malw

 malwCAMP usa lista negra, lista branca e características de arquivo executável para pegar quase 100% de todos os downloads maliciosos.
Os pesquisadores do Google desenvolveram um sistema cliente-servidor que usa lista negra, lista branca e as características de um arquivo executável para pegar quase 99% de todos os downloads maliciosos.

O “Content-Agnostic Malware Protection system” (também chamado de CAMP), foi descrito em uma pesquisa apresentada em fevereiro (.pdf) no Simpósio de Segurança Distributed System. O sistema para o navegador Chrome é destinado a suprir as deficiências inerentes de usar listas brancas e listas negras como uma defesa contra binários maliciosos.

“Na prática, essas abordagens continuam a oferecer valor para binários populares em ambos os extremos da malícia – o atual surto de malware, os binários benignos entregues com um OS – mas fazer a ponte entre whitelist e detecção de malware da Web com o uso de lista negra continua a ser um desafio significativo”, de acordo com o trabalho de pesquisa de Moheeb Abu Rajab, Lucas Ballard, Lutz Noe, Panayiotis Mavrommatis e Niels Provos.

Os pesquisadores afirmam que em 70% do tempo o CAMP pode detectar downloads maliciosos no computador, com o restante do tempo voltado para uma análise mais profunda em um servidor do Google. Manter a análise tanto quanto possível no cliente é importante para proteger a privacidade do utilizador.

Quando os sistemas de antivírus baseados em nuvem são utilizados, os binários normalmente são enviados para a nuvem para exame, resultando em uma perda muito maior de privacidade, disse o Google. “Enquanto o CAMP também leva a detecção de malware para a nuvem, ele reduz o impacto sobre a privacidade, empregando listas brancas para que a maioria das URLs de download fique dentro do navegador e não precisem ser enviadas para um terceiro”, diz o documento. “Cargas (payloads) binárias nunca deixam o navegador.”

O CAMP
O uso do navegador em vez de um servidor remoto para algumas tarefas é uma diferença fundamental entre o CAMP e tecnologia SmartScreen da Microsoft. O segundo é usado no Internet Explorer para proteger contra downloads e links maliciosos.

Em termos de taxas de detecção, os principais antivírus detectam entre 35% e 70% de malware binários, enquanto a taxa de sucesso do CAMP é de 98,6%, segundo o estudo.

Durante o período de avaliação de seis meses, o Google testou o CAMP em computadores Windows de 200 milhões de usuários, e identificou cerca de 5 milhões de downloads maliciosos por mês.

O sistema primeiramente compara o download contra uma lista branca de conhecidos executáveis benignos e uma lista negra de malwares conhecidos. A lista negra também envolve a comunicação com o servidor do Safe Browsing do Google.

Se uma determinação clara não pode ser feita usando as listas, então o CAMP começa a análise com as características que o navegador coletou do binário. Isso inclui a URL de transferência final e o endereço IP do servidor que hospeda o download, bem como o tamanho do binário, hashes e certificados associados.

O navegador também registra a URL que refere o usuário do computador ao download. Isto é importante, porque o endereço pode ser examinado para determinar se é parte de uma cadeia de redirecionamentos de URL configurada para esconder o original. Várias referências são um bom indicador de malware.

Uma vez que toda a informação é coletada, ela é enviada aos servidores do Google, que analisam os dados e decidem se o binário é benigno, malicioso ou desconhecido. A decisão é passada para o navegador, que fornece uma notificação para o usuário.

Única falha

No entanto, Lance James, cientista-chefe do fornecedor do aplicativo de segurança Vigilant, disse que, como um sistema de segurança global, o CAMP peca em não pegar malwares que exploram vulnerabilidades no navegador.

Tal malware muitas vezes invade um computador por e-mail, sendo os destinatários convencidos a clicar em um anexo que entrega o código malicioso.

“[O CAMP] pode ser capaz de ver 99% do malware baixado por meio do navegador, mas não vai identificar 99% de malware que nunca é visto pelo navegador”, disse James. “Há um grande ponto cego e isso é um problema.”

 Fonte: www.idgnow.uol.com.br