Metodi di rilevamento delle minacce |
Tutti i prodotti antivirus sviluppati dall'azienda Doctor Web impiegano un intero set di metodi di rilevamento delle minacce, il che consente di controllare oggetti sospetti con la massima accuratezza. Analisi basata sulle firme antivirali Questo metodo di rilevamento viene impiegato in primo luogo. Si basa sulla ricerca delle firme delle minacce già conosciute nel contenuto dell'oggetto analizzato. La firma è una sequenza di byte continua finita, necessaria e sufficiente per identificare univocamente una minaccia. I contenuti dell'oggetto analizzato vengono confrontati con i checksum delle firme antivirali anziché con le firme antivirali stesse, il che consente di ridurre notevolmente le dimensioni delle registrazioni nei database dei virus, mantenendo allo stesso tempo l'univocità della corrispondenza e, di conseguenza, la correttezza del rilevamento delle minacce e della cura degli oggetti infetti. I record nei database dei virus Dr.Web sono formati in modo tale che tramite un record sia possibile rilevare intere classi o famiglie di minacce. Origins Tracing Questa è una tecnologia unica Dr.Web che consente di rilevare le minacce nuove o modificate di cui il comportamento malevolo o i metodi di infezione sono già conosciuti e descritti nei database dei virus. Viene impiegata dopo l'analisi basata su firme e protegge gli utenti che utilizzano le soluzioni antivirus Dr.Web da minacce quale il trojan ransomware Trojan.Encoder.18 (anche conosciuto come "gpcode"). Inoltre, l'impiego della tecnologia Origins Tracing consente di ridurre notevolmente il numero di falsi positivi nell'analisi euristica. Ai nomi delle minacce rilevate tramite Origins Tracing viene aggiunto il postfisso .Origin. Emulazione di esecuzione Il metodo di emulazione di esecuzione del codice software viene utilizzato per rilevare virus polimorfi e cifrati quando la ricerca per checksum di firme antivirali è non applicabile o notevolmente ostacolata a causa di impossibilità di costruire le firme antivirali affidabili. Il metodo consiste nel simulare l'esecuzione del codice analizzato tramite un emulatore — un modello software del processore e dell'ambiente di esecuzione dei programmi. L'emulatore utilizza una zona di memoria protetta (buffer di emulazione). In tale caso le istruzioni non vengono trasmesse sulla CPU per essere effettivamente eseguite. Se il codice processato dall'emulatore è infetto, come risultato dell'emulazione verrà ripristinato il codice malevolo originale che può essere analizzato tramite l'analisi basata sulle firme antivirali. L'analisi euristica si basa su un set di conoscenze euristiche (ipotesi la cui significatività statistica è stata empiricamente confermata) circa le caratteristiche del codice eseguibile malevolo o, al contrario, di quello sicuro. Ciascuna caratteristica del codice ha un determinato peso (cioè un numero che indica l'importanza e la validità di tale caratteristica). Il peso può essere sia positivo, se la caratteristica indica la presenza di un comportamento malevolo del codice, che negativo, se la caratteristica non è peculiare delle minacce informatiche. Sulla base del peso complessivo attribuito al contenuto dell'oggetto, l'analisi euristica calcola la probabilità di presenza in esso di un oggetto malevolo sconosciuto. Se questa probabilità eccede un determinato valore di soglia, l'analisi euristica conclude che l'oggetto analizzato è malevolo. L'analisi euristica utilizza inoltre la tecnologia FLY-CODE — un algoritmo universale per lo spacchettamento di file. Questo meccanismo consente di costruire presupposti euristici sulla presenza di oggetti malevoli in oggetti compressi da programmi di impacchettamento (packer), e non solo da quelli conosciuti dagli sviluppatori del prodotto Dr.Web, ma anche da quelli nuovi, non ancora studiati. Nel controllo degli oggetti compressi viene inoltre utilizzata la tecnologia di analisi dell'entropia strutturale che consente di rilevare minacce sulla base delle caratteristiche della posizione dei tratti di codice. Questa tecnologia, sulla base di un solo record del database dei virus, consente di rilevare una serie di varie minacce compresse dall'uguale packer polimorfo. Siccome l'analisi euristica è un sistema di verifica delle ipotesi in condizioni di incertezza, essa può commettere errori sia del primo tipo (salta minacce sconosciute) e sia del secondo tipo (riconosce come malevolo un programma innocuo). Pertanto, agli oggetti contrassegnati dall'analisi euristica come "malevoli" viene attribuito lo stato "sospetti". Analisi comportamentale I metodi di analisi comportamentale consentono di analizzare la sequenza di azioni di tutti i processi nel sistema. Quando vengono rilevati segni di comportamento di programmi malevoli, le azioni