A iMorte de eVoldemort

Como a Kaspersky desenvolveu uma tecnologia capaz de detectar e capturar praticamente todo e qualquer malware.

Os contos de fadas desmistificaram a invencibilidade dos vilões (quanto a nós, por mais de 20 anos temos quebrado exatamente o mesmo mito no ciberespaço). Todo Voldemort depende da segurança do seu diário, anel, cobra, seu… enfim, acho que você já sabe tudo sobre as Horcruxes. E o sucesso da sua guerra contra os piores vilões, seja em um conto de fadas ou no mundo virtual, depende de dois atributos-chave: perseverança e intelecto (leia-se tecnologia). Hoje, vou contar como esses pontos combinados a redes neurais, aprendizado de máquina, segurança na nuvem e conhecimento especializado – todos incluídos em nossos produtos – vão protegê-lo contra potenciais ciberameaças futuras.
De fato, já falamos de tecnologias para proteção contra ciberameaças futuras antes (mais de uma vez, muito mais do que uma vez, e até mesmo para dar umas risadas). Você pode se perguntar o porquê de sermos tão obcecados por elas.

Essas tecnologias são exatamente a diferença de uma proteção forte e robusta contra inteligência artificial falsa e produtos que usam informações roubadas para detectar malwares. Identificar a sequência do código com uma assinatura conhecida depois do malware já ter se infiltrado no sistema e aplicado seu golpe baixo no usuário? Ninguém precisa disso.

Antecipar padrões de pensamento de cibervilões, compreender as vulnerabilidades que consideram atrativas, e espalhar redes invisíveis capazes de detecção automática e precisa – apenas alguns fornecedores da indústria são capazes disso, essa é a triste realidade. Na verdade, segundo testes independentes, pouquíssimos são. O WannaCry, maior epidemia da década, é bom exemplo: graças à tecnologia System Watcher, nossos produtos têm protegido proativamente nossos usuários contra esse ciberataque.

O ponto-chave é: proteção contra futuras ciberameaças nunca é demais. Não há simulador ou sistema de análise de big-data especializado capaz de dar conta de todos os possíveis vetores de ameaça. Redes invisíveis devem cobrir todos os níveis e canais da maneira mais ampla possível, monitorar todas as atividades de objetos no sistema e garantir que nunca tenham a chance de causar problemas. Tudo isso com uso mínimo de recursos, zero “falsos positivos” e 100% de compatibilidade com outros programas para evitar telas azuis mortais.

Sua empresa está preparada para as ameaças sofisticadas?

A indústria do malware continua se desenvolvendo. Cibervilões ensinaram (e continuam) suas criações a se esconder no sistema: modificar sua estrutura e comportamento, passar para modos de ação “sem pressa” (minimizarem o uso de recursos computacionais, ativarem-se no momento certo, serem discretas depois de penetrar no computador-alvo etc.), mergulhar fundo no sistema, esconder seus rastros, usar métodos “limpos” ou “quase limpos”. Mas onde há um Voldemort, também há Horcruxes que podem ser destruídas. A questão é como encontrá-las.

Há alguns anos, nossos produtos reforçaram seu arsenal de tecnologias proativas para proteção contra ciberameaças avançadas por meio da adoção de uma invenção interessante (patente RU2654151). Implica o uso de um modelo treinável comportamental de alta precisão para identificação de anomalias suspeitas no sistema, localização de fonte e contenção até mesmo dos worms mais cuidadosos.

Como funciona?

Quando ativo, qualquer objeto deixa rastros em um sistema. Uso de HDD, uso de memória, acesso aos recursos do sistema, transferência de arquivos pela rede – de um jeito ou de outro, cada malware vai eventualmente se manifestar, até o mais sofisticado. Até as tentativas de eliminar rastros deixam mais pistas, e assim por diante, repetidamente.

Como deciframos quais rastros pertencem a programas legítimos e quais a malwares? Ao mesmo tempo em que garantimos que o computador não falhe por falta de energia computacional? Vamos lá.

O antivírus coleta informações sobre as atividades dos programas (comandos executados, parâmetros, acesso a recursos de sistema críticos etc.) e usa esses dados para construir modelos comportamentais, detectar anomalias e calcular o fator malicioso. Mas quero que você analise com atenção o método usado para alcançar isso. Lembre-se, queremos velocidade, não apenas confiabilidade. É neste ponto que a matemática, ou mais especificamente o resumo matemático, entra em jogo.

O modelo comportamental resultante é bem compacto – por um lado preserva a profundidade da informação necessária sobre comportamento de objetos, por outro, não requer recursos significativos de sistema. Mesmo um observador que monitore de perto a performance do computador não verá qualquer sinal dessa tecnologia.

Exemplo (ilustrativo):

O cálculo do fator malicioso depende de quatro atributos externos:

  • Tipo de objeto (executável/não-executável);
  • Tamanho (acima/abaixo de 100kB);
  • Fonte (download feito pela internet ou descompactado de um arquivo em um pendrive);
  • Alcance (mais/menos de 1.000 instalações com base em estatísticas da KSN).

E quatro atributos comportamentais:

  • Se o objeto transfere dados pela rede;
  • Lê dados do HDD;
  • Adiciona dados ao registro;
  • Interage com o usuário por meio de uma interface.

Cada pergunta pode ser respondida com “não” (0) ou “sim” (1).

Dito isso, o arquivo programa.exe, tamanho 21Kb, extraído de outrascoisas.zip, detectado em 2.113 computadores, que não lê dados do HDD, transfere dados na rede, sem uma janela de interface e que adiciona dados ao registro, vai aparecer como:

1 0 0 1 1 0 1 0

Se representarmos isso como um número inteiro de 8-bit, chegamos a 0b10011010 = 154. É isso que chamamos de resumo. Mas diferentemente da função hash clássica (por exemplo, MD5 ou SHA-1), nossa tecnologia de compactação é muito mais inteligente. Na vida real, milhares de atributos de objetos são registrados, e cada um resulta em múltiplos resumos usados por um modelo treinável para identificar padrões. Isso produz um padrão comportamental o tão preciso quanto possível. E muito rapidamente, também.

O fator malicioso é uma história completamente diferente. Tanto malwares quanto programas legítimos podem demonstrar comportamentos perfeitamente idênticos. Por exemplo, muitos programas adicionam dados à pasta do sistema. Como sabemos quais o fazem como parte dos seus deveres legítimos e quais são mal-intencionados?

Em primeiro lugar, o fator tem um efeito cumulativo ou, para ser mais claro, cresce monotonamente. Com o tempo, isso permite a detecção de malwares muito discretos sem quaisquer falsos positivos – pequenas descargas de atividade suspeita (como a modificação de registros de sistema, que ocorrem toda vez que um programa é instalado) não vão iniciar o antivírus. O resumo resultante é alimentado por meio de uma “caixa preta” rede neural treinada, que entrega um veredito capaz de determinar se o comportamento do objeto é malicioso ou não.

É claro, a tecnologia ganha muito com a KSN – esse sistema baseado na nuvem permite a troca de amostras suspeitas, análises automáticas e refinamento da tecnologia em si com vistas a aprimorar a precisão dos resultados. As possibilidades oferecidas pela KSN são usadas constantemente para ajustar a rede neural e mantê-la treinada por outros algoritmos e especialistas. Isso nos ajuda a detectar não apenas arquivos perigosos como também sessões de rede, componentes e outros nanoelementos do quebra-cabeça, que finalmente nos levarão ao eVoldemort.

Dicas