In che modo l'emulatore di Symantec Endpoint Protection rileva ed elimina il malware?

Symantec Endpoint Protection
14 ha introdotto un nuovo e potente emulatore per proteggere dagli attacchi del malware nascosto in packer personalizzati. Per Auto-Protect e scansioni antivirus, questo emulatore migliora le prestazioni e l'efficacia delle scansioni di almeno il 10% rispetto alle versioni precedenti. Questa tecnica anti-evasione combatte i metodi di offuscamento del malware compresso e individua il malware nascosto in packer personalizzati.
Che cosa sono i packer personalizzati?
Molti programmi malware impiegano dei "packer", ossia dei programmi software utilizzati per comprimere e crittografare i file per il trasporto. Questi file sono quindi eseguiti nella memoria all'arrivo nel computer dell'utente.
Benché i packer non siano malware di per sé, gli aggressori li utilizzano per nascondere il malware e il vero scopo del codice. Una volta decompresso, il malware viene eseguito e avvia il suo payload nocivo, spesso aggirando firewall, gateway e protezione anti-malware. Gli aggressori sono passati dall'utilizzo di packer commerciali (come UPX, PECompact, ASProtect e Themida) alla creazione di packer personalizzati. I packer personalizzati utilizzano algoritmi proprietari per aggirare le tecniche di rilevamento standard.
Molti dei nuovi packer personalizzati sono polimorfici. Utilizzano una strategia anti-rilevamento con la quale il codice si modifica spesso, ma lo scopo e la funzionalità del malware restano immutati. I packer personalizzati utilizzano anche metodi astuti per iniettare il codice in un processo di destinazione e modificarne il flusso di esecuzione, spesso eliminando le routine di decompressione. Alcuni possono richiedere un'elaborazione intensa, richiamando API speciali che rendono difficile la decompressione.
I packer personalizzati sono diventati sempre più sofisticati per nascondere l'attacco fino a quando non è troppo tardi.
In che modo l'emulatore di
Symantec Endpoint Protection
protegge dai packer personalizzati?
L'emulatore ad alta velocità in
Symantec Endpoint Protection
inganna il malware facendogli credere di venire eseguito nel computer. In realtà, l'emulatore decomprime e fa detonare il file compresso personalizzato in una sandbox virtuale leggera all'interno del computer client. Il malware apre quindi completamente il proprio payload, spingendo le minacce a rivelarsi in un ambiente contenuto. Un rilevatore di dati statici, che include il motore antivirus e il motore euristico, agisce sul payload. La sandbox è temporanea e scompare una volta rimossa la minaccia.
L'emulatore richiede una tecnologia sofisticata che simula sistemi operativi, API e istruzioni del processore. Gestisce la memoria virtuale ed esegue diverse tecnologie euristiche e di rilevamento contemporaneamente per esaminare il payload. In media, sono necessari 3,5 millisecondi per i file sicuri e 300 millisecondi per il malware, più o meno lo stesso tempo impiegato dagli utenti del client a fare clic su un file sul desktop. L'emulatore può rilevare minacce rapidamente con un impatto minimo sulle prestazioni e sulla produttività, quindi senza interruzioni per gli utenti del client. Inoltre l'emulatore utilizza una quantità minima di spazio su disco e un massimo di 16 MB di memoria nell'ambiente virtuale.
L'emulatore funziona insieme ad altre tecniche di protezione, che includono l'apprendimento automatico avanzato, la mitigazione degli exploit della memoria, il monitoraggio del comportamento e l'analisi del livello di reputazione. A volte si attivano più motori, che collaborano nel tentativo di prevenire, rilevare e riparare gli attacchi.
L'emulatore non utilizza Internet. Tuttavia, i motori all'interno del rilevatore di dati statici potrebbe richiedere Internet a seconda del malware che l'emulatore estrae dal packer personalizzato.
Come si configura l'emulatore?
L'emulatore è integrato nel software di
Symantec Endpoint Protection
, quindi non è necessario configurarlo. Symantec aggiunge o modifica regolarmente i contenuti dell'emulatore per le nuove minacce e distribuisce aggiornamenti dei contenuti trimestrali per il motore di emulazione. Per impostazione predefinita, LiveUpdate scarica automaticamente questo contenuto con le definizioni di virus e spyware.
Symantec Endpoint Protection Manager
non include registri separati per i rilevamenti effettuati dall'emulatore. È però possibile trovare i rilevamenti nei registri dei rischi e delle scansioni.