Maximizando la Seguridad Empresarial con Bitdefender Gravityzone: Protección de procesos
Explora cómo Bitdefender GravityZone detecta y neutraliza rápidamente todo tipo de amenazas usando heurística avanzada, protegiendo sistemas antes de daños irreparables
En el mundo de la ciberseguridad en constante evolución, contrarrestar el malware avanzado y evasivo es un desafío constante. Los enfoques tradicionales basados en firmas se quedan cortos cuando se trata de amenazas que emergen rápidamente. Una parte de la estrategia del antivirus Bitdefender para hacer frente al malware (virus, troyanos, gusanos, rootkits, ransomware y APT´s) nunca antes visto es la protección de procesos. Basada en el análisis del comportamiento de los procesos, esta tecnología de Bitdefender ofrece una sólida protección contra amenazas conocidas y desconocidas. La protección de procesos es inherentemente proactiva. No se basa en firmas conocidas; en cambio, identifica proactivamente malware nuevo y nunca antes visto en función de su comportamiento. Esto proporciona una sólida defensa contra amenazas que surgen rápidamente, como los brotes de ransomware.
En este artículo, profundizamos en dos elementos clave de la protección de procesos de bitdender gravityzone: control avanzado de amenazas (ATC) e introspección de procesos (PI).
En todas las soluciones antivirus de bitdefender el ATC se ocupa principalmente de encontrar y detener procesos defectuosos para que no hagan cosas dañinas, mientras que PI se trata de encontrar y detener cualquier proceso (incluso en los que confiamos) para que no se vuelva malo después de haber sido comprometido. Por ejemplo, ATC detectaría malware que intenta colarse en ‘chrome.exe’, pero PI detectaría ‘chrome.exe’ cuando intenta hacer algo malo después de ser atacado.
Bitdefender GravityZone implementa un enfoque de seguridad de múltiples capas, a menudo implementando múltiples tecnologías que se complementan y se superponen entre sí. ATC y PI utilizan una combinación de integraciones en modo usuario y modo kernel para mejorar el rendimiento, la estabilidad y minimizar la superficie de ataque. Esto los hace más resistentes contra los ataques en modo de usuario y fortalece sus defensas contra la mayoría de las técnicas de evasión basadas en modo de usuario, incluida la desconexión de DLL.
¿Que es el ATC en bitdefender? – Control avanzado de amenazas
¿Que es el ATC en bitdefender? el ATC es una tecnología de detección de comportamiento proactiva y dinámica que monitorea continuamente las actividades de los procesos en tiempo real, incluidos grupos de procesos. Su objetivo principal es identificar si estas actividades exhiben un comportamiento malicioso o benigno. ATC utiliza más de 300 heurísticas para la detección. Una selección de ejemplos incluye:
- Heurística para monitorear el acceso a credenciales : volcado de credenciales, acceso a la base de datos del registro SAM, monitoreo de pulsaciones de teclas…
- Heurísticas para la persistencia : programar tareas, registrar un servicio, agregar una entrada de ejecución automática…
- Heurística para deshabilitar servicios críticos : deshabilitar Windows Update, soluciones o funciones de seguridad, finalizar procesos críticos…
- Heurística para operaciones de archivos sospechosos : replicar, eliminar archivos con doble extensión, ocultar archivos…
- Heurística para ransomware : enumeración u operaciones de archivos atípicas, eliminación de copias de seguridad, extensiones de archivos de malware conocidas….
- Heurística para la inyección de procesos : vaciado de procesos, inyecciones de DLL o subprocesos, reflejo de inyecciones de DLL…
Como funciona el ATC
El ATC de Bitdefender Gravityzone utiliza un enfoque proactivo para detectar ransomware antes de que cause daño. Identifica las cepas en las primeras etapas de ejecución, típicamente durante actividades de reconocimiento, inyección de código para evasión de defensa, o intentos de establecer persistencia. Un nivel adicional de protección se activa cuando el ransomware intenta eliminar copias de seguridad, como borrar las copias de volumen. La tecnología de mitigación de ransomware patentada de Bitdefender sigue un enfoque distinto para identificar intentos de cifrado temprano y minimizar daños. Si se detectan modificaciones sospechosas en los archivos, el ATC informa inmediatamente al motor de desinfección, permitiendo una intervención rápida siempre que exista tecnología de copia de seguridad y restauración. Esta estrategia integral asegura la máxima protección contra ataques de ransomware.
Además de la heurística, el ATC de Bitdefender aprovecha el aprendizaje automático, que implica el análisis de más de 340 características extraídas de grupos de procesos durante su ejecución, incluidas acciones de comportamiento como llamadas API. Estas ‘características’ representan varias características o atributos que son relevantes para el comportamiento del proceso. Este enfoque de aprendizaje automático utiliza aprendizaje supervisado, una técnica en la que se entrena un algoritmo con datos etiquetados para reconocer patrones y hacer predicciones basadas en características de entrada, lo que ayuda a minimizar los falsos positivos y detectar amenazas en el lado del cliente.
