Bypass em Soluções Anti-malware
Os cybercriminosos usam rootkits para evitar soluções de segurança que tem a capacidade de detecção de programas maliciosos, como trojans. Para fazer isso, um rootkit se disfarça como um driver legal, integra-se com o kernel do sistema operacional, a função do sistema intercepta as chamadas de aplicações e modifica os resultados de sua operação, a exclusão de qualquer referência a arquivos e processos relacionados com o Trojan. Isto significa que a presença de código malicioso pode ser mascarada - a partir de um programa perigoso torna-se invisível para o usuário e para outras aplicações.
Além disso, a patente obtida pela Kaspersky Lab descreve um módulo auxiliar que duplica as funções críticas do kernel do sistema operacional, como arquivos de manipulação, controle de processo, lendo os registros, dentre outras atividades possíveis de serem realizadas. A principal aplicação do módulo é detectar objetos mascarados por um rootkit. Além do mais, a solução de segurança faz isso, solicitando uma lista de arquivos ou executando processos através do kernel principal e, simultaneamente, envia um pedido idêntico através do módulo auxiliar.
Rootkit em Atividade no Sistema
Uma comparação entre os dados retornados, ajuda a identificar os objetos que estão ausentes da lista retornada pelo kernel do sistema operacional. Se as duas listas não são idênticas, isto indica que um rootkit está ativo no sistema, e a solução de segurança pode executar ações para neutralizar objetos suspeitos. Vale ressaltar também, que o algoritmo para o uso do kernel auxiliar pode ser configurado conforme necessário.
Por exemplo, em um computador doméstico, o processo de scanning pode ser iniciado quando outros subsistemas de segurança sinalizarem o comportamento suspeito de um objeto - o que irá poupar recursos. Em um ambiente corporativo, há um maior nível de exigência, um maior nível de segurança, e o controle pode ser usado em uma base contínua. "Mascaramento de programas de malware com a ajuda de rootkits, torna muito mais difícil para que as soluções anti-malware possam detectar ameaças. Esta tecnologia recém-patenteada, fornece um método confiável para identificar objetos que estão disfarçados no sistema, ajudando a neutralizar os ataques mais perigosos", comentou Vyacheslav Rusakov, especialista em Malware da Kaspersky Lab e autor da patente.
Extenso Portfólio de Patentes
Além de tudo o que foi mencionado, este método de detecção de código malicioso que esconde sua presença no sistema, foi implementado a partir da Kaspersky Lab e seus produtos corporativos, incluindo o Kaspersky Internet Security, Kaspersky PURE e Kaspersky Endpoint Security for Business. Vale lembrar que a Kaspersky Lab possui um extenso portfólio de patentes. A partir de meados de março de 2014, a empresa passou a deter 197 patentes concedidas nos EUA, na Rússia, União Européia e China. Além de tudo isso, há mais de 248 pedidos de patentes que estão sendo analisados pelas autoridades competentes.
Saiba Mais:
[1] Kaspersky Lab http://www.kaspersky.com/about/news/...-in-the-system