G Data Informe técnico Behaviour Blocking (Escudo de comportamiento) Marco Lauerwald Marketing Go safe. Go safer. G Data.
Indice 1 Behaviour Blocking Objetivo: Combatir amenazas desconocidas... 2 1.1 Parásitos desconocidos: El avance imparable de la industria del malware... 2 1.2 Capas de seguridad en un ordenador con una solución antivirusfehler! Textmarke nicht definiert. 1.2.1 Capas de seguridad (Security Layer) mientras navega en internet... 3 1.2.2 Niveles de seguridad (Security-Layer) mientras hace uso del correo electrónico... 4 1.3 Funcionamiento del Behaviour Blocker (Escudo de comportamiento)... 4 1.4 Proceso de verificación de archivos sospechosos... 5 1.5 Ejemplo: El Behaviour Blocker de G Data... 5 Copyright 2011 G Data Software AG 1
1 Behaviour Blocking Objetivo: Combatir amenazas desconocidas Cuidado, amenaza desconocida! Cuando aparece un mensaje de aviso como este, el usuario puede estar seguro de que la solución de seguridad que usa ha conseguido impedir daños mayores, tales como: robo de contraseñas e informaciones privadas o el envío de correos basura (spam) desde su propia cuenta de correo. Muchos usuarios se sienten protegidos adecuadamente por su antivirus contra programas malintencionados. Sin embargo una protección integral sólo tiene lugar cuando los llamados cero day threats (vulnabilidades día cero), es decir malware nuevo que los antivirus aún no detectan, son neutralizados. Este es exactamente el punto fuerte del Behaviour Blocker: Identificar y eliminar amenazas desconocidas, para las que todavía no hay firmas de virus, basándose simplemente en su comportamiento sospechoso. En este informe se describe la funcionalidad de esta tecnología y las ventajas que brinda el Behaviour Blocker a los usuarios. 1.1 Malware desconocido: El avance imparable de la industria del Malware. El software malicioso 1 aumentó considerablemente en el segundo semestre del año 2010 ascendiendo a un total de1.076.236. Esto supone una media de 5.840 ejemplares nuevos al día. En total aparecieron en el año 2010 más de dos millones de variantes nuevas de malware (ver diagrama 1) un 32% más que en 2009 y casi un 52% más que en 2006. Ya en el primer semestre del año 2010 aparecia más software malicioso que en todo el año 2008. Diagrama 1: Número de nuevas amenazas por año desde 2005 1 Cfr. G Data Informe Malware 02/2010 Copyright 2011 G Data Software AG 2
La industria del Malware está en auge, por tanto, es imprescindible combatir amenazas aún desconocidas. Justamente aquí actúa el Behaviour Blocker como último mecanismo de defensa dentro del concepto de seguridad, mientras se navega o se hace uso del correo electrónico. 1.2 Capas de seguridad en un ordenador con una solución antivirus Cuando hay instalada una solución antivirus, el ordenador está protegido de forma óptima por medio de diversas capas de seguridad (Security Layer). A continuación se describe y explica detalladamente el funcionamiento de estos mecanismos durante la navegación o mientras se hace uso del correo electrónico: Ilustración 1: Visión general de las capas de protección de un ordenador con antivirus 1.2.1 Capas de seguridad (Security Layer) mientras navega en internet Muchos usuarios se infectan con software malicioso justamente mientras navegan en internet. Una protección antivirus, con sus diferentes capas de seguridad, puede impedir dicha infección; y con la ayuda del Behaviour Blocker, proteger incluso contra amenazas desconocidas: Layer (Capa) Método Efecto Web Cloud Compara direcciones URL con listas negras de sitios web peligros ya Bloquea sitios web infectados y páginas peligrosas ya Copyright 2011 G Data Software AG 3
