Proteção baseada em comportamento

A detecção baseada em comportamento faz parte da abordagem da próxima geração em vários níveis da Kaspersky. É uma das formas mais eficientes de proteção contra ameaças avançadas, como malware sem arquivos, ransomware e malware de dia zero.

Os seguintes recursos de proteção constituem o mecanismo de comportamento de ameaças da Kaspersky:

• Detecção de comportamento
• Prevenção de exploits
• Mecanismo de neutralização
• Antibloqueador

Na vida real, os agentes de ameaças ocultam o código malicioso para contornar as tecnologias de detecção estática e a emulação de produtos de segurança. Por exemplo, o recém-criado código de ransomware é muitas vezes compactado por um compactador personalizado com recursos antiemulação. Antes da execução, qualquer tentativa de analisar a amostra bem-feita utilizando a Verificação por demanda ou Verificação ao acessar não terá sucesso algum na detecção, o que permite que a tarefa do agente de ameaça continue em ação.

Mas quando se trata da fase de execução, o Mecanismo de comportamento de ameaças analisa a verdadeira atividade do processo em tempo real e revela a sua natureza maliciosa. Basta sinalizar o alarme, encerrar o processo e fazer a reversão das alterações.

No exemplo mencionado com ransomware compactado, a amostra poderia tentar:

• Encontrar arquivos importantes no sistema-alvo
• Criptografar arquivos importantes
• Excluir arquivos originais
• Excluir cópias de sombra

Essas informações são suficientes para detecção e não dependem do compactador ou das técnicas antiemulação utilizadas. Com a execução do Mecanismo de comportamento de ameaças, equipado com a heurística de comportamento e com modelos baseados em Machine Learning, o produto deixa de ser suscetível a técnicas de anulação estáticas e também modificações de comportamento das amostras.

Ao fazer considerações com base no comportamento, é importante realizar a detecção de atividade maliciosa o mais rápido possível, que, em combinação com um Mecanismo de neutralização adequado, permite evitar qualquer perda de dados do usuário final. O Mecanismo de neutralização protege diferentes objetos, como arquivos, chaves do Registro, tarefas, etc.

Voltando ao exemplo acima, vamos supor que, antes da atividade maliciosa real, o ransomware tenha se adicionado à execução automática (por exemplo, por meio do Registro). Após a detecção, o Mecanismo de neutralização deve analisar o fluxo de comportamento, restaurar os dados do usuário e também eliminar a chave do Registro criada.

Dentre as vantagens, em alguns casos, a tecnologia de detecção com base em comportamento torna-se o único meio de detectar e se proteger contra uma ameaça como o malware sem arquivos. Por exemplo, ao navegar pela Internet, um usuário é visado por um ataque de execução. Após a exploração, o código malicioso é executado no contexto do navegador da Web. O objetivo principal do código malicioso é utilizar o Registro ou assinaturas WMI para persistência, e isso resulta em nenhum objeto para verificação estática. Ainda assim, o componente de detecção de comportamento analisa o comportamento do thread do navegador da Web, sinaliza a detecção e bloqueia a atividade maliciosa.

O componente de mecanismo de análise comportamental aproveita os modelos baseados em Machine Learning no endpoint para detectar padrões maliciosos anteriormente desconhecidos, além dos registros heurísticos de comportamento. Coletados de diferentes fontes, os eventos do sistema são fornecidos ao modelo de Machine Learning. Após o processamento, o modelo de Machine Learning gera um veredito indicando se o padrão analisado é malicioso. Mesmo no caso de um veredito não malicioso, o resultado do modelo de Machine Learning é depois utilizado pela heurística de comportamento, que por sua vez também pode sinalizar a detecção.

O componente de detecção de comportamento implementa um mecanismo de proteção de memória. Ele protege processos críticos do sistema, como o lsass.exe, e permite evitar o vazamento de credenciais do usuário com a ajuda de malwares semelhantes a mimikatz.