Guia

O Antivírus
está mesmo
acabado?
Entenda melhor
seu funcionamento
e como tirar proveito
de suas funções

1 | O Antivírus está mesmo acabado? • Entenda melhor seu funcionamento e como tirar proveito de suas funções
 Índice

3| Introdução 11 | Detecção por Data Mining

4| Detecção por Assinaturas 12 | Mitigação de Exploits

5| Análise Heurística 13 | Conclusão

7| Análise Comportamental 14 | Sobre Vírus

7| Detecção por Sandbox 15 | Sobre a Arcon

8| Detecção por Cloud 16 | Referências

9| Proteção por Application Control

2 | O Antivírus está mesmo acabado? • Entenda melhor seu funcionamento e como tirar proveito de suas funções
 Introdução

Certamente você já deve ter ouvido Mas os softwares de antivírus atualmente não se
algumas críticas sobre a efetividade do baseiam apenas nas detecções por assinatura. Bons
antivírus. É de conhecimento de todos exemplos são a análise de comportamento e análise

5 novas
que a estrutura clássica dos antivírus, heurística, que complementam as opções de detecção
baseada em detecção por assinatura, do AV ao aplicar técnicas diferentes, ainda que também

ameaças
não consegue mais oferecer um grau sejam suscetíveis a evasão.
de proteção satisfatório para nossos
padrões computacionais atuais. Seja Entender melhor as funcionalidades e limitações
pelo número descontrolado de malwares são criadas/detectadas dos antivírus possibilita tirar o melhor proveito

a cada segundo
que surgem diariamente, seja pelo fato das ferramentas, ao mesmo tempo em que nos
de que com algumas linhas de código planejamos para tentar cobrir os gaps. A seguir, serão
adicionais é possível burlar a proteção descritas as features atualmente mais comuns nos
de assinaturas. Intel Security antivírus, suas limitações e dicas de melhor uso.

3 | O Antivírus está mesmo acabado? • Entenda melhor seu funcionamento e como tirar proveito de suas funções
 Detecção por
Após a disponibilização da vacina é feita sua atualização em toda a rede.
Desta forma é possível cobrir ameaças comuns e de fácil infiltração (via
PenDrive, download, email, etc).

Assinaturas
A forma clássica e mais criticada utiliza aspectos específicos e estáticos
que diferenciam um arquivo/executável para criar uma assinatura. Esta
assinatura pode ser uma série de bytes contidos no arquivo ou ainda
um hash criptografado, por exemplo. Seu problema é justamente
oferecer proteção apenas ao que é conhecido. Uma vez que o código é
alterado a assinatura pode não valer mais para esta nova variante.

Uma forma interessante de tentar compensar estes gaps é criar uma

monitoração de atividades suspeitas. Um bom ponto de partida é o
documento “Know Abnormal... Find Evil” do SANS. Alguns antivírus
empresariais possibilitam a criação de alertas customizados, onde é
possível monitorar a criação de arquivos, alteração de chaves de registro
e uso de portas TCP/IP. É possível, por exemplo, monitorar a criação de
arquivos “.exe” nos diretórios Appdata das pastsa dos usuários, já que
este comportamento é característico de códigos maliciosos.

A detecção por assinaturas também pode ser naturalmente adequada

aos processos de Resposta a Incidentes. Imagine, por exemplo, que Figura 1: Configuração de regra customizável
um arquivo malicioso é encontrado na rede (até mesmo utilizando a para monitoração de execução de arquivos no
sugestão de monitoração citada acima) mas ainda não existe vacina Diretório C:\Users\User\AppData\Roaming\*.exe.
para ele. Após a contenção da ameaça o arquivo malicioso pode ser (Access Protection Rules da McAfee)
enviado ao fabricante do AV utilizado, a fim de criar a vacina necessária.