Filtro http (Firmas) (Heurística) Behaviour Blocker conocidos escanea el tráfico http durante las descargas basándose en firmas de virus conocidos basándose en firmas de virus genéricas Busca patrones de comportamiento típico de virus conocidas Bloquea malware conocido Bloquea malware conocido Bloquea variantes desconocidas de malware conocido Bloquea malware desconocido 1.2.2 Capas de seguridad (Security-Layer) mientras hace uso del correo electrónico Durante el envío y recepción de correos electrónicos pueden surgir amenazas desconocidas. Layer Método Efecto Mail Cloud Compara patrones de correos electrónicos con el tráfico global Bloquea brotes de correos infectados y/o basura Mail filtro Escanea correos durante la recepción Bloquea malware conocido (Firmas) (Heurística) Behaviour Blocker basándose en firmas de virus conocidos basándose en firmas de virus genéricas Busca patrones de comportamiento típico de virus Bloquea malware conocido Bloquea variantes desconocidas de malware Bloquea malware desconocido 1.3 Funcionamiento del Behaviour Blocker El Behaviour Blocker es un mecanismo de protección, que se encarga de vigilar el comportamiento de programas en ejecución y, en caso necesario, de bloquearlos. Programas, descargas o archivos que se inician, intentan realizar diversas acciones en el ordenador. El papel más importante, a la hora de clasificar un programa en la categoría amenaza, lo desempeñan sobre todo el tipo de acciones que realiza y cómo interactúan. Los siguientes comportamientos 2, entre otros, pueden conllevar a que un programa sea considerado como una amenaza potencial para la seguridad del ordenador: 2 Ejemplos Copyright 2011 G Data Software AG 4
Entradas autorun de cualquier tipo, tanto archivando documentos en la carpeta adecuada como manipulando valores en el registro Archivos.exe o.dll, que se copian en el directorio system32 de Windows Entradas que manipulan los valores del registro relacionadas con la seguridad del sistema Comportamientos que modifican los ajustes del Internet Explorer Modificaciones en los archivos hosts Code Injection (inyección de código) insertar código para alterar el funcionamiento normal de un programa (por ej. Ejecutar código en el contexto del Internet Explorer para evitar el cortafuegos) Programas comprimidos en formato exe (para evitar filtros de firmas) Archivos de programa dañados (pero aun así ejecutables) 1.4 Proceso de verificación de comportamiento sospechoso El G Data Behaviour Blocker está estructurado en base a un sistema experto de reglas. Dichas reglas de comportamiento se establecen y adaptan manualmente, optimizando así las tasas de reconocimiento y falsos-positivos. Cuando se ejecuta un programa se extraen los comportamientos a una acción general. Las reglas se aplican al total de estas llamadas acciones, para poder sacar conclusiones y definitivamente fijar un valor de peligrosidad o riesgo. En este proceso se presta especialmente atención a combinaciones concretas o especialmente llamativas. 1.5 Ejemplo: El G Data Behaviour Blocker Si un programa ha sido infiltrado por malware y muestra, por este motivo, varios de los comportamientos sospechosos descritos anteriormente, es clasificado por el G Data Behaviour Blocker como amenaza desconocida y bloqueado: Pantallazo 1: La verificación de comportamiento se pone en funcionamiento tan pronto como se ejecuta una acción sospechosa. El usuario debe decidir ahora como proceder con la amenaza. Por regla general es aconsejable enviar el programa malicioso a la cuarentena. En alguna ocasión puede ocurrir que programas inofensivos sean clasificados como peligrosos. Por este motivo recomendamos revisar las informaciones adicionales para confirmar los criterios que han llevado a bloquear el programa: Copyright 2011 G Data Software AG 5
Pantallazo 2: Escudo de comportamiento informaciones adicionales. En general es recomendable no instalar programas a ciegas. El usuario debería en primer lugar asegurarse de que la instalación tiene sentido y en segundo lugar verificar el origen de la misma. El Behaviour Blocker actúa como escudo de protección contra amenazas desconocidas, pero no puede, en ningún caso, reemplazar a los demás componentes de una solución antivirus. Es en definitiva mucho más importante identificar malware como tal, incluso antes de que se active el Behaviour Blocker. Copyright 2011 G Data Software AG 6