A Sophos decodifica o DNA do malware sem arquivo - e apresenta uma nova tecnologia de proteção. O Dynamic Shellcode Protection detecta malware em execução em armazenamento temporário, como ransomware ou agentes de acesso remoto, bloqueando uma técnica popular de hacking para ignorar programas de proteção.
A Sophos apresenta sua nova proteção contra ataques cibernéticos, em que o malware se carrega sem arquivos na memória temporária do computador afetado. A Proteção Dinâmica de Shellcode é incorporada ao Sophos Intercept X e pode impedir que o código de ataque seja aninhado na região de pilha dinâmica da memória.
Memória: esconderijo popular para malware
A área de memória de um computador invadido é um esconderijo popular para malware porque as varreduras de segurança normalmente não cobrem a memória. Como resultado, é menos provável que o malware seja detectado e bloqueado. Os tipos de malware que tentam ser ativados dessa maneira incluem ransomware e agentes de acesso remoto. Os últimos geralmente formam a base para um ataque iminente; quanto mais cedo forem descobertos e bloqueados, melhor. Com o Dynamic Shellcode Protection, os pesquisadores da Sophos agora encontraram uma maneira de se defender contra esse tipo de malware sem arquivo com base em seu comportamento. O cerne da questão é a descoberta de que esses códigos de ataque específicos exibem um comportamento comum na memória, independentemente do tipo específico de código ou de sua finalidade. Na postagem do blog "Covert Code Faces a Heap of Trouble in Memory", os pesquisadores da Sophos descrevem sua descoberta em detalhes.
Como funciona a Proteção Dinâmica de Shellcode da Sophos
O código de aplicativos com privilégios de execução geralmente é carregado na memória. Além disso, os aplicativos geralmente exigem um espaço de trabalho adicional e temporário na memória, por exemplo, para descompactar ou armazenar dados. Este espaço de trabalho variável é chamado de memória "heap". Na maioria dos ataques cibernéticos, o carregador de um agente de acesso remoto é injetado diretamente no heap. Isso deve extrair mais memória executável do heap para atender às necessidades do Remote Access Agent. Isso é conhecido como comportamento de alocação de memória "heap-heap". Os especialistas em segurança da Sophos identificaram tal comportamento como um indicador claro de atividades potencialmente suspeitas e desenvolveram a Proteção Dinâmica Shellcode, uma proteção que bloqueia as permissões de execução de uma memória heap para outra.
O malware na memória geralmente não é detectado
“O código malicioso sempre tenta escapar da detecção, por exemplo, sendo camuflado e empacotado diretamente na memória. Esse código geralmente não é reconhecido pelas ferramentas de segurança, mesmo quando extraído. Os pesquisadores forenses e de segurança da Sophos reconheceram que as alocações de memória heap-to-heap são uma ação muito típica de agentes de acesso remoto de vários estágios e outros códigos de ataque", disse Mark Loman, diretor de engenharia da Sophos. “O objetivo principal é impedir que invasores comprometam computadores individuais ou uma rede inteira. É por isso que o malware deve ser detectado muito cedo para evitar, por exemplo, acesso a credenciais, escalonamento de direitos, movimentos laterais na rede ou coleta, compartilhamento e desvio de informações. Com o Dynamic Shellcode Protection, agora estamos em posição de atender precisamente a esses requisitos de maneira ainda mais eficaz.”
Saiba mais em Sophos.com
Sobre a Sophos A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.