Primera Generación: Antivirus
La primera generación de productos antivirus estaba totalmente basada en detección por firmas.
Esta tecnología fue protagonista durante la mayor parte de la década de los 90 e incluía motores polimórficos así como reglas básicas basadas en MS-DOS, Win32, Macro y, más tarde, script heurísticos. Este período también estuvo marcado por el uso masivo de troyanos para Win32 como NetBus y BackOrifice.
Segunda Generación: Antimalware
A comienzos del 2000 nuevos tipos de malware comienzan a aparecer, y los gusanos de red y el spyware centran la atención debido a que provocan epidemias masivas y muy visibles.
Los motores antivirus básicos evolucionan para integrar firewalls personales y ser capaces de identificar y detener gusanos de red, basándose en detección de paquetes, así como en “limpiadores” que restauran la configuración de los sistemas operativos, tales como entradas del registro, ficheros HOST, etc. En esta segunda generación de tecnologías, Panda Software integra la funcionalidad SmartClean en su motor antimalware, diseñado para desinfectar y restaurar el sistema operativo, tras la infección de un spyware o de un troyano backdoor.
Tercera Generacion: Tecnologías Proactivas
TruPrevent
Panda lanza las tecnologías de análisis de comportamiento TruPrevent en 2004, después de más de tres años de intenso trabajo de investigación y desarrollo.
Desde entonces, TruPrevent ha evolucionado en un conjunto de tecnologías de comportamiento que son notablemente más efectivas a la hora de bloquear proactivamente malware de “día-cero” sin depender de firmas de virus, que cualquier otro intento realizado hasta la fecha en ese sentido.
TruPrevent se adapta constantemente a las nuevas técnicas del malware y de exploits para el aprovechamiento de vulnerabilidades. Actualmente hay más de 5 millones de ordenadores que tienen instaladas dichas tecnologías. Todos ellos actúan como nodos de un honeypot interconectado que informa a PandaLabs sobre cualquier nuevo malware que TruPrevent marque como sospechoso y no haya sido detectado por los firmas de virus tradicionales.
Técnicamente TruPrevent® consta de 2 tecnologías principales:
Análisis de comportamiento
El análisis de comportamiento actúa como una verdadera retaguardia defensiva contra el nuevo malware que se ejecute en el sistema, y que haya podido burlar a la detección por firmas, al análisis heurístico y al bloqueo de comportamiento.
Este sistema intercepta, durante la ejecución, las operaciones y llamadas API realizadas por cada programa, correlacionándolas antes de permitir que el proceso se ejecute totalmente. La correlación en tiempo real tiene como resultado el que se permita o se deniegue la ejecución de un proceso basándose solo en su comportamiento.
A diferencia de otras tecnologías de comportamiento, la de Panda es autónoma y no hace preguntas al usuario del tipo: “¿desea permitir que el proceso xyz inyecte un hilo en explorer.exe o en la dirección de memoria abc?". Esta tecnología no necesita actualizaciones de archivos de firmas, ya que sólo se basa en el comportamiento de las aplicaciones. Un bot no sería un bot si no se comportara como tal, y esto es lo que permite la detección, independientemente de su forma o de su nombre.
Bloqueo de comportamiento
El bloqueo de comportamiento es el segundo componente principal de TruPrevent. Los hackers y el malware se aprovechan de los privilegios de aplicaciones legítimas para atacar los sistemas inyectando código. Para prevenir este tipo de ataques de forma genérica, es muy eficaz utilizar reglas de bloqueo que puedan restringir acciones que las aplicaciones autorizadas puedan realizar en el ordenador.
Este sistema es denominado KRE (Kernel Rules Engine), y está conformado por una serie de políticas que son definidas mediante unas reglas que describen las acciones permitidas y denegadas para una aplicación en particular o para un grupo de ellas.
Pueden establecerse reglas para controlar el acceso de aplicaciones a archivos, cuentas de usuario, registro, objetos COM, servicios de Windows y recursos de la red.
Tecnología Heurística Genética (GHE)
Las tecnologías genéticas se inspiran en el campo del conocimiento del mismo nombre en el ámbito biológico. Estas tecnologías están basadas en la interpretación de “genes digitales” que, en nuestro caso, están representados por unos pocos cientos de características de cada archivo que es analizado.
La tecnología heurística genética (Genetic Heuristic Engine GHE) se lanzó inicialmente en 2005. Su objetivo es correlacionar las trazas genéticas de los archivos utilizando un algoritmo propietario. Las trazas genéticas definen el potencial del software para llevar a cabo acciones maliciosas o dañinas cuando se ejecuta en un ordenador. Así, GHE es capaz de determinar si un archivo es inocuo, o si se trata de un virus, un spyware, un troyano, un gusano, etc.
Inteligencia colectiva: la nueva generación.
Actualmente existe una cantidad de malware en circulación 10 veces superior a la que había hace dos años. La conclusión obvia es que una solución de seguridad debe detector 10 veces más ejemplares para proporcionar una protección adecuada a los usuarios. Mientras que las soluciones HIPS (Host Intrusion Prevention System) de Panda con TruPrevent elevan el listón sustancialmente detectando y bloqueando la mayoría del malware mediante tecnologías proactivas, sigue siendo posible para muchas amenazas desconocidas atravesar estas defensas.
El enfoque de la inteligencia colectiva se lanzó inicialmente a finales de 2006 en experiencias piloto con el objetivo de ser capaces de detectar “10 veces más malware con un esfuerzo 10 veces menor”.
Los pilares de la inteligencia colectiva son:
1) Recolección de datos de la comunidad. El sistema recoge y almacena de forma centralizada trazas de comportamiento de programas, rasgos de ficheros, nuevos ejemplares de malware, etc. Estos datos proceden de los propios usuarios de Panda, así como de otras empresas y entidades colaboradoras. Esta extensa capacidad de recogida de información aporta una mayor visibilidad de las amenazas que están activas en Internet.
2) Explotación automatizada de los datos. El sistema analiza y clasifica automáticamente miles de muestras nuevas al día. Para ello un sistema experto correlaciona los datos recibidos de la comunidad con la amplia base de conocimiento de malware de PandaLabs. El sistema produce automáticamente veredictos (malware o goodware) sobre los nuevos ficheros vistos por la comunidad y se reduce así al mínimo la labor manual a realizar en PandaLabs.
3)Puesta a disposición del conocimiento extraído. Este conocimiento extra se entrega a los usuarios en forma de servicios web o a través de actualizaciones del fichero de firmas.
Hemos desarrollado servicios que se basan en la inteligencia colectiva para su funcionamiento. Se trata de servicios online diseñados para realizar auditorías exhaustivas de seguridad que detectan el malware que haya dejado escapar la solución de seguridad que tengan instalada.
Para usuarios domésticos y ordenadores aislados, hemos desarrollado NanoScan que busca el malware que pueda encontrarse activo en ese momento en el sistema y TotalScan, que realiza un análisis completo del PC incluyendo disco duro, memoria, correo electrónico, etc.
Para el mercado corporativo, las necesidades para la realización de auditorías de malware son más específicas. Por ello, hemos creado un servicio gestionado llamado Malware Radar. Gracias a este servicio las empresas pueden realizar rápidamente una auditoría completa de su red, para verificar su nivel de seguridad, revelando fuentes de infección desconocidas, o máquinas que han sufrido ataques dirigidos.