Il rilevamento basato esclusivamente su firma virale non è efficace: una leggera modifica del file (ad esempio, un singolo byte aggiunto alla fine) comporta che l’intero file diventa non rilevabile.malware-legali

Per superare i limiti dell’approccio basato su firma, il campione viene sottoposto all’analisi di un sistema di rilevamento automatico basato sull’euristica, che confronta il suo comportamento con quelli tipici di tutte le famiglie di malware già note.

Il vantaggio di questo approccio è che permette di rilevare nuovi campioni di malware che mostrano comportamenti simili, anche se il contenuto del file (e di conseguenza il suo hash) è differente.
Il processo di individuazione basato su euristica si basa sull’utilizzo di un sistema automatizzato ed utilizza tecniche di machine learning per estrarre le sequenze di istruziomachine-learning-featuredni che vengono eseguite. La macchina non presta particolare attenzione a cosa servono queste sequenze di comandi, ma gli è sufficiente sapere che queste sequenze o combinazioni di sequenze sono caratteristiche di una certa famiglia di malware. Dopo diverse iterazioni gli indicatori di comportamento più importanti vengono automaticamente registrati ed associati al file analizzato.

Diversamente dal sistema automatico, un analista esperto è in grado di capire esattamente cosa è in grado di fare il campione in analisi, nonostante il malware possa provare ad ingannare il sistema di analisi euristica, l’analista è in grado di osservare i comportamenti evidentemente malevoli.

Questi due differenti approcci possono lavorare in parallelo, in particolare quando il sistema automatico ha fornito un responso incerto, il parere di un esperto è necessario.

Per sfuggire all’individuazione i criminali informatici possono cambiare le funzionalità dei propri malware, ma ci sono delle limitazioni. Ad esempio una funzionalità tipica di una famiglia di malware nota come “Trojan-wap-billing-trojans-featured-1024x673Download” è scaricare dei file tramite collegamenti malevoli, salvando sul disco un altro malware ed eseguendo il file appena scaricato. I programmatori hanno appena dieci tecniche di programmazione per poter scaricare un file da internet e non più di cinque tecniche per poterlo eseguire. Quando un criminale li ha provati tutti ed ha capito che tutte queste tecniche vengono individuate, può solamente rinunciare oppure sperare che la propria vittima utilizzi un sistema privo di una tecnica di analisi comportamentale.

I criminali possono usare altri piccoli trucchi per ingannare e quindi sfuggire all’analisi comportamentale. Conoscendo le caratteristiche dell’ambiente di analisi, possono introdurre lunghi periodi di attesa o capire se il sistema ha alcune caratteristiche che l’ambiente di analisi non può fornire.
Queste tecniche vengono individuate dai sistemi come tentativi di sfuggire all’analisi euristica e classificati come comportamenti tipici di malware. La loro presenza è utilizzata come indicatore.

Inizia una prova gratuita senza limitazioni della soluzione Kaspersky Endpoint Security for Business oppure scrivi all’indirizzo rivenditori@questar.it o telefona allo 035-6666.399