4 | O Antivírus está mesmo acabado? • Entenda melhor seu funcionamento e como tirar proveito de suas funções
 Análise
Heurística
Heurística, no campo computacional, são algoritmos que procuram A heurística estática pode usar uma base de dados que contenha
resolver problemas complexos de forma rápida, mas nem sempre de sequências de dados. Estas sequências de dados podem ser de funções
forma eficiente. Especificamente quando falamos de AVs, trata-se de ou rotinas consideradas maliciosas. Uma vez encontrada esta sequência
uma tecnologia de detecção de malware ao analisar sua estrutura. de dados, há um indício de que o programa possa estar associado com
algum comportamento malicioso.
Detecções de malware por heurística tem uma taxa de sucesso
aproximada entre 70 e 80%. Como
vantagem é possível identificar malwares
quando eles são baixados da Internet ou
por anexos de e-mail, antes deles serem
executados (imaginando que a heurística
atue em tempo real – On Access scan).

Resumidamente, a heurística funciona em

duas fases. Na primeira, tenta-se determinar
em quais partes do código um vírus poderia
se infiltrar. Já na segunda fase, é analisada a
lógica contida nas regiões identificadas pela
fase 1. A maior dificuldade é que vários códigos diferentes Figura 2: À esquerda (Byte Sequence) são indicadas algumas sequências de
podem ser escritos para se chegar num mesmo objetivo. bytes que podem ser associadas a determinados comportamentos à direita
As heurísticas dinâmicas e estáticas ajudam a diferenciar (Associated Behavior)
estes aspectos.

5 | O Antivírus está mesmo acabado? • Entenda melhor seu funcionamento e como tirar proveito de suas funções
 Figura 3: As sequências de Bytes “1” e “100” estão associadas com assinaturas que
indicam certos comportamentos maliciosos. Os pontos de interrogação indicam
wildcards, podendo conter qualquer dado adicional neste espaço

Por fim, a heurística dinâmica usa a emulação de CPU para validação.
É feita uma análise inicial do possível malware e, em seguia, ele é
carregado numa máquina virtual e sua execução é emulada. Na medida
em que o artefato é executado, seus comportamentos são catalogados.
A aplicação da heurística para as equipes de respostas a incidentes
pode-se resumir em “aumentar ou diminuir” o nível da heurística,
caracterizando uma correlação mais agressiva e mais sujeita a falso-
positivo ou uma correlação mais confiável, mas menos abrangente.
Dependendo do nível de complexidade da equipe de resposta a
incidentes e do nível de customização da ferramenta, seria possível
criar hard-code programs que procuram por comportamentos mais
específicos como criptografia e polimorfismo, mas estas funções são
empregadas geralmente pelos próprios fornecedores.
As melhores formas de complementar a detecção por heurística é
definir uma política de softwares permitidos para uso nas empresas,
evitando assim o uso de softwares não homologados e potencialmente
maliciosos. Com essa política o nível de detecção heurística pode ser
elevado. Certamente que estes passos não são tão simples quanto
parecem, já que exige das corporações um nível de maturidade
alto para implantar tal controle, além de um engajamento de todas
as áreas quanto ao mapeamento de aplicações necessárias, dentre
outras questões.

6 | O Antivírus está mesmo acabado? • Entenda melhor seu funcionamento e como tirar proveito de suas funções
 Análise
Comportamental
Diferentemente da heurística, que emula a execução do malware, a análise

Saiba mais
comportamental exige que o arquivo/aplicação seja executado para que haja a
detecção. A análise comportamental procurará, por exemplo, a descompressão de
código malicioso, modificação de arquivos de sistema ou chaves de registro específicas.

Assim como a heurística, este tipo de detecção não é autossuficiente mas ajuda o AV
ao prover indicativos sobre potenciais artefatos maliciosos.

Detecção
por Sandbox
A detecção por Sandbox permite a execução de um arquivo suspeito em um ambiente
virtual isolado e controlado pelo AV. O arquivo pode ser executado e automaticamente
estudado sem perigo, a princípio, de infecção da máquina.

