Comment l'émulation sous Symantec Endpoint Protection détecte et neutralise-t-il les malwares ?

Symantec Endpoint Protection
14 a introduit une nouvelle émulation puissante pour la protection contre les malwares provenant des attaques de packers personnalisés. En ce qui concerne les analyses antivirus et Auto-Protect, cette émulation améliore les performances et l'efficacité d'analyse d'au moins 10 % comparativement aux versions précédentes. Cette solution anti-évasion implique des techniques d'obfuscation de malwares compressés et détecte tout malware dissimulés à l'intérieur de packers personnalisés.
Qu'est-ce que les packers personnalisés ?
De nombreux programmes malveillants utilisent des « packers » ou des logiciels qui sont utilisés pour compresser ou chiffrer des fichiers pour leur transfert. Ces fichiers sont ensuite exécutés en mémoire à l'arrivée sur l'ordinateur de l'utilisateur.
Bien que les packers eux-mêmes ne soient pas des malwares, les pirates les utilisent pour dissimuler des malwares et cacher leur vraie intension. Une fois que le malware est déballé, il est en cours d'exécution et lance sa charge malveillante, en contournant souvent les pare-feux, les passerelles et la protection contre les malwares. Les pirates sont passés des packers commerciaux habituels (comme UPX, PECompact, ASProtect, et Themida) pour créer des packers personnalisés. Ces packers personnalisés utilisent des algorithmes exclusifs pour contourner les techniques de détection standard.
La plupart des packers personnalisés émergents sont polymorphes. Ils utlisent une stratégie anti-détection où le code lui-même change régulièrement, mais l'objectif et la fonctionnalité du malware reste les mêmes. Les packers personnalisés utilisent également des moyens sophistiqués pour injecter le code dans un processus cible et changer son flux d'exécution, destabilisant fréquemment des routines des unpackers. Certains d'entre eux sont intensifs du point de vue informatique, faisant appel aux API spéciaux qui rendent le déballage difficile.
Les packers personnalisés sont incroyablement sophistiqués pour dissimuler l'attaque jusqu'à ce qu'il soit trop tard.
Comment l'émulation
Symantec Endpoint Protection
protège-t-elle contre les packers personnalisés ?
L'émulation à haute vitesse dans le
Symantec Endpoint Protection
trompe le malware et lui fait penser qu'il s'exécute sur un ordinateur régulier. L'émulation déballe plutôt et explose le fichier compressé de façon personnalisée dans un sandbox virtuel léger sur l'ordinateur client. Le malware ouvre alors totalement sa charge, laissant les menaces de manifester dans un environnement contenu. Un analyseur de données statiques qui inclut le moteur antivirus et le moteur heuristique agit sur la charge. Le sandbox est éphémère et disparaît une fois que la menace a été neutralisée.
L'émulation nécessite une technologie sophistiquée qui imite les systèmes d'exploitation, les API et les instructions des processeurs. Elle gère simultanément la mémoire virtuelle et exécute différentes technologies heuristiques et de détection pour examiner la charge. Elle prend en moyenne 3,5 milliseconds pour les fichiers propres et 300 millisecondes pour le malware, à peu près pendant le même intervalle, il pousse les utilisateurs clients à cliquer sur un fichier sur leur bureau. L'émulation peut détecter des menaces rapidement avec une performance minimale et un impact négligeable sur la productivité, donc les utilisateurs clients ne sont pas interrompus. Par ailleurs, l'émulation utilise une quantité minimale de l'espace disque, un maximum de 16 Mo de la mémoire dans l'environnement virtuel.
L'émulation fonctionne avec d'autres techniques de protection qui inclut l'Advanced Machine Learning, la prévention contre les exploits en mémoire, le suivi du comportement et l'analyse de réputation. Parfois, plusieurs moteurs entrent en jeu, collaborent pour trouver une stratégie de prévention, de détection et d'élimination des attaques.
L'émulation n'utilise pas Internet. Toutefois, les moteurs dans l'analyseur des données statiques pourraient avoir besoin d'Internet en fonction de l'émulation extraite du packer personnalisé.Voir :
Comment puis-je configurer l'émulation ?
Cette émulation est intégrée dans le logiciel
Symantec Endpoint Protection
, donc, vous n'avez pas besoin de la configurer. Symantec ajoute ou change régulièrement le contenu de l'émulation pour les nouvelles menaces et publie des mises à jour de contenus sur une base trimestrielle pour le moteur d'émulation. Par défaut, LiveUpdate télécharge automatiquement ce contenu avec les définitions du virus et du spyware.Voir :
 instance de Symantec Endpoint Protection Manager
n'inclut pas de journaux séparés pour les détections que l'émulation fait. À la place, vous pouvez rechercher des détections dans le journal des risques et le journal d’analyse.Voir :