Motores que analisam a execução de código contém um conjunto de regras destinadas a determinar se os padrões de comportamento observados são suspeitos ou maliciosos. Algumas regras de comportamento podem ser criadas por automação. Outros são meticulosamente trabalhadas à mão. Ao pesquisar novas técnicas e vetores de ataque, regras de comportamento podem ser criadas antes que novas técnicas se tornem generalizadas no malware. Regras de comportamento genéricas podem então ser projetado para capturar todos os tipos de atividades maliciosas, o que nos permite ficar à frente. Nossos pesquisadores em laboratórios estão sempre à procura de tendências futuras no cenário de malware. Quando identificam novas metodologias, eles vão para trabalhar na criação de novas regras com base nesta pesquisa.
Então, como regras de comportamento funciona? Quando alguma coisa executa (isto pode significar executando um executável, a abertura de um documento no leitor apropriado, etc), vários ganchos no sistema gerar um rastreio de execução. Este traço é passado para rotinas de detecção que são projetados para disparar em certas sequências de eventos. Um exemplo de alguns dos tipos de eventos uma regra comportamental pode verificar incluem:
Cada evento passado para uma regra de comportamento inclui um conjunto de meta dados úteis relevantes para esse evento. Meta dados global para o rastreamento de execução, que inclui coisas como PID, caminho de arquivo e processo pai, também é disponibilizado para regras. Meta dados adquiridos a partir de consultas nuvem e outros componentes de proteção também é disponibilizado. Isso inclui coisas como pontuação prevalência e origem arquivo de rastreamento (a história do arquivo a partir do momento em que apareceu no sistema, que podem incluir coisas como a URL onde ele foi baixado). Como você pode imaginar, alguma lógica muito criativa pode ser construída com todas essas informações em mãos.
Claro, estamos constantemente a actualizar a lógica e funcionalidade dos nossos componentes de detecção de comportamento como muda o cenário de ameaças, e como fazer melhorias. Quem não gostaria?
O antivirus corporativo da F-Secure adota esses conceitos no desenvolvimento de suas soluções de segurança para desenvolver a melhor proteção. Para saber mais procure a Consultcorp que é o principal canal de distribuição F-Secure no Brasil.
Então, como regras de comportamento funciona? Quando alguma coisa executa (isto pode significar executando um executável, a abertura de um documento no leitor apropriado, etc), vários ganchos no sistema gerar um rastreio de execução. Este traço é passado para rotinas de detecção que são projetados para disparar em certas sequências de eventos. Um exemplo de alguns dos tipos de eventos uma regra comportamental pode verificar incluem:
- criação de processos, destruição ou suspensão.
- Código tentativas de injeção.
- manipulação do sistema de arquivos.
- operações de registro.
Cada evento passado para uma regra de comportamento inclui um conjunto de meta dados úteis relevantes para esse evento. Meta dados global para o rastreamento de execução, que inclui coisas como PID, caminho de arquivo e processo pai, também é disponibilizado para regras. Meta dados adquiridos a partir de consultas nuvem e outros componentes de proteção também é disponibilizado. Isso inclui coisas como pontuação prevalência e origem arquivo de rastreamento (a história do arquivo a partir do momento em que apareceu no sistema, que podem incluir coisas como a URL onde ele foi baixado). Como você pode imaginar, alguma lógica muito criativa pode ser construída com todas essas informações em mãos.
Claro, estamos constantemente a actualizar a lógica e funcionalidade dos nossos componentes de detecção de comportamento como muda o cenário de ameaças, e como fazer melhorias. Quem não gostaria?
O antivirus corporativo da F-Secure adota esses conceitos no desenvolvimento de suas soluções de segurança para desenvolver a melhor proteção. Para saber mais procure a Consultcorp que é o principal canal de distribuição F-Secure no Brasil.