7 | O Antivírus está mesmo acabado? • Entenda melhor seu funcionamento e como tirar proveito de suas funções
 Detecção
por Cloud
Diversos fabricantes de Antivírus estão utilizando um novo
conceito para aumentar a taxa de detecção de malware, assim
como sua velocidade: a detecção por cloud.

Um arquivo suspeito tem uma checagem feita localmente,

enquanto outros dados de interesse são enviados para a
Cloud do fabricante. Lá outras ferramentas de detecção
e correlação de dados são aplicadas. É possível, por
exemplo, identificar um malware em um cliente
e distribuir, aos outros contribuintes da cloud,
instruções de detecção acerca da descoberta.
Desta forma, o Antivírus de outros clientes pode
tomar ações de contenção e remoção do malware.

8 | O Antivírus está mesmo acabado? • Entenda melhor seu funcionamento e como tirar proveito de suas funções
 Proteção por
Application Control
Whitelist nada mais
é do que os programas
reconhecidos como não
maliciosos pelo usuário e
pelo próprio fabricante a
partir de uma categorização
de reputação.
9 | O Antivírus está mesmo acabado? • Entenda melhor seu funcionamento e como tirar proveito de suas funções
Os módulos de Controle de Aplicações permitem criar
um inventário de aplicações/binários de uma máquina e
definir uma whitelist. Ela pode ser definida pelo nome do
binário, caminho, certificado digital, HASH, ... e tudo o que
estiver fora dela não terá a execução permitida. Esse tipo de proteção
Ao impor uma whitelist, uma política de prevenção pode
também pode ser
ser instaurada prevenindo a instalação ou execução de implementado
binários não conhecidos. Este tipo de proteção é mais como uma solução
recomendado a sistemas legados e que não possuem muitas
mudanças em sua infraestrutura (em geral servidores). Já
independente
implementar este tipo de proteção em máquinas clients do AV.
não é muito recomendado pelas necessidades de cada
funcionário e áreas, o que tornaria seu gerenciamento
muito trabalhoso e pouco efetivo.
 Por que Blacklist não é suficiente?
O que é Application Control?
PRÓS
Application Control é uma camada adicional de proteção no
endpoint que impede a instalação e execução de quaisquer • Bloqueio de
aplicativos indesejados, não confiáveis ou maliciosos. ameaças conhecidas
• Para administradores
de TI
Como Application Control colabora com a segurança?
• Prevenção contra malwares e ataques zero-day CONTRAS
• Bloqueia aplicativos não autorizados • Falsos positivos
• Protege a rede de intrusos • Novas ameaças
• Evita a procura desnecessária de recursos sofisticadas
• Reduz as chances de danos à imagem, danos no sistema e
perda de dados

Por que você precisa de Application Control?

Risk Management Enforcement Gestão de

contra ataques de políticas produtividade
no endpoint de TI dos empregados

43% das empresas

bloqueatam ataques
direcionados com whitelist
43-80% dos usuários corporativos
ignoram políticas de TI 23% dos empregados frequentemente
usam “consumer devices” para o
trabalho

70% dos profissionais de TI acreditam que

o uso de programas não autorizados
resultou em perda de dados
79% das organizações têm usuários que
conseguem alterar controles de
aplicativos para acessar informações
60% dos empregados estão mais satisfeitos
quando autorizados a utilizar
“consumer devices” no trabalho

Fonte: Idealização do Application Control com foco em proteger o que é conhecido (Trend Micro Application Control)

10 | O Antivírus está mesmo acabado? • Entenda melhor seu funcionamento e como tirar proveito de suas funções
 Detecção por
Data Mining
Data Mining utiliza diversas técnicas matemáticas, estatísticas
e de aprendizado de máquina para processar uma grande
quantidade de dados e encontrar padrões, tendências ou
informações de interesse.

