CyberCapture detecta en tiempo real y te protege de ataques cero-segundos
Fecha de publicación: Jul 16, 2016 6:11:46 PM
El panorama de las amenazas ha incrementado significativamente durante los últimos años y el malware se ha convertido en un negocio lucrativo para los cibercriminales. Las amenazas son más sofisticadas y la esperanza de vida del malware ha cambiado drásticamente con el uso de polimorfismos de servidor y ataques con objetivos específicos. Un polimorfismo de servidor es cuando una muestra de malware tiene como objetivo un solo usuario antes de que el código mute y ataque a otro usuario, creando ataques cero-segundos que son muy difíciles de prevenir utilizando métodos de protección tradicionales. Dado que las muestras cambian de forma constantemente, su esperanza de vida se ha disminuido radicalmente, permitiendo a los cibercriminales centrarse en campañas grandes y rápidas para afectar al máximo número de víctimas en el menor tiempo posible. CyberCapture detecta en tiempo real archivos desconocidos y que hayan cambiado de forma y te protege de ataques cero-segundos.
En pocas palabras, CyberCapture es un escáner inteligente de archivos basado en la nube. En vez de confiar en las últimas definiciones de amenazas, CyberCapture aísla archivos sospechosos en un entorno seguro y automáticamente establece un canal de comunicación con el Laboratorio de amenazas de Avast para un análisis inmediato. Esto nos permite eliminar todo el código falso, distracciones y otras cosas que los creadores del malware utilizan para esconder sus verdaderas intenciones. Al eliminar las capas de código ofuscado en un entorno limpio en nuestra nube, CyberCapture es capaz de diseccionar por completo y observar los comandos de nivel binario del interior del malware y entender por completo las instrucciones ocultas en ellos.
CyberCapture es la evolución de nuestra tecnología DeepScreen, que era utilizada para analizar localmente archivos desconocidos en un entorno virtual. DeepScreen tenía dos problemas principales. El primero, dependía del componente de virtualización NG, que no era compatible con todos los sistemas (requería de algunas opciones activadas en el BIOS del sistema, etc.). Segundo, permitía al archivo desconocido ejecutarse en un entorno seguro durante un breve periodo de tiempo (normalmente, 10-15 segundos), disminuyendo la precisión del algoritmo de toma de decisiones. Al mover dicha tecnología a la nube, y utilizando el tiempo necesario para un correcto análisis del archivo, estamos añadiendo un nivel extra de protección que será muy difícil de sobrepasar por parte de los atacantes.
Al desarrollar CyberCapture, nos esforzamos en reducir el tiempo entre el descubrimiento del malware y el despliegue de una detección. Movimos la tecnología a la nube, de modo que podemos aprovechar todas nuestras armas pesadas para analizar las muestras en un ambiente controlado. Además, ejecutar nuestros poderosos motores de detección en nuestro backend significa que los cibercriminales tienen que tocar nuestra nube para poder probar las habilidades de sus productos, lo que no sólo les complica la vida, sino que también nos permite verlos.
Normalmente, los análisis automatizados necesitan hasta dos horas para tomar una decisión fiable sobre el archivo. En algunos casos, nuestros motores no serán capaces de tomar una decisión, por lo que serán nuestros analistas los que analizarán manualmente el archivo. Durante ese tiempo, el archivo está “capturado” y no puede causar ningún daño. Cuando finalice el análisis, el usuario será notificado sobre los resultados y el archivo será enviado a cuarentena o será liberado y se le permitirá su ejecución.
CyberCapture es un nuevo sistema y llevará un tiempo antes de que esté del todo listo y sea totalmente productivo. Dada la naturaleza de sus operaciones, CyberCapture adquiere inteligencia frente a nuevos virus. Esto significa que mejorará orgánicamente a medida que sea utilizado y, por lo tanto, seguirá aumentando su rendimiento.
Fuente: Avast Blog