El CTO de Avast, Ondrej Vlceck, nos explica en este artículo qué es y cómo funciona la nueva tecnología CyberCapture, exclusiva de Avast Antivirus.

CyberCapture: Protección contra los ataques cero-segundos

Hace unos pocos meses os presentamos la nueva gran actualización de Avast, a la que nos referimos como Avast Antivirus Nitro Update. El nombre de la actualización es Nitro porque está llena de innovaciones y nuevos métodos para incrementar la velocidad y la protección. Uno de las tecnologías utilizadas para incrementar la protección es nuestra nueva tecnología propietaria CyberCapture. CyberCapture eleva drásticamente el nivel de protección frente a los ataques llamados cero-segundos.

CyberCapture comprueba los bits más pequeños de un archivo para determinar si es seguro

El panorama de las amenazas ha incrementado significativamente durante los últimos años y el malware se ha convertido en un negocio lucrativo para los cibercriminales. Las amenazas son más sofisticadas y la esperanza de vida del malware ha cambiado drásticamente con el uso de polimorfismo de servidor y ataques con objetivos específicos. Un polimorfismo de servidor es cuando una muestra de malware tiene como objetivo un usuario para después mutar y atacar a otro usuario, creando ataques cero-segundos que son muy difíciles de prevenir utilizando métodos de protección tradicionales. Dado que las muestras cambian de forma constantemente su esperanza de vida se ha disminuido radicalmente, permitiendo a los cibercriminales centrarse en campañas grandes y rápidas para infectar al máximo número de víctimas en el menor tiempo posible. CyberCapture detecta en tiempo real archivos desconocidos y que hayan cambiado de forma y te protege de ataques cero-segundos.

En pocas palabras, CyberCapture es un escáner inteligente de archivos basado en la nube. En vez de confiar únicamente en las últimas firmas de virus, CyberCapture aísla archivos sospechosos en un entorno seguro y automáticamente establece un canal de comunicación con el Laboratorio de amenazas de Avast para un análisis inmediato. Esto nos permite eliminar todo el código falso, distracciones en el código y otras técnicas que los creadores del malware utilizan para esconder sus verdaderas intenciones. Al eliminar las capas de código ofuscado en un entorno limpio en nuestra nube, CyberCapture es capaz de diseccionar por completo y observar los comandos de nivel binario del interior del malware y entender por completo las instrucciones ocultas en ellos.

CyberCapture es la evolución de nuestra tecnología DeepScreen, que era utilizada para analizar localmente archivos desconocidos en un entorno virtual. DeepScreen tenía dos problemas principales. El primero, dependía del componente de virtualización NG, que no era compatible con todos los sistemas (requería de algunas opciones activadas en el BIOS del sistema, etc.). Segundo, permitía al archivo desconocido ejecutarse en un entorno seguro durante un breve periodo de tiempo (normalmente, 10-15 segundos), disminuyendo la precisión del algoritmo de toma de decisiones. Al mover dicha tecnología a la nube, y utilizando el tiempo necesario para un correcto análisis del archivo, estamos añadiendo un nivel extra de protección que será muy difícil de sobrepasar por parte de los atacantes.

Al desarrollar CyberCapture, nos esforzamos en reducir el tiempo entre el descubrimiento del malware y el despliegue de una detección. Movimos la tecnología a la nube, de modo que podemos aprovechar todas nuestras armas pesadas para analizar las muestras en un ambiente controlado. Además, ejecutar nuestros poderosos motores de detección en nuestro backend significa que los cibercriminales tienen que tocar nuestra nube para poder probar las habilidades de sus productos, lo que no sólo les complica la vida, sino que también nos permite verlos.

Normalmente, los análisis automatizados necesitan hasta dos horas para tomar una decisión fiable sobre el archivo. En algunos casos, nuestros motores automáticos no serán capaces de tomar una decisión, por lo que serán nuestros analistas los que analizarán manualmente el archivo. Durante ese tiempo, el archivo está “capturado” y no puede causar ningún daño. Cuando finalice el análisis, el usuario será notificado sobre los resultados y el archivo será enviado a cuarentena o será liberado y se le permitirá su ejecución.

CyberCapture adquiere inteligencia frente a nuevos virus. Esto significa que mejorará orgánicamente a medida que sea utilizado y, por lo tanto, seguirá aumentando su rendimiento con el tiempo. En Avast estamos muy contentos por esta nueva tecnología y creemos en su potencial. Nuestro equipo ha trabajado mucho para mantener a salvo a todos nuestros usuarios de todo el mundo, algo en lo que CyberCapture va a tomar un rol muy importante.