A detecção por Data Mining tem como princípio encontrar

padrões maliciosos em grandes quantidades de dados e
utiliza-os para detectar futuras instâncias ou implementações

O Data Mining é
procurando, assim, antecipar o uso de técnicas maliciosas.

Uma feature de detecção utilizando Data Mining pode precisar usualmente aplicado
de um período de “aprendizado” na rede, motivo pelo qual é
importante ter um mapa de aplicações homologadas dentro junto a uma solução
da empresa. O processo de aprendizado procura diferenciar
um grupo de controle com aplicações e características não
de Detecção pela
maliciosas de outro grupo potencialmente malicioso. Cloud.

11 | O Antivírus está mesmo acabado? • Entenda melhor seu funcionamento e como tirar proveito de suas funções
 Mitigação de Exploits
Uma das mais recentes técnicas é a prevenção de infecção de malwares ao evitar que estes utilizem
técnicas de exploits.

O módulo de proteção pode se injetar em cada processo iniciado. Caso o processo aplique uma
técnica de exploit conhecida, esta é prevenida pelo módulo de proteção e o processo é finalizado.

TR Forensic data
is collected
Traps
Process is
terminated
User/admin
is notified

Infected document Traps is seamlessly Exploit technique is Traps reports the event
opened by injected into attempted and blocked by and collects detailed
unsuspecting user processes Traps before any malicious forensics
activity is initiated

Fonte: Exemplo de atuação de técnicas de mitigação de exploits (Aplicação “Trap” desenvolvida pela Palo Alto)

12 | O Antivírus está mesmo acabado? • Entenda melhor seu funcionamento e como tirar proveito de suas funções
 Conclusão
As técnicas apresentadas têm suas vantagens e desvantagens, mas é notório
que temos um melhor resultado ao implementá-las em conjunto. Apesar
de aumentar significativamente o percentual de proteção, ainda assim não
será possível obter a proteção máxima, visto que são passíveis de evasão
em determinadas condições, além de novas técnicas serem criadas com o
tempo. Portanto, o pensamento deve se voltar a melhores resultados de
contenção, identificação e informações úteis para que sejam tomadas as
medidas necessárias.

