita molestar al usuario con preguntas complicadas y alertas. Los resultados del trabajo de este módulo solo son visibles para los expertos de soporte que los reciben. ¡Ah y para el robot! En segundo lugar, tanto el experto como el robot son capaces de eliminar ellos mismos los falsos positivos. ¡Has leído bien! Cada análisis de un dato nuevo, puede, manual o automáticamente, desvelar los falsos positivos para realizar los cambios necesarios.
¿Quién ha dicho que no se esa tecnología todavía no se ha inventado?