A Google publicou um novo estudo na quarta-feira (18/8), detalhando como está ficando mais difícil identificar sites e ataques nocivos, com softwares de antivírus provando ser ineficazes contra novas pragas.
Os engenheiros da companhia analisaram o equivalente a quatro anos de dados, compreendendo 8 milhões de sites e 160 milhões de páginas web a partir de seu serviço Safe Browsing, que é uma API (interface de programação de aplicativo) que envia dados para os navegadores Chrome, da Google, e Firefox, da Mozilla, e alerta os usuários quando eles acessam um site carregado de malware.
A Google afirma que envia 3 milhões de alertas de sites inseguros para 400 milhões de usuários por dia. A companhia analisa a rede usando diferentes métodos para descobrir se uma página é maliciosa.
“Como outros fornecedores de serviços, estamos engajados em uma verdadeira corrida com os distribuidores de malware”, afirma a equipe de segurança da Google em um post no seu blog oficial.
Esse processo de detecção está se tornando mais difícil em razão de uma variedade de técnicas de “fuga” empregadas pelos invasores que são desenvolvidas para evitar que seus sites sejam marcados como nocivos, de acordo com a pesquisa.
A Google usa uma variedade de métodos para detectar sites perigosos. Ela pode testar um site contra uma “virtual machine honeypot”, que é uma máquina virtual que visita um site e observa seu comportamento. A companhia também utiliza emuladores de browser para a mesma razão, que registram a sequência de um ataque. Outros métodos incluem classificar um site por reputação baseada em sua infraestrutura de hospedagem, e outra linha de defesa são softwares de antivírus.Uma das maneiras que os hackers burlam o método de detecção baseado em VM é exigir que a vítima dê um clique no mouse. Muitos sites são programados para entregar automaticamente um exploit e executar um ataque se um programa não consertado for encontrado.A Google descreve isso como um tipo de ataque de engenharia social, uma vez que a carga útil maliciosa aparece apenas depois que uma pessoa interage com o navegador. A companhia está trabalhando para resolver o problema ao configurar suas máquinas virtuais para realizarem um clique no mouse.Emuladores de browser podem ser confundidos por ataques quando o código malicioso é misturado, um método conhecido como “ofuscação”. Como o emulador de navegador não é um browser de verdade, ele não irá necessariamente executar o código JavaScript ofuscado da mesma maneira que um navegador de verdade faria. A única explicação para o JavaScript mais complexo é que ele é desenvolvido para interromper os browsers emulados e tornar a análise manual do código mais difícil, afirmam os engenheiros da gigante de buscas.
A Google também está encontrando “ocultação de IP”, onde um site nocivo irá se negar a servir conteúdo prejudicial para determinados alcances de IP, como aqueles conhecidos por serem usados por pesquisadores de segurança. Em agosto de 2009, a companhia descobriu que cerca de 200 mil sites estavam usando esse método de disfarce de IP. Ele força os pesquisadores a analisar os sites a partir de extensões de IP que são “desconhecidos pelo adversário”, segundo o levantamento.Programas de antivírus confiam em assinaturas como um método para detectar ataques. Mas os engenheiros escreveram que os códigos normalmente usados foram “empacotados”, ou comprimidos de uma maneira que sejam irreconhecíveis, mas ainda executáveis.Como pode levar algum tempo para os fabricantes de antivírus refinarem suas assinaturas e remover as que causam falsos positivos, esse atraso permite que o conteúdo nocivo continue encoberto.“Enquanto os fabricantes de antivírus se esforçam para melhorar suas taxas de detecção, em tempo real eles não conseguem detectar de modo adequado o conteúdo malicioso”, escrevem os pesquisadores da gigante de buscas. “Isso acontece pelo fato que os adversários podem usar produtos antivírus como oráculos antes de liberar os códigos nocivos pela rede.”O estudo foi realizado pelos pesquisadores Moheeb Abu Rajab, Lucas Ballard, Nav Jagpal, Panayiotis Mavrommatis, Daisuke Nojiri, Niels Provos e Ludwig Schmidt.
Nenhum comentário: