CAMP (Content-Agnostic Malware Protection) es un sistema que se ha integrado en 200 millones de usuarios de Chrome como prueba de concepto en los meses pasados, y está destinado a detectar si el binario descargado es malware. No hablamos de exploits contra Chrome (vector de ataque en el que, si bien sigue siendo el más usado entre los atacantes, este navegador ya hace un excelente trabajo protegiéndose), sino rigurosamente los ficheros bajados. Según un estudio señalado en el propio documento, con suerte un antivirus tradicional detendrá entre un 35% y un 70% del malware que se intenta descargar un usuario antes de que dañe el sistema. Las listas negras son inútiles y las blancas muy limitantes. CAMP por el contrario está basado en la reputación. Esta se almacena y actualiza en un servidor remoto (la consabida nube). Los binarios que se descarguen y que no sean bloqueados por el propio Safe Browsing de Chrome, serán «interrogados» por el navegador para tomar nuevas referencias. Con ellas crean la reputación en el servidor sin necesitar saber nada del binario en sí. Se han preocupado de la velocidad y la privacidad, pero lo que nos interesa en estos momentos es cómo han obtenido los siguientes resultados.
- Las propias casas antivirus suelen detectar muy poco a través de firmas estáticas (desde luego no es la estrategia que más éxito les reporta y basarse demasiado en ellas es precisamente su «condena«).
- Las casas antivirus internamente usan también máquinas virtuales para análisis rápidos dinámicos. Con lo que, aunque más lentamente que CAMP, quizás hayan marcado como malware las muestras exactamente por la misma razón que lo hizo Google en un principio. Así, lógicamente la tendencia es a estar totalmente de acuerdo en ambos métodos. Obviamente, esto es a grandes rasgos. Las casas antivirus usan otros métodos, pero este es el primero y que les ayuda a «descartar» y clasificar rápidamente, algo que por la cantidad de muestras que reciben a diario, es más necesario cada vez.
- Usar máquinas virtuales siempre es una mala idea. El malware profesional, prácticamente las elude de serie, y no realizan ningún comportamiento si saben que están en una.
- No olvidemos que algunos motores se copian entre sí las firmas. Si un motor reputado afirma que una muestra el malware, otros con menos recursos automáticamente también lo harán para ahorrarse el análisis. El hecho de que lo afirmen ocho motores no es tan importante como que lo afirmen algunos más importantes.
Anónimo dice
Espectacular análisis, me parece muy acertado.
Erwin Vera dice
Interesante e importante, gracias!
Juanjo Garcia dice
Está claro que las grandes casas siguen haciendo sus análisis de forma que les salgan favorables, Sergio, has hecho un buen trabajo destripándoselo.
Yo personalmente opino que el software de código abierto es la mejor forma de luchar contra el malware.
Isaac Ab. Guzman T. dice
Muy Bien,Gracias/