Video: PTA - Análisis y detección de amenazas en tiempo real (Noviembre 2024)
Los virus informáticos han existido durante muchos, muchos años. En los primeros días, la detección era una simple cuestión de hacer coincidir los archivos con un conjunto conocido de firmas. Algunos programas antivirus incluso incluyeron una lista de todas las amenazas que podían detectar. Las cosas son bastante diferentes en estos días, con los creadores de malware trabajando duro para crear malware que se transforma y evoluciona para que no pueda ser detectado por la detección basada en firmas. Hablé con Roger Thompson, Investigador Jefe de Amenazas Emergentes para ICSA Labs, sobre cómo los programas antimalware deben cambiar y cómo las pruebas de estos productos deben cambiar.
La forma en que eran las cosas
Rubenking: ¿Puedes decir algunas palabras sobre qué es exactamente ICSA Labs y qué hace?
Thompson: Certificamos los productos antivirus según los criterios históricos acordados. En los años 90, era necesario distinguir entre el despliegue de antivirus y los resultados reales del mundo real. Como recordarán, en aquel entonces las personas podían decir lo que quisieran sobre sus productos, y nadie podía probarlo ni refutarlo. Era necesario que alguien con cerebro dijera: "Esto funciona, esto no funciona, esto no hace lo que dice".
Los vendedores acordaron que necesitaban un tercero neutral para hacer esto. Por supuesto, siempre es más importante probar contra virus realmente presentes en la naturaleza que contra un "zoológico" conocido. Entonces, la lista salvaje surgió de esa necesidad: un compuesto neutral de proveedores de malware conocido.
También en los años 90, Alan Solomon convenció a todos de que los métodos genéricos para detectar malware eran una mala idea. En cambio, lo que se quería era un escáner que pudiera determinar exactamente qué virus está presente y cómo eliminarlo. El mundo estuvo de acuerdo y votó con sus bolsillos para admitir ese tipo de escáner.
El problema con la detección genérica, históricamente, es que causa llamadas de soporte. El antivirus dice, vemos que algún proceso en su sistema está modificando ejecutables, o algún archivo ejecutable cambiado; lo cambiaste? Eso resulta en una llamada de soporte, y Fortune 500 no lo aprueba. Un antivirus basado en firmas dice "¡es un virus!" o no dice nada en absoluto.
Cómo sera
Thompson: Todavía hay una necesidad básica de probar escáneres basados en firmas, para asegurarse de que se mantengan al día. ¿Pueden detectarlo? Eso es lo que se ha hecho, y todavía hay una necesidad. Sin embargo, los números han cambiado tanto, hay una gran cantidad de cosas esponjosas que se crean todos los días. Lo que se requiere ahora también es probar la capacidad del antimalware para detectar cosas que nunca antes habían visto.
Rubenking: ¿Cosas esponjosas ? ¿Qué quieres decir con eso?
Thompson: Sabes, nadie sabe los números reales. Los muchachos de ESET me dijeron en una cerveza que ven 600, 000 nuevas muestras de malware únicas cada día. Recuerdo un informe de Symantec que reclama un millón de artículos nuevos y únicos todos los días. Pero la verdad es que la mayoría se crean algorítmicamente. Los malos simplemente cambian un código sin importancia, recompilan, vuelven a empaquetar y vuelven a cifrar. Luego verifican si los escáneres actuales detectan la nueva versión. Si no, lo liberan.
Es realmente fácil detectar lo que ya sabes. Es como el mercado de valores; "solo" compra bajo y vende alto. La cuestión es que, con estos virus únicos, el comportamiento subyacente no cambia, solo las partes esponjosas. La actividad, la modificación del registro, el cambio de archivos… ese comportamiento no cambia. Por lo tanto, las pruebas deben moverse para incorporar el bloqueo del comportamiento como parte del trato.
Rubenking: ¿ Agregará esta prueba de próxima generación pronto?
Thompson: Estamos tratando de hacer que los vendedores estén de acuerdo en que es algo bueno. Generalmente están de acuerdo, pero en realidad hacer las pruebas no es tan fácil.
Rubenking: ¿Cómo es tu nuevo proceso?
Thompson: es difícil; por eso la gente no quiere hacerlo. Comienza con un sistema limpio, ejecuta el malware y ve si se instala. Debe poder examinar el sistema forense posteriormente. ¿El malware infectó el sistema? ¿Cambió las claves de registro? ¿Se volvió persistente para sobrevivir a un reinicio? Luego debe restaurar a una línea base limpia para hacerlo nuevamente.
Rubenking: Eso se parece mucho a las pruebas dinámicas realizadas por AV-Comparatives.
Thompson: Sí, es muy similar.
Rubenking: ¿Estás listo para ir, pero los vendedores no lo están? ¿Entonces no sabe cuándo entrará en vigencia la nueva prueba?
Thompson: Estamos listos para partir. No sé cuál es el estado de los vendedores; nos pondremos en contacto con usted al respecto.] Además, parte del problema es encontrar nuestras propias fuentes de malware, recolectar feeds de spam y demás. Necesitamos saber qué hay realmente ahí fuera.
Hacer la vida difícil para los chicos malos
Thompson: Este es el camino correcto a seguir. No podemos dejar de hacer lo que siempre hemos hecho, pero cuando los proveedores de antimalware agregan bloqueos basados en el comportamiento, es mucho más difícil vencer a los malos. Pueden vencer a las firmas ajustando cosas sin importancia, pero para vencer el bloqueo del comportamiento tienen que cambiar los comportamientos y tratar con diferentes definiciones de comportamiento.
Rubenking: Entonces, ¿un conjunto diverso de proveedores de antimalware con diferentes tipos de bloqueo de comportamiento dificultará la vida de los malos?
Thompson: exactamente. Es como la analogía del queso suizo. Un trozo de queso tiene agujeros, pero si coloca una capa sobre otro, cubre los agujeros. Póngase suficientes brocas y no quedan agujeros.
Rubenking: ¡Gracias Roger!
