W jaki sposób emulator w programie Symantec Endpoint Protection wykrywa i usuwa złośliwe oprogramowanie?

W programie
Symantec Endpoint Protection
14 wprowadzono nowy, wydajny emulator, którego zadaniem jest ochrona przed złośliwym oprogramowaniem przesyłanym za pośrednictwem ataków z użyciem niestandardowych programów kompresujących. W przypadku Automatycznej ochrony i skanowania antywirusowego emulator poprawia wydajność i efektywność skanowania o co najmniej 10 procent w porównaniu do poprzednich wersji. Ta metoda przeciwdziałania unikom sprawdza się w przypadku maskowanego oprogramowania destrukcyjnego, ponieważ wykrywa złośliwy kod, który został ukryty w niestandardowych pakietach.
Co to są niestandardowe programy kompresujące?
Wiele programów rozsyłających złośliwe oprogramowanie wykorzystuje do tego celu oprogramowanie służące do kompresowania i szyfrowania plików w celu ułatwienia ich transportu. Takie pliki po dostarczeniu na komputer użytkownika są wykonywane w pamięci.
Programy kompresujące same z siebie nie są złośliwym oprogramowaniem, ale osoby atakujące używają ich do ukrywania złośliwego oprogramowania i prawdziwego przeznaczenia kodu. Po rozpakowaniu złośliwego oprogramowania jest ono wykonywane, uruchamia swoją zawartość, często omijając zapory, bramy i programy chroniące przed złośliwym oprogramowaniem. Osoby atakujące przestały korzystać z komercyjnych programów kompresujących (takich jak UPX, PECompact, ASProtect, and Themida) na rzecz tworzonych przez siebie niestandardowych programów kompresujących. Programy takie wykorzystują własne algorytmy, które pozwalają im omijać standardowe techniki wykrywania.
Wiele nowych niestandardowych programów kompresujących jest polimorficznych. Korzystają ze strategii zapobiegającej ich wykrywaniu, w ramach której sam kod często się zmienia, ale cel i funkcje złośliwego oprogramowania pozostają bez zmian. Niestandardowe programy kompresujące wykorzystują też pomysłowe sposoby na umieszczenie kodu w procesie docelowym i zmieniają jego cykl wykonywania, często rezygnując ze standardowych zadań dekompresji. Niektóre z takich programów mocno obciążają procesor komputera, tworząc wywołania do specjalnych interfejsów, które utrudniają proces dekompresji.
Niestandardowe programy dekompresujące stają się coraz bardziej zaawansowane, ukrywając atak do momentu, gdy jest już za późno, by mu zapobiec.
W jaki sposób emulator
Symantec Endpoint Protection
chroni przed niestandardowymi programami kompresującymi?
Emulator o dużej prędkości w programie
Symantec Endpoint Protection
powoduje, że złośliwe oprogramowanie myśli, że działa na zwykłym komputerze. Tymczasem emulator rozpakowuje i niszczy plik spakowany niestandardowym programem kompresującym w lekkiej piaskownicy wirtualnej na komputerze klienckim. Złośliwe oprogramowanie uruchamia wtedy całkowicie swoją zawartość, powodując, że zawarte w nim zagrożenia ujawniają się w zamkniętym środowisku. W tym momencie zawartością zajmuje się skaner danych statycznych, który zawiera silnik programu antywirusowego oraz mechanizm heurystyczny. Piaskownica jest ulotna i znika po zlikwidowaniu zagrożenia.
Emulator wymaga zaawansowanych technologii, które naśladują działanie systemów operacyjnych, interfejsów API i instrukcji procesora. Zarządza jednocześnie pamięcią wirtualną i uruchamia różne technologie heurystyczne i wykrywające, które badają zawartość złośliwego oprogramowania. Sprawdzenie czystego pliku trwa średnio 3,5 milisekundy, a zainfekowanego oprogramowania 300 milisekund, w mniej więcej tym samym czasie, gdy użytkownik klika plik na pulpicie. Emulator jest w stanie błyskawicznie wykryć zagrożenia, mając minimalny wpływ na wydajność i produktywność, tak więc działania użytkowników nie są przerywane. Co więcej, emulator wykorzystuje minimalną ilość przestrzeni na dysku, maksymalnie 16 MB pamięci w środowisku wirtualnym.
Emulator współpracuje z innymi technologiami ochronnymi, takimi jak zaawansowane uczenie maszynowe, funkcja ograniczania ataków na pamięć, monitorowanie zachowania i analiza reputacji. Czasami działa nawet kilka mechanizmów, współpracując, by zapobiegać atakom, wykrywać je i naprawiać ich skutki.
Emulator nie wykorzystuje połączenia z Internetem. Jednak mechanizmy ze skanerem danych statycznych mogą wymagać połączenia z Internetem w zależności od tego, jakiego rodzaju złośliwe oprogramowanie zostało wyciągnięte z niestandardowego programu kompresującego.
Jak skonfigurować emulator?
Emulator jest zintegrowany w oprogramowaniu
Symantec Endpoint Protection
, nie trzeba go więc konfigurować. Symantec regularnie dodaje lub zmienia treści emulatora, by uwzględnić nowe zagrożenia. Co kwartał wydawane są też aktualizacje treści mechanizmu emulatora. Domyślnie funkcja LiveUpdate automatycznie pobiera te treści wraz z definicjami wirusów i programów typu spyware.
Program
program Symantec Endpoint Protection Manager
nie zawiera oddzielnych dzienników zagrożeń wykrytych przez emulator. Wszystkie wykryte zagrożenia można znaleźć w dzienniku zagrożeń i dzienniku skanowania.