13 | O Antivírus está mesmo acabado? • Entenda melhor seu funcionamento e como tirar proveito de suas funções
 Sobre Vírus
Vírus é um programa ou parte de um programa de computador,
normalmente malicioso, que se propaga inserindo cópias de si
mesmo e se tornando parte de outros programas e arquivos.
Para que possa se tornar ativo e dar continuidade ao processo de
infecção, o vírus depende da execução do programa ou arquivo
hospedeiro, ou seja, para que o seu computador seja infectado
é preciso que um programa já infectado seja executado.
O principal meio de propagação de vírus costumava ser os
disquetes. Com o tempo, porém, estas mídias caíram em desuso
e começaram a surgir novas maneiras, como o envio de e-mail.
Atualmente, as mídias removíveis tornaram-se novamente o
principal meio de propagação, não mais por disquetes, mas,
principalmente, pelo uso de pen-drives.
Há diferentes tipos de vírus. Alguns procuram permanecer
ocultos, infectando arquivos do disco e executando uma série
de atividades sem o conhecimento do usuário. Há outros que
permanecem inativos durante certos períodos, entrando em
atividade apenas em datas específicas. Alguns dos tipos de
vírus mais comuns são:
Fonte: Cartilha Cert.br
14 | O Antivírus está mesmo acabado? • Entenda melhor seu funcionamento e como tirar proveito de suas funções
Vírus propagado por e-mail: recebido como um arquivo anexo a
um e-mail cujo conteúdo tenta induzir o usuário a clicar sobre
este arquivo, fazendo com que seja executado. Quando entra
em ação, infecta arquivos e programas e envia cópias de si
mesmo para os e-mails encontrados nas listas de contatos
gravadas no computador.
Vírus de script: escrito em linguagem de script, como VBScript
e JavaScript, e recebido ao acessar uma página Web ou por
e-mail, como um arquivo anexo ou como parte do próprio
e-mail escrito em formato HTML. Pode ser automaticamente
executado, dependendo da configuração do navegador Web e
do programa leitor de e-mails do usuário.
Vírus de macro: tipo específico de vírus de script, escrito em
linguagem de macro, que tenta infectar arquivos manipulados
por aplicativos que utilizam esta linguagem como, por exemplo,
os que compõe o Microsoft Office (Excel, Word e PowerPoint,
entre outros).
Vírus de telefone celular: vírus que se propaga de celular para
celular por meio da tecnologia bluetooth ou de mensagens
MMS (Multimedia Message Service). A infecção ocorre quando
um usuário permite o recebimento de um arquivo infectado
e o executa. Após infectar o celular, o vírus pode destruir
ou sobrescrever arquivos, remover ou transmitir contatos
da agenda, efetuar ligações telefônicas e drenar a carga da
bateria, além de tentar se propagar para outros celulares.
 Sobre a Arcon
Atuando no mercado nacional desde 1995, a Arcon é especializada em cibersegurança com foco em serviços
gerenciados de segurança (MSS – Managed Security Services). Com um completo portfólio e sólidas parcerias
com os principais fabricantes do mundo, a empresa monitora e gerencia ambientes, mitiga os riscos e
previne incidentes em empresas de grande porte. A partir de seus SOCs, a Arcon processa 2+ bilhões de
eventos por dia, protege mais de 600.000 ativos e possui inteligência de segurança única na América Latina.

É a única empresa de serviços gerenciados de segurança no ranking Exame PME 2015 das empresas que
mais crescem no Brasil. Nos últimos anos, firmou-se como líder no mercado brasileiro de MSS, tendo
conquistado, o primeiro lugar em MSS no ranking Anuário Outsourcing por 4 anos consecutivos.

www.arcon.com.br

15 | O Antivírus está mesmo acabado? • Entenda melhor seu funcionamento e como tirar proveito de suas funções
 Referências:
• “Detecting Malware and Sandbox Evasion Techniques” – SANS Institute
• “Application Control Empowers Endpoint Security” – Trend Micro
• “Malware: 1 million new threats emerging daily” – Trend Micro
• “Traps, Advanced Endpoint Protection” – Palo Alto
• “Data Mining Methods for Detection of New Malicious Executables” - Department of Computer Science Columbia University
• “Rules vs. behavioral heuristics vs. data mining vs. machine learning. Actually, you want it all” – Intel Security
• “Antivirus is Dead: Long Live Antivirus!” – Krebs on Security
• “Bypassing Antivirus With Ten Lines of Code or (Yet Again) Why Antivirus is Largely Useless” – Attactics (dot) org
• “How antivirus software works: Virus detection techniques” - TechTarget
• “Know Abnormal... Find Evil” - SANS
• “Understanding Heuristics” - Symantec

16 | O Antivírus está mesmo acabado? • Entenda melhor seu funcionamento e como tirar proveito de suas funções
 www.arcon.com.br

São Paulo Rio de Janeiro

Av. Ibirapuera, 2.332 | 5º andar | Torre 2 Av. Presidente Vargas, 3131 | 16º andar
04.028-002 . Moema 20.210-911 . Cidade Nova
Tel: 11 3525-1800 Tel: 21 3293-1000

Brasília Belém
SCN Qd.02 Bl A | 5º andar Av. Gov. José Malcher, 937 | 5º andar
70.712-900 . Corporate Financial Center 66.055-260 . Nazaré
Tel: 61 3329-6081 Tel: 91 3210-2308

17 | O Antivírus está mesmo acabado? • Entenda melhor seu funcionamento e como tirar proveito de suas funções