Os bancos de dados de assinatura protegeram nossos computadores de maneira eficaz por anos. Com a chegada de mais e mais ameaças, as empresas de antivírus tiveram que redobrar sua engenhosidade para lidar com malware desconhecido e imprevisível. A análise comportamental vai além, monitorando o sistema para bloquear ações suspeitas na origem. Vamos fazer um tour rápido para entender como um vírus é detectado e contra o que um antivírus o protege.
Análise heurística ou comportamental: dois lados da proteção avançada
Resumo dos episódios anteriores: no início estava o vírus. Incomum e fácil de identificar, o primeiro malware pode (e ainda pode) ser detectado por sua assinatura, uma sequência de bytes sucessivos que permite que sejam reconhecidos. Essas assinaturas são atualizadas regularmente e, portanto, só podem detectar ameaças conhecidas.Isso não era problema até que as ameaças se multiplicassem, em números muito grandes para permitir uma resposta ideal. Daí a necessidade de oferecer proteção que não apenas responda a um vírus conhecido, mas que possa prever sua natureza maliciosa analisando seu comportamento.
Dois métodos fornecem essa possibilidade. A primeira é a análise heurística, que consiste em vasculhar o software, seja "descompilando" seu código-fonte, seja executando-o em uma máquina virtual. Em seguida, detectamos se ele realiza ações que podem ser suspeitas ou comparamos a estrutura de seu código com as de ameaças já identificadas ou com padrões de comportamento potencialmente perigosos.
A análise comportamental está no nível do próprio sistema. Não é um arquivo que monitoramos passando por um scanner ou sandbox, é o sistema operacional como um todo. A proteção comportamental observa a atividade do sistema (Windows, Android, MacOS, etc.) e reconhece ações que parecem ser maliciosas, como solicitações a um servidor desconhecido, modificações de arquivos ou solicitações de acesso a locais no memória.
Os dois métodos coexistem e se complementam. Por exemplo, a heurística pode ter seus limites, pois muitas ameaças recentes incluem proteção contra emuladores. Neste momento, apenas a execução real do arquivo pode denunciá-lo.
Ransomware, ataques furtivos: a análise comportamental como um baluarte
A análise comportamental, com foco no sistema e não apenas nos arquivos, é um baluarte contra os ataques mais perniciosos, como "drive-by downloads", acionados por código executado em um navegador da web.
Na família de ameaças recentes que causaram danos específicos, o ransomware ou "ransomware" é normalmente o tipo de ataque em que a proteção comportamental desempenha um papel fundamental. O ransomware nasceu da mutação do cibercrime. Na época dos primeiros vírus, perder arquivos pessoais era o medo mais comum. Mas de que adianta destruir documentos que você tanto estima? Prejudicar o usuário ou a empresa, é claro. Por que não tomá-los como reféns em vez de uma tentativa deobter compensação financeira?
Isso é o que o ransomware faz. Eles atacam seus arquivos pessoais e aplicam um algoritmo de criptografia a eles para torná-los inacessíveis. Pague o resgate e você terá a chave. Na prática, isso nem é garantido.
Aqui, a análise comportamental será capaz de detectar essas alterações anormais, bloquear essas operações e, se necessário, restaurar os arquivos para sua versão anterior.
Limites e evoluções
A varredura comportamental se depara com o principal problema de qualquer tipo de varredura de vírus: falsos positivos. A operação incomum do sistema pode simplesmente ser não convencional, sem necessariamente ser maliciosa.No entanto, os módulos de análise comportamental também estão evoluindo e são ideais para uma das tendências recentes: aprendizado de máquina. Com o aprendizado progressivo, as soluções de segurança aproveitam cada vez mais as redes neurais para distinguir ações legítimas de suspeitas.
Outra armadilha vem em troca da eficácia desse tipo de análise. O monitoramento do comportamento de um sistema operacional pode consumir muitos recursos e, potencialmente, desacelerar tarefas pesadas. No entanto, esse é o preço a pagar para se beneficiar de uma camada de proteção mais eficaz contra a proliferação de ameaças online.
