Tecnologias da ESET: escaneamento UEFI e detecções de DNA

Seguinte

Se você é um usuário frequente de nosso blog, provavelmente já ouviu falar da proteção em múltiplas camadas da ESET. No entanto, é possível que nem tudo tenha ficado claro sobre o que isso significa e qual é a importância dessa característica para sua segurança. Por isso, nesta nova série dividida em seis partes, iremos explicar cada uma de nossas tecnologias. Hoje, é a vez do Modo de Escaneamento UEFI e as Detecções de DNA. 

Modo de Escaneamento UEFI

Como seu nome já diz, trata-se de uma camada exclusiva para proteger a Interface Unificada de Firmware Extensível, mais conhecida como UEFI. O que é o UEFI? Em poucas palavras, é uma interface que se inicia antes mesmo do Sistema Operacional, ou seja, o que dá o ponta pé para que o computador cumpra sua função. Por conta de seu funcionamento é uma interface mais fácil de analisar, no entanto, também agiliza a inserção de malware por parte dos atacantes.

Imagine um dia normal em casa; você inicia seu dispositivo, seja pessoal ou de trabalho. Assim que você aperta o botão “ligar”, o sistema começa a realizar suas tarefas correspondentes. Se um ator malicioso conseguisse inserir um malware nesta etapa, e seu equipamento não faz uso de uma boa solução de segurança capaz de explorar o firmware baseado no UEFI, o atacante poderia obter o controle absoluto do sistema. Isso significa que ele teria a chance de modificar senhas, executar programas, instalar aplicativos, entre outros. Além disso, é possível que esse acesso continue ali, até mesmo após uma resintalação do Sistema Operacional e/ou formatação do disco rígido.

Sabendo que o UEFI conta com capacidades avançadas para o controle de hardware, ele se torna uma plataforma muito atrativa que abre espaço para novas vulnerabilidades. Os atacantes, tendo isso em mente, tentam acessar o sistema utilizando rootkits (saiba mais em nosso glossário) ou ransomware.

No video abaixo, você pode conhecer um pouco mais sobre o UEFI e as diferenças entre seu antecessor, o BIOS:

Graças ao Modo de exploração, o firmware é monitorado de forma integral, e as medidas de segurança da ESET são aplicados ao ambiente antes mesmo da inicializaão do sistema. Caso nossa tecnologia detecte algum componente malicioso, o usuário é sempre notificado.

Em 2018, os investigadores da ESET descobriram o primeiro rootkit ativo de UEFI, chamado de LoJax. Leia mais aqui.

Detecções de DNA

Embora modificar ou esconder códigos maliciosos possa ser fácil para os atacantes, mudar seu comportamento não é. As detecções do ESET DNA são especialmente projetadas para identificar as características e o comportamento malicioso de malware. Como? Após uma profunda análise do código, são extraídos os "genes" responsáveis ​​por seu comportamento.

Esses genes são então utilizados ​​pela ESET para criar detecções de DNA, usadas para analisar códigos que podem ser suspeitos. Da mesma forma, nosso mecanismo de escaneamento é capaz de detectar genes usados ​​para identificar anomalias - qualquer ação que não pareça legítima é considerada potencialmente maliciosa.

O poder dos "genes" é tão grande, que uma única descrição comportamental de DNA é capaz de detectar dezenas de milhares de variantes de malware relacionadas. Em outras palavras, além do malware conhecido, nosso software pode detectar variantes novas e desconhecidas. Como isso acontece? A funcionalidade não procura objetos específicos, mas comportamentos suspeitos. Como o malware está em constante evolução, ter uma solução que identifique o código oculto será essencial para uma melhor proteção do sistema.

Imagine que você recebeu um arquivo executável suspeito e tem dúvidas sobre como fazer o download. Embora seja sempre aconselhável saber a origem e do que se trata o arquivo antes de abri-lo, assim que isso acontecer, nosso sistema primeiro emulará seu comportamento e fará uma análise básica de seu DNA. As informações obtidas serão utilizadas para identificar características do arquivo, observar quais processos deseja executar e analisar seu padrão de DNA. Desta forma, é possível determinar em qual categoria incluir o arquivo: limpo, potencialmente indesejado ou malicioso.

São muitas as maneiras que os atacantes que podem escapar da detecção, e uma única camada de segurança não é o suficiente para proteger totalemte um Sistema. O moto de análise da ESET constitui o núcleo de nossos produtos. Para detector novas ameaças, sua tecnologia está em constante desenvolvimento e inovação.

No próximo post, contaremos um pouco sobre nosso Motor de Machine Learning e o Sistema de proteção na Nuvem contra malware oferecidos pela ESET. Confira mais informações nossos produtos domésticos em nosso site!