Introspección de procesos (PI)
La introspección de procesos (PI) es una capa adicional de protección que incorpora Bitdefender contra ataques avanzados en memoria. Opera aplicando controles de seguridad avanzados durante operaciones clave realizadas por procesos, como la creación de procesos o la carga de módulos. A través de estas comprobaciones podemos determinar si una operación ocurrió dentro de un contexto malicioso o si un proceso se ha visto comprometido. Estas operaciones clave incluyen, entre otras:
- Cargar ciertos módulos (DLL) que pueden usarse con fines maliciosos (por ejemplo, comunicación de red con C2 o cifrado de ransomware a través de API de cifrado)
- Creación de un proceso hijo (por ejemplo, vulnerabilidad de ejecución remota de código)
- Creación de un nuevo hilo (ya sea en el mismo proceso o en un proceso externo)
- Inyección de código en otro proceso.
- Cargando módulos en modo kernel (controladores)
- Crear un nuevo socket (que potencialmente puede usarse para la comunicación C2)
Estas heurísticas de Bitdefender Gravityzone examinan el estado del proceso para determinar si ha sido alterado maliciosamente. En particular, PI se centra en identificar estados maliciosos, en lugar de simplemente monitorear comportamientos maliciosos. Por ejemplo, puede detectar el vaciado del proceso, independientemente de la técnica específica utilizada.
Una distinción clave de PI es que opera en modo kernel, lo que elimina la necesidad de inyectar componentes en modo usuario o colocar enlaces en procesos protegidos. Esto mejora el rendimiento, la estabilidad y reduce la superficie de ataque. El PI muestra resistencia contra ataques en modo de usuario y sigue siendo resistente a la mayoría de las técnicas de evasión basadas en modo de usuario, como la desconexión de DLL. Ha sido validado contra varios frameworks post-explotación (como Metasploit, Cobalt Strike, Powershell Empire…) y sus cargas útiles.
Configuración y comportamiento en Bitdefender Gravityzone
En Bitdefender GravityZone, se asigna una puntuación de probabilidad a todo, incluidos archivos, procesos, usuarios y máquinas. Específicamente, esta puntuación refleja la probabilidad de que un proceso represente una amenaza. Tanto ATC como PI contribuyen a determinar la puntuación de este proceso, y cada comportamiento sospechoso influye en la calificación general. Cuando esta clasificación alcanza un umbral predefinido, se activa una alarma, lo que indica que se considera que es muy probable que el proceso sea una amenaza a la seguridad. El umbral se determina de la siguiente manera:
- El módulo de detección ATC/PI calcula una puntuación de comportamiento para cada aplicación.
- Si no está seguro, el búfer de código se puede reenviar a motores antimalware para un análisis adicional.
- Si la puntuación supera el umbral configurado en el perfil actual, se iniciará una acción para la solicitud, que puede implicar la finalización del proceso.
Ajuste del ATC en la plataforma Gravityzone
Las opciones de configuración disponibles, incluidos los umbrales de perfil para las aplicaciones y las acciones que se deben tomar cuando se detectan aplicaciones infectadas, están disponibles en la política de GravityZone en la sección Antimalware -> En ejecución.
El módulo ATC admite exclusiones de la configuración de políticas para varios tipos, como archivos, procesos, hash de archivos, hash de certificados, nombres de amenazas y líneas de comando. Las opciones de exclusión se pueden configurar en la configuración de Antimalware.
ATC ofrece opciones de configuración para umbrales de perfil, cada una con un enfoque diferente:
- Modo normal : ATC está optimizado para este modo y está ajustado para minimizar los falsos positivos.
- Modo agresivo : esta configuración configura el ATC para que funcione de una manera más agresiva. Este modo puede aumentar el riesgo de falsos positivos para las empresas que cambian o desarrollan nuevas aplicaciones con frecuencia.
- Modo permisivo : en este modo, ATC proporciona a los procesos más libertad para realizar operaciones potencialmente riesgosas sin detección inmediata. Si bien esto puede reducir los falsos positivos, aumenta significativamente el riesgo de falsos negativos, donde la actividad maliciosa pasa desapercibida. Recomendamos utilizar este modo con moderación y sólo en casos específicos. Siempre que sea posible, es recomendable crear excepciones locales para gestionar los falsos positivos en lugar de depender de este modo.
Conclusión
La tecnología Process Protection de GravityZone Bitdefender sirve como una última línea de defensa sólida y formidable contra las amenazas cibernéticas en evolución en los terminales Windows y MacOS. Este conjunto de tecnologías avanzadas y livianas emplea un enfoque integral para monitorear y analizar las actividades de los procesos en tiempo real, detectando y respondiendo activamente a acciones maliciosas.
Contenido recomendado
Para conocer más sobre las tecnologías incluidas en la capa de protección recomendamos leer el siguiente artículo Software Exploit Protection .