Wykrywanie malware – zabezpiecz się przed wirusami
Ochrona przed złośliwym oprogramowaniem
Gdy użytkownik zażąda uruchomienia pliku z uprawnieniami lokalnego administratora, zostaje on przeskanowany przy pomocy ponad 20 silników antywirusowych. Pozwala to na zablokowanie złośliwego oprogramowania, bez ryzyka utraty wydajności i zgodności z innymi systemami.
Jeśli plik zostanie oznaczony jako złośliwy – moduł malware detection zadba o zablokowanie go, zanim wyrządzi jakiekolwiek szkody. Oprogramowania, z których obecnie korzystamy to:
Jak to działa?
Jeśli uruchamiany przez użytkownika z uprawnieniami administratora lokalnego plik zostanie zdefiniowany jako złośliwy, następuje jego natychmiastowa blokada. Pojedynczy program antywirusowy nie zawsze jest w stanie wychwycić zagrożenie. Dlatego technologia malware detection, w Admin By Request, obejmuje szereg programów odpowiadających za weryfikację pliku.
Zaplecze
Możliwość skanowania plików i wykrywania złośliwego oprogramowania jest możliwa dzięki integracji Admin By Request z usługą MetaDefender – naszego partnera OPSWAT. Zachęcamy do zapoznania się ze szczegółami tej współpracy. OPSWAT jest liderem w zakresie ochrony w cyberprzestrzeni i chmurze. Używany jest przez 98% amerykańskich elektrowni jądrowych. Technologia ta, jest także zintegrowana z produktami Cisco.
Lista programów antywirusowych będzie na bieżąco rosła, ponieważ OPSWAT stale podpisuje kontrakty z coraz większą liczbą dostawców.
Realne zagrożenie – przykład
Złośliwe oprogramowanie często ukryte jest w plikach i programach, które kuszą brakiem potrzeby zapłaty za nie, bądź są szybkim rozwiązaniem Twojego problemu. Poniżej znajduje się przykładowy film, który obrazuje jak szybko i nieświadomie możesz sprowadzić na swoje urządzenie oprogramowanie typu malware.
Jak w praktyce działa malware detection?
Użytkownik, który zapomniał hasła do pliku PST programu Outlook, szuka rozwiązania swojego problemu. Próbuje zainstalować narzędzie do odzyskania hasła PST, co natychmiastowo zostaje zweryfikowane. Zainfekowany plik zostaje przechwycony przez MetaDefender i tym samym zablokowany. Uruchamiane przez Ciebie i użytkowników systemu pliki przechodzą przez wiele weryfikacji antywirusowych. Możesz więc mieć pewność, że nie okażą się one złośliwe.
Blokowanie złośliwego oprogramowania w trakcie sesji administratora
Testy pod kątem złośliwego oprogramowania są stale wykonywane. Proces ten zachodzi nawet w przypadku trwającej sesji administratora lokalnego, uruchomionej za pomocą opcji “Run as administrator”. Proces ten jest transparentny, dla użytkownika, ponieważ całość skanowania odbywa się w tle.
Jak widać na złączonym filmiku – zablokowanie zagrożonego pliku wymusi także zakończenie czasowej sesji administratora, a powiadomienie e-mail zaalarmuje o ryzykownej aktywności.
Jak to działa w praktyce?
W jaki sposób zachowany jest kompromis między odebraniem praw administratora, a efektywnością w wykonywaniu obowiązków przez użytkowników?
Pracownik, próbujący uruchomić plik z podwyższonymi uprawnieniami, spowoduje wywołanie interfejsu API, zawierającego sumę kontrolną SHA256 uruchamianego pliku. Suma kontrolna to sposób na jednoznaczną identyfikację pliku. Jeśli parametr ten znajduje się w centralnej bazie danych MetaDefender i oznaczony jest jako złośliwy – użytkownik końcowy otrzyma wiadomość o zablokowaniu procesu uruchamianego programu.
Sprawdzenie sumy kontrolnej zajmuje mniej niż 0,1 sekundy. Nie powoduje to więc marnowania czasu i utraty wydajności pracy użytkownika.