di tale applicazione vengono bloccate. Dr.Web Process Heuristic La tecnologia di analisi comportamentale Dr.Web Process Heuristic protegge dai programmi malevoli più recenti e pericolosi che sono capaci di evitare il rilevamento tramite i meccanismi tradizionali di firme antivirali e analisi euristica. Dr.Web Process Heuristic analizza il comportamento di ciascun programma in esecuzione, consultando il servizio cloud Dr.Web costantemente aggiornato, e sulla base delle ultime conoscenze sul comportamento dei programmi malevoli, determina se un programma è pericoloso, dopo di che vengono adottate le misure necessarie per neutralizzare la minaccia. Ai nomi delle minacce rilevate tramite Dr.Web Process Heuristic viene aggiunto il prefisso DPH. Questa tecnologia di protezione dati permette di minimizzare le perdite dalle azioni di un virus sconosciuto con il minimo consumo di risorse del sistema protetto. Dr.Web Process Heuristic controlla tutti i tentativi di modifica del sistema: •riconosce i processi dei programmi malevoli che modificano in modo indesiderabile i file dell'utente (per esempio, i tentativi di criptazione da parte dei trojan cryptolocker), compresi quelli situati in directory disponibili via rete; •impedisce i tentativi dei programmi malevoli di integrarsi nei processi di altre applicazioni; •protegge le porzioni critiche del sistema dalle modifiche da parte dei programmi malevoli; •rileva e termina gli script e i processi malevoli, sospetti o inaffidabili; •blocca la possibilità di modifica dei settori di avvio del disco da parte dei programmi malevoli per rendere impossibile l'avvio (per esempio, dei bootkit) sul computer; •previene la disattivazione della modalità provvisoria di Windows, bloccando modifiche del registro; •non permette ai programmi malevoli di modificare le regole di avvio di programmi; •blocca il caricamento di driver nuovi o sconosciuti all'insaputa dell'utente; •blocca l'esecuzione automatica di programmi malevoli, nonché di determinate applicazioni, come ad esempio anti-antivirus, non permettendo che si iscrivano al registro per il successivo avvio automatico; •blocca i rami del registro responsabili dei driver di dispositivi virtuali, il che rende impossibile l'installazione di programmi trojan sotto le mentite spoglie di un nuovo dispositivo virtuale; •non permette al software malevolo di compromettere il normale funzionamento dei servizi di sistema. L'analisi integrata delle minacce pacchettizzate Dr.Web Process Dumper aumenta significativamente il livello di rilevamento delle minacce apparentemente "nuove" — cioè che sono conosciute dal database dei virus Dr.Web, ma sono nascoste sotto packer nuovi, nonché elimina la necessità di aggiungere al database dei virus sempre nuovi record di minacce. La compattezza mantenuta dei database dei virus Dr.Web, a sua volta, non necessita di costante aumento dei requisiti di sistema e assicura le dimensioni tradizionalmente piccole degli aggiornamenti con la qualità di rilevamento e cura invariabilmente alta. Ai nomi delle minacce rilevate tramite Dr.Web Process Dumper viene aggiunto il prefisso DPD. La tecnologia Dr.Web ShellGuard protegge il computer dagli exploit — oggetti malevoli che cercano di sfruttare le vulnerabilità per ottenere il controllo sulle applicazioni attaccate o sul sistema operativo in generale. Ai nomi delle minacce rilevate tramite Dr.Web ShellGuard viene aggiunto il prefisso DPH:Trojan.Exploit. Dr.Web ShellGuard protegge le applicazioni più comuni installate su computer con Windows: •i browser (Internet Explorer, Mozilla Firefox, Google Chrome ecc.); •le applicazioni MS Office; •le applicazioni di sistema; •le applicazioni che utilizzano le tecnologie java, flash e pdf; •i lettori multimediali. Analizzando le azioni potenzialmente pericolose, il sistema di protezione, grazie alla tecnologia Dr.Web ShellGuard, si basa non solo sulle regole trascritte, conservate sul computer, ma anche sulle conoscenze del servizio cloud Dr.Web in cui vengono raccolti: •dati sugli algoritmi dei programmi che hanno intenzioni malevole; •informazioni sui file noti come puliti; •informazioni sulle firme digitali compromesse di noti produttori di software; •informazioni sulle firme digitali dei software pubblicitari o potenzialmente pericolosi; •informazioni sui siti indesiderati per la visita; •gli algoritmi di protezione di determinate applicazioni. Protezione dagli injection Injection — metodo utilizzato per incorporare codice malevolo nei processi in esecuzione sul dispositivo. Dr.Web monitora continuamente il comportamento di tutti i processi nel sistema e previene i tentativi di incorporazione se li considera malevoli. Ai nomi delle minacce rilevate tramite Protezione dagli injection viene aggiunto il prefisso DPH:Trojan.Inject. Dr.Web