La detección del malware ahora es híbrida

¿No sería genial si pudiéramos tener una solución simple para el problema del malware? Por ahora, lo más fácil es implementar las más complicadas. Symantec nos muestra el camino.

¿Qué podemos hacer con el malware? La solución a largo plazo, al menos para redes corporativas bien gestionadas, son las listas blancas. Pero mientras tanto, nos vemos desbordados por nuevas variantes cada día. En su nueva generación de productos para 2009, Symantec esta intentando aplicar un nuevo enfoque: la reputación de cada fichero. Todavía es temprano para ver si realmente funciona bien, pero parece que la cosa tiene grandes posibilidades.

Es público que el método clásico para escanear malware es insostenible. No es viable para las empresas de anti-malware tener una firma para cada nueva variante, y además, esperamos que los productos de detección funcionen correctamente la primera vez que se detecte una nueva en el equipo del cliente. Por esa razón se utilizan los análisis heurísticos, que también tienen sus limitaciones.

Esta el típico comportamiento de bloqueo, donde un IPS (Intrusion Prevention System) busca algún comportamiento malicioso al ejecutar el software, y lo bloquea; esto significa que el malware ya se esta ejecutando en tu sistema, e incluso si tu IPS lo ha bloqueado, tienes la preocupación de saber qué es lo que ha podido hacer anteriormente. Además, los IPS tienen potencialmente muchos falsos positivos.

El caso del método heurístico, donde los archivos son escaneados antes de cargarse para buscar características potencialmente maliciosas, es aún peor, pues es aún más susceptible a falsos positivos. Este tipo de análisis juegan un papel importante, pero los intentos de construir productos íntegramente heurísticos contra el malware han sido un fracaso.

symantec_logo.jpg

Los productos Symantec Norton 2009 utilizan estas y otras técnicas. La compañía ha añadido una lista blanca; de forma que además de la base de datos de firmas con aplicaciones “malas”, también tiene una base de datos con aplicaciones “buenas”. De esta manera, una vez que se sabe que una aplicación o archivo no es peligroso, simplemente no es necesario que sea analizado por el motor de análisis. Un sistema Windows típico tendrá bastantes archivos de esta clase, incluyendo los del propio sistema operativo, o de otras aplicaciones tan famosas como el Office. En ese caso, no es preciso escanearlos en busca de malware, pero si verificarlos (Symantec utiliza un firma SHA256) y comprobar que realmente son los indicados en la lista blanca o “whitelist”.

Sólo los archivos desconocidos necesitan ser escaneados

Como resultado, sólo los archivos desconocidos han de ser escaneados, pero como ya hemos indicado, hay limitaciones lógicas para esto. No encontrar malware en un archivo, no demuestra que no lo contenga. Así que para resolverlo, Symantec ha añadido el concepto de la reputación de archivo.

Imagina una curva asintótica que represente la prevalencia de un archivo en el mundo. Los ficheros más conocidos, como “excel.exe”, aparecerán en la parte más alta de la izquierda. Más abajo estarán los archivos menos conocidos y los malware más conocidos. Aún más abajo, lo que Symatec llama el “long tail” de la curva, estarán los archivos que aparecen muy raramente. Pueden ser legítimos, o una nueva variante de malware de la que aún sólo existen una docena de copias en todo el mundo. La mayoría de los nuevos tipos de malware se encontrarán en esta parte de la curva.

Para conseguir la información de los archivos con la que construir esta reputación, Symantec recoge los datos de los clientes que lo han aceptado, a través del Norton Community Watch, que envía información de los archivos de una máquina a la compañía. Symantec no es especialmente comunicativo acerca del algoritmo que calcula la reputación, aunque no es complicado imaginarse algunos de los factores que intervienen en él.

Supongamos que un nuevo archivo llega a un equipo, o una nueva web es visitada. Sin otros controles, como las listas negras, y tras comprobarse que no existe reputación del archivo, se calcula una firma SHA256, y los datos son cargados en la red de Norton. En este punto, según Symantec, si el archivo no esta aún en su base de datos, se practican una serie de estadísticas “mágicas”, que arrojan una reputación numérica. El análisis inicial puede complementarse también con un análisis heurístico más detallado que es realizado en el PC remoto. Además, como cualquier cosa es posible en los equipos que tienen estos archivos, la reputación puede mejorar o empeorar según lo que pase tras su presencia.

Este sistema esta en funcionamiento desde hace algo más de un año, y Symantec dice que 18 millones de usuarios ya lo utilizan en sus productos. Es una muestra realmente grande pero, ¿realmente funciona? Esto es algo que decidirán los test, pero lo cierto es que los niveles de detección de malware de Symantec siempre han estado en los primeros puestos de cualquier análisis serio que hayamos consultado.

El nuevo enfoque de Symantec parece lógico, aunque estremece su complicación. Son muchas formas para verificar los archivos, y muchos resultados diferentes durante el proceso. Una solución tan simple como una lista blanca 100% eficaz sería lo ideal, claro, si es que fuera posible.