Comodo Valkyrie (nieformalnie: VK) - usługa online pozwalająca określić czy dany plik wykonywalny jest złośliwy czy bezpieczny. Funkcja opiera się na 17 wyspecjalizowanych detektorach heurystycznych poszukujących w kodzie i budowie pliku cech, które mogłyby świadczyć o jego szkodliwości. Ponadto wyposażona jest w zaawansowaną heurystykę, gdzie 3 powiązane ze sobą silniki starają się wykryć malware opierając się na zestawie reguł.
Jako ostatni element analizy traktowany jest skaner behawioralny - plik uruchamiany jest w wirtualyym środowisku i obserwowany, a wszelkie podejrzane akcje są raportowane.
1. Artificial Intelligence - sztuczna inteligencja.
Screen-Shot
Tak właśnie nazwano 17 detektorów umożliwiających wykryć szkodliwy czy bezpieczny kod w plikach.
Informacje o ich sposobie działania są powierzchowne, producent woli zachować je dla siebie - są tylko ogólnikowo omówione.
Porównano je do “mózgów analityków złośliwego oprogramowania”.
Podczas analizy nie wszystkie wydają werdykt - zazwyczaj tylko kilka z nich może “wypowiedzieć się” na temat stanu pliku. Werdykty są sumowane i drogą głosowania otrzymujemy werdykt ostateczny.
2. Analiza Dynamiczna - obserwowanie zachowania aplikacji.
Screen-Shot
Plik zostaje uruchomiony, a jego akcje notowane. Zestaw podejrzanych zachowań zawiera zasady, które determinują werdykt o szkodliwości. Typowe akcje wirusa są wykrywane. Są to np. kopiowanie i umieszczanie się w różnych lokacjach, usuwanie samego siebie, wstrzykiwanie kodu, tworzenie sterowników, wyłączanie systemowego firewalla i wiele, wiele więcej.
Usługa ta dostępna jest też osobno pod adresem http://camas.comodo.com/ .
3. Zaawansowana heurystyka (Advenced Heuristics) .
Screen-Shot
Ta metoda owiana jest jeszcze większą tajemnicą. Możemy podejrzewać, że to podobne, chociaż bardziej zaawansowane metody od detektorów AI. Zaawansowana heurystyka cechuje się bardzo dobrą wykrywalnością i dokładnością w określaniu złośliwych plików. Zaraz po analizie eksperta (patrz dalej) ma największe znaczenie w ostatecznym werdykcie.
4. Analiza ekspertów.
Screen-Shot
Dodatkowo, aby być w 100% pewnym plik można przekazać do ręcznej analizy przez jednego z siedmiu ekspertów w tej dziedzinie. W ciągu 24 godzin (nie licząc weekendów) powinniśmy otrzymać werdykt ostateczny z komentarzem do pliku. Werdykt wydany podczas tej analizy jest przechowywany i każdorazowo wyświetlany po przesłaniu pliku dla każdego użytkownika.
5. Opinie użytkowników o pliku.
Screen-Shot
Ostatnią funkcją jaką oferuje serwis to pozostawianie opinii i komentarzy na temat pliku. Każdy może wskazać status pliku (Normal, Malware, Unwanted, Unknown) oraz napisać na jego temat krótki komentarz.
Podsumowanie.
5 metod do określania pliku - to sporo. Daje nam to całkiem sporą skuteczność przy niskich fałszywych alarmach (stwierdzeniach bezpiecznego pliku jako niebezpiecznego).
Z mojego testu, przeprowadzonego łącznie na 400 plikach wynika, iż skuteczność w wykrywaniu złośliwego kodu to 85-90%, a ilość fałszywych alarmów jest bardzo mała (pośród kolekcji 150 zdrowych plików 2 zostały oznaczone błędnie).
Po co to wszystko?
Przecież mamy serwisy typu VirusTotal, wydają się one bardziej wiarygodne.
Tak, ale opierają się na detekcji znanych zagrożeń - to znaczy takich, które przeszły analizę w laboratoriach i zostały oznaczone jako wirusy. Do tego dochodzi czas aktualizacji…
Najnowsze zagrożenia, które mogą nie być wykrywane przez żaden z popularnych skanerów, lub co najwyżej kilka stwarzają ryzyko infekcji, ponieważ bardzo trudno rozpoznać takiego szkodnika (tzw. 0 day).
Werdykt otrzymany z niezależnej usługi jaką jest Valkyrie zawsze będzie taki sam - i dlatego jest bardzo skutecznym narzędziem w rozpoznawaniu nowych (jaki i starszych) zagrożeń.
Teraz możemy pohulać - codziennie powstaje 50 tys. nowych wirusów. 95% z nich jest niewykrywanych przez więcej niż jeden program antywirusowy - dając tutaj 80-90% wykrywalność Valkyrii, która jest stała… niezależna od weekendów czy dni wolnych dla analityków w firmach AV
Prosiłbym o testy Valkyrii i wszelkie pytania/sugestie/raporty podawać w tym wątku ;).
Cały czas w fazie BETA.