Skanowanie plików w chmurze
Baza danych MetaDefender zawiera około 10 miliardów rekordów wyników skanowania sum kontrolnych plików. Im bardziej powszechny jest plik, tym większe prawdopodobieństwo, że znajdzie się w bazie. Statystycznie – 75% sum kontrolnych jest znanych i określonych w tym zbiorze. W pozostałych 25% przypadkach, możesz zdecydować się na przekierowanie pliku do chmury MetaDefender, gdzie zostanie on indywidualnie przeskanowany.
Plik wysyłany jest do chmury MetaDefender w celu skanowania go przy użyciu wszystkich programów antywirusowych. Czas transferu zależy od rozmiaru pliku i przepustowości na urządzeniu końcowym. Samo skanowanie jednak, zajmuje mniej niż 10 sekund. Jeśli plik zostanie zdefiniowany jako podejrzany – nastąpi jego blokada.
Weź pod uwagę, że:
Uruchamiany plik przekazywany jest bezpośrednio do MetaDefender. Nie znajduje się on w chmurze Admin By Request.
MetaDefender nie przechowuje Twojego pliku. Znajduje się on tam jedynie na czas skanowania. Więcej informacji znajdziesz w dokumencie MetaDefender Cloud Privacy Policy
Po jednokrotnym przesłaniu pliku, jego suma kontrolna jest już znana i nie zostanie zeskanowana ponownie przed upłynięciem 7 dni.
W przypadku przesłania tego samego pliku przez dowolnego użytkownika przed upływem 7 dni, czas ten zostanie zresetowany.
Jeśli odznaczysz opcję “Cloud scan unknown files”, a pozostawisz “Real time detection”, wykonywane będzie skanowanie 75% znanych sum kontrolnych. Reszta z nich obsługiwana będzie przez lokalny program antywirusowy. Nie zaleca się więc korzystania z tego rozwiązania. Aktywne obie opcje nie powodują strat czasowych i wydajnościowych urządzenia.
Cały proces obrazuje schemat:
Raportowanie i dziennik audytów
Funkcja blokowania plików jest w pełni konfigurowalna. Wszystko zależy od wybranej opcji. Plik może zostać na przykład zablokowany i “poddany kwarantannie”. Z tego miejsca natomiast, trafia do weryfikacji przez personel IT, który może zadecydować, czy plik powinien być dozwolony.
Obsługa fałszywych alarmów
Powszechnie wiadomo, że programy antywirusowe czasami zgłaszają fałszywe alarmy. Pliki skanowane są za pomocą szeregu silników, opartych na sztucznej inteligencji, takich jak CrowdStrike. Wówczas prawdopodobieństwo zgłoszenia fałszywego alarmu znacznie wzrasta. Jak sobie z tym radzi Admin By Request?
Rozwiązanie tego problemu polega na zastosowaniu prostego zestawu reguł:
Plik zostanie oflagowany, jeśli jeden z głównych silników wykorzystujących klasyczne rozpoznawanie wzorców (np. BitDefender lub McAfee) zdefiniuje go jako podejrzany.
Plik zostanie oflagowany, jeśli zostanie zdefiniowany jako podejrzany przez więcej niż dwa oprogramowania antywirusowe.
Testy pod kątem złośliwego oprogramowania
Aby przetestować, czy ustawienia działają zgodnie z oczekiwaniami, istotna jest możliwość symulacji uruchomienia złośliwego oprogramowania. Admin By Request pozwala na takie rozwiązanie. W ramach narzędzia można utworzyć plik symulacyjny, dzięki któremu z łatwością przetestujesz prewencyjne działanie.
Plik symulacyjny to plik XML z rozszerzeniem .abrsim. Będzie się on zachowywał dokładnie tak samo jak prawdziwy plik, co pozwoli na wiarygodne wyniki testów.
Ważną kwestią jest fakt, że sumy kontrolne plików symulacyjnych są zbieranie na podstawie rzeczywistych testów. Są one stworzone na podstawie typowych plików takich jak: WinRAR, PowerISO, Messenger, Media Player, PDF Creator, Cleaner tools i tak dalej.
<MalwareAttackSimulator
<SHA256>275A021BBFB6489E54D471899F7DB9D1663FC695EC2FE2A2C4538AABF651FD0F</SHA256>
</MalwareAttackSimulator>