{"id":12289,"date":"2019-09-12T19:09:26","date_gmt":"2019-09-12T22:09:26","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=12289"},"modified":"2020-05-20T17:39:05","modified_gmt":"2020-05-20T20:39:05","slug":"kaspersky-sandbox-patent","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/kaspersky-sandbox-patent\/12289\/","title":{"rendered":"Uma armadilha irresist\u00edvel para malwares"},"content":{"rendered":"

N\u00e3o vi o 6\u00ba filme da franquia Miss\u00e3o Imposs\u00edvel<\/a>, nem verei. Assisti ao 5\u00ba filme (em estado zumbi durante um longo voo para casa, depois de uma semana dif\u00edcil de neg\u00f3cios) apenas porque uma cena foi filmada em nosso moderno escrit\u00f3rio em Londres<\/a>. Para ser sincero, prefiro algo mais desafiador<\/a>, intelectualmente estimulante e interessante. Afinal, meu tempo \u00e9 curto e precioso.<\/p>\n

Por\u00e9m tenho que dar cr\u00e9dito ao menos para uma cena muito bem executada (do meu ponto de vista, intelectualmente estimulante). \u00c9 a parte em que os \u201cher\u00f3is\u201d precisam de um dos vil\u00f5es para delatar a opera\u00e7\u00e3o. Eles criam um ambiente falso em um \u201chospital\u201d onde a \u201cCNN\u201d exibia uma reportagem sobre o apocalipse nuclear. Satisfeito com a transmiss\u00e3o mundial de seu manifesto apocal\u00edptico, o vil\u00e3o entrega seus comparsas (ou era um c\u00f3digo de login?) como sua parte do acordo. Aqui est\u00e1 a sequ\u00eancia.<\/a><\/p>\n

Por que gosto da cena? Bem, por ilustrar muito bem um dos m\u00e9todos para detectar ciberamea\u00e7as anteriormente despercebidas! Existem muitos m\u00e9todos, que variam de acordo com a \u00e1rea de aplica\u00e7\u00e3o, efic\u00e1cia, uso de recursos e outros par\u00e2metros (escrevo<\/a> sobre eles regularmente). Mas h\u00e1 uma que sempre se destaca: emula\u00e7\u00e3o<\/a> (sobre a qual j\u00e1 escrevi bastante<\/a>).
\nComo no filme, um emulador inicia o objeto sob investiga\u00e7\u00e3o em um ambiente artificial isolado, o estimulando a revelar seu car\u00e1ter malicioso.<\/p>\n

Mas h\u00e1 uma grande desvantagem nessa estrat\u00e9gia: o pr\u00f3prio fato de o ambiente ser artificial. O emulador se esfor\u00e7a para fazer com que pare\u00e7a um verdadeiro sistema operacional. No entanto o malware, cada vez mais inteligente, ainda consegue distingui-lo de um ambiente real<\/em>. Quando o emulador distingue que foi descoberto, a emula\u00e7\u00e3o \u00e9 reorganizada e aprimorada. E assim por diante, em um ciclo intermin\u00e1vel que normalmente abre uma janela de vulnerabilidade em um computador protegido. O problema \u00e9 que nenhum emulador conseguiu ser a r\u00e9plica fiel de um sistema operacional real.<\/p>\n

Por outro lado, h\u00e1 outra op\u00e7\u00e3o para abordar a investiga\u00e7\u00e3o de comportamento de objetos suspeitos: an\u00e1lise \u2013 em um sistema operacional real \u2013 dentro de uma m\u00e1quina virtual. Bem, por que n\u00e3o? Se o emulador n\u00e3o o deter, deixe uma m\u00e1quina real (embora virtual) test\u00e1-lo! Seria o \u201cexperimento\u201d ideal: realizado em um ambiente real, mas sem as consequ\u00eancias negativas.<\/p>\n

Ao ouvir essa hip\u00f3tese, alguns se perguntam por que ningu\u00e9m pensou nisso antes. Afinal, virtualiza\u00e7\u00e3o \u00e9 considerada tecnologia comum desde 1992. Por\u00e9m, as coisas n\u00e3o s\u00e3o t\u00e3o simples.<\/p>\n

Primeiro, a an\u00e1lise de objetos suspeitos em m\u00e1quina virtual \u00e9 um processo que consome muitos recursos, ideal apenas para solu\u00e7\u00f5es de seguran\u00e7a de grandes empresas, em que a an\u00e1lise precisa ser profunda para que nenhum objeto malicioso burle as barreiras. Logo, n\u00e3o \u00e9 adequada para computadores dom\u00e9sticos, muito menos smartphones \u2026 por enquanto.<\/p>\n

Segundo, essas coisas realmente existem. Na verdade, j\u00e1 usamos esta tecnologia (modo interno da K<\/em>OMPANHIA) para nossas investiga\u00e7\u00f5es. Por\u00e9m, em termos de produtos adequados ao mercado, poucos est\u00e3o dispon\u00edveis. A concorr\u00eancia lan\u00e7ou produtos similares, mas sua efic\u00e1cia ainda deixa muito a desejar. Em geral, s\u00e3o limitados \u00e0 compila\u00e7\u00e3o de logs e an\u00e1lises b\u00e1sicas.<\/p>\n

Terceiro, iniciar um arquivo em uma m\u00e1quina virtual \u00e9 apenas o come\u00e7o de um processo muito longo e dif\u00edcil. Afinal, o objetivo do exerc\u00edcio \u00e9 fazer que o objeto com car\u00e1ter malicioso se revele. Para isso, \u00e9 necess\u00e1rio um hypervisor inteligente, an\u00e1lise e registro do comportamento, ajuste cuidadoso dos modelos de a\u00e7\u00f5es perigosas, prote\u00e7\u00e3o contra golpes antiemula\u00e7\u00e3o, otimiza\u00e7\u00e3o da execu\u00e7\u00e3o etc.<\/p>\n

Posso afirmar, sem falsa mod\u00e9stia, que estamos bem a frente em rela\u00e7\u00e3o ao resto do mundo!<\/p>\n

Recentemente, registramos uma patente nos EUA ( US10339301<\/a> ) sobre a cria\u00e7\u00e3o de um ambiente adequado para uma m\u00e1quina virtual executar an\u00e1lises r\u00e1pidas e profundas em objetos suspeitos. \u00c9 assim que funciona:<\/p>\n