controlla le seguenti caratteristiche dell'applicazione che ha avviato il processo: •se l'applicazione è nuova; •come è entrata nel sistema; •dove è situata l'applicazione; •come si chiama; •se l'applicazione è inclusa nella lista delle affidabili; •se ha una firma digitale valida da un'autorità di certificazione affidabile; •se è inclusa nella black list o nella white list di applicazioni, che si trovano sul servizio cloud Dr.Web. Dr.Web monitora lo stato del processo in esecuzione: controlla se thread remoti vengono creati nello spazio del processo, se codice estraneo viene incorporato nel processo attivo. L'antivirus controlla le modifiche che vengono apportate dalle applicazioni, proibisce modifiche ai processi di sistema e privilegiati. Separatamente Dr.Web si occupa di prevenire che codice malevolo possa modificare la memoria dei browser più diffusi, per esempio quando si fanno acquisti su internet o si effettuano trasferimenti in banche online. Protezione dai ransomware Protezione dai ransomware — uno dei componenti di Protezione preventiva che fornisce la protezione dei file utente dai trojan cryptolocker. Questi programmi malevoli, entrando nel computer dell'utente, bloccano l'accesso ai dati tramite la cifratura, dopo di che estorcono denaro per la decriptazione. Ai nomi delle minacce rilevate tramite Protezione dai ransomware viene aggiunto il prefisso DPH:Trojan.Encoder. Il componente analizza il comportamento del processo sospetto prestando attenzione in particolare alle ricerche di file, alla lettura e ai tentativi di modifica. Vengono inoltre controllate le seguenti caratteristiche dell'applicazione: •se l'applicazione è nuova; •come è entrata nel sistema; •dove è situata l'applicazione; •come si chiama; •se l'applicazione è affidabile; •se ha una firma digitale valida da un'autorità di certificazione affidabile; •se è inclusa nella black list o nella white list di applicazioni, che sono archiviate sul servizio cloud Dr.Web. Viene inoltre verificata la natura della modifica al file. Quando vengono rilevati segni di comportamento del programma malevolo, le azioni dell'applicazione vengono bloccate, e vengono impediti i tentativi di modifica a file. Metodo di apprendimento automatico Viene utilizzato per cercare e neutralizzare oggetti malevoli che ancora non ci sono nei database dei virus. Il vantaggio di questo metodo consiste nel riconoscimento di un codice malevolo senza eseguirlo, solo in base alle sue caratteristiche. Il rilevamento delle minacce è basato sulla classificazione degli oggetti malevoli secondo determinati segni. Tramite la tecnologia di apprendimento automatico basato sul metodo dei vettori di supporto, frammenti di codice dei linguaggi di scripting vengono classificati e registrati nel database. In seguito gli oggetti di verifica vengono analizzati per conformità ai segni di codice malevolo. La tecnologia di apprendimento automatico automatizza l'aggiornamento della lista di questi segni e l'integrazione dei database dei virus. Grazie alla connessione al servizio cloud, l'elaborazione di grandi quantità di dati avviene più velocemente, mentre l'addestramento continuo del sistema fornisce una protezione preventiva dalle minacce più recenti. La tecnologia può funzionare anche senza connessione costante al cloud. Il metodo di apprendimento automatico risparmia in modo significativo le risorse del sistema operativo in quanto non richiede l'esecuzione di codice per rilevare le minacce, mentre l'addestramento automatico dinamico del classificatore può essere effettuato anche senza aggiornamento costante dei database dei virus, utilizzato nell'analisi basata sulle firme antivirali. Tecnologie cloud di rilevamento delle minacce I metodi di rilevamento cloud consentono di controllare qualsiasi oggetto (file, applicazione, estensione di browser, ecc.) in base alla somma hash. È una sequenza di cifre e lettere univoca di una determinata lunghezza. Nell'analisi in base alla somma hash gli oggetti vengono confrontati con il database esistente e quindi classificati in categorie: pulito, sospetto, malevolo, ecc. Ai nomi delle minacce rilevate tramite Tecnologie cloud viene aggiunto il prefisso CLOUD. Tale tecnologia ottimizza i tempi di verifica dei file e risparmia risorse del dispositivo. Grazie al fatto che non è l'oggetto stesso che viene analizzato, ma la sua somma hash univoca, la decisione viene presa quasi istantaneamente. In assenza di connessione ai server Dr.Web, i file vengono scansionati localmente, e la verifica cloud viene ripresa al ripristino della connessione. In questo modo, il servizio cloud dell'azienda Doctor Web raccoglie informazioni da numerosi utenti e aggiorna prontamente i dati su minacce precedentemente sconosciute aumentando così l'efficacia della protezione dei dispositivi. |