Jak emulátor v aplikaci Symantec Endpoint Protection zjišťuje a maže malware?

Symantec Endpoint Protection
14 představil účinný nový emulátor k ochraně proti malwaru před malwarem ukrytým uvnitř vlastních komprimovaných souborů. V případě prověřování funkcí Auto-Protect a prověření výskytu virů je k dispozici tento emulátor, který zlepšuje výkon a účinnost prověřování nejméně o 10 procent oproti předchozím verzím. Tato technika zabraňující obejití zabezpečení se zaměřuje na techniky skrytí komprimovaného malwaru a zjišťuje malware ukrytý uvnitř vlastních komprimovaných souborů.
Co jsou to malwary ukryté uvnitř vlastních komprimovaných souborů?
Mnoho malwarových programů využívá „malwary ukryté uvnitř komprimovaných souborů“ nebo jinak softwarové programy, které se využívají ke komprimaci a šifrování souborů k přepravě. Tyto soubory se následně spustí v paměti po příchodu do počítače uživatele.
I když malwary ukryté uvnitř komprimovaných souborů nejsou malwary, útočníci je využívají k ukrytí malwarů a zamaskování skutečného cíle kódu. Jakmile je malware rozbalen, spouští a aktivuje svůj škodlivý náklad a často obchází firewally, brány a ochranu malwaru. Útočníci se přesunuli od používání komerčních malwarů v komprimovaných souborech (například UPX, PECompact, ASProtect a Themida) k vytváření vlastních malwarů v komprimovaných souborech. Malwary ve vlastních komprimovaných souborech využívají tajné algoritmy k obcházení standardních detekčních postupů.
Mnoho vznikajících malwarů ve vlastních komprimovaných souborech je polymorfních. Využívají strategii ochrany proti detekci, kdy kód samotný se často mění, ale účel a funkce malwaru zůstává stejná. Malwary ve vlastních komprimovaných souborech také využívají chytré způsoby vložení kódu do cílového procesu a změny jeho toku spouštění, čím často poškodí rutiny nástroje pro rozbalování. Některé z nich jsou výpočetně náročné, volají speciální API, která způsobují potíže při rozbalování.
Malwary ve vlastních komprimovaných souborech jsou stále sofistikovanější, aby skryly svůj útok, dokud není příliš pozdě.
Jak emulátor aplikace
Symantec Endpoint Protection
chrání proti malwarům ve vlastních komprimovaných souborech?
Vysokorychlostní emulátor v aplikaci
Symantec Endpoint Protection
zmate malware, aby si myslel, že je spuštěn v běžném počítači. Místo toho emulátor rozbalí a aktivuje malware ve vlastních komprimovaných souborech v odlehčeném virtuálním sandboxu v klientském počítači. Malware následně zcela otevře svoji zásobu kódu a ohrožení svého odhalení v zajištěném prostředí. Nástroj prověřování statistických dat, který zahrnuje antivirový modul a heuristický modul, se zaměří na zásobu kódu. Sandbox je dočasný a zmizí, jakmile je hrozba vyřešena.
Emulátor vyžaduje sofistikovanou technologii, která napodobuje operační systémy, API a pokyny pro procesor. Současně spravuje virtuální paměť a spouští různé heuristické a detekční technologie ke zkoumání nákladu. Zabere to průměrně 3,5 milisekundy pro čisté soubory a 300 milisekund u malwaru, přibližně stejnou dobu zabere uživatelům klientům kliknutí na soubor na ploše. Emulátor dokáže zjistit hrozby rychle a s minimálním dopadem na výkon a produktivitu, aby nedošlo k přerušení činnosti uživatelů klienta. Navíc emulátor využívá minimální množství místa na disku, maximálně 16 MB paměti ve virtuálním prostředí.
Emulátor spolupracuje s dalšími postupy ochrany, které zahrnují pokročilé strojové učení, omezení zneužívání paměti, sledování chování a analýzu pověsti. Někdy přichází do hry více modulů, spolupráce v reakci na zabránění, zjištění a odvrácení útoků.
Emulátor nepoužívá internet. Moduly s nástrojem prověřování statických dat však mohou vyžadovat internetový malware, který emulátor extrahoval z malwaru ve vlastních komprimovaných souborech.
Jak emulátor nakonfiguruji?
Emulátor je vestavěn do softwaru
Symantec Endpoint Protection
, takže ho nemusíte konfigurovat. Společnost Symantec pravidelně přidává nebo mění obsah emulátoru ohledně nových hrozeb a vydává čtvrtletní aktualizace obsahu modulu emulátoru. Ve výchozím nastavení funkce LiveUpdate automaticky stáhne tento obsah pomocí definic virů a spywaru.
Symantec Endpoint Protection Manager
nezahrnuje samostatné protokoly pro detekci, kterou provádí emulátor. Místo toho můžete najít libovolné detekce v protokolu rizik a protokolu skenování.