Ao escanear um dispositivo a plataforma antivírus de uma empresa encontrou processos ou arquivos maliciosos que não podiam ser reparados.
Os vírus utilizam uma série de métodos para impedir que sejam eliminados; entre eles estão:
- Executam-se ao iniciar o sistema. Os arquivos abertos não podem ser apagados pelos sistemas operativos.
- Fazem com que os operadores de Windows os execute. Isto dificulta ainda mais seu apagado, porque não se pode terminar este processo em sistemas cujo funcionamento é crítico.
- Escondem-se em pastas do sistema, fazendo-se passar por elementos críticos do sistema.
- Criam chaves no registro para regenerar arquivos e processos prejudiciais previamente eliminados.
- Negam seu acesso a outros usuários ao criar-se credenciais únicas.
- Modificam sua rota e nome para dificultar sua localização.
Ao encontrar-se com qualquer situação que não pode solucionar, o programa antivírus gera uma lista dos dados prejudiciais encontrados e emite um alerta para ativar a EnCase® Cybersecurity.
Resposta de EnCase® Cybersecurity
Os componentes dedicados à administração da seguridade de informação e eventos (SIEM, segundo suas siglas em inglês) ativam a EnCase® Cybersecurity ,que realiza uma avaliação extensa aos arquivos e sistemas afetados; este processo inclui:
- Coleta das chaves de registro associadas aos dados maliciosos.
- Coleta de metadados dos arquivos: os metadados são todos os dados de um arquivo que não são parte de seu conteúdo, como ser a data de sua criação, modificação e a última vez que foram acessados, localização do arquivo no disco, nome de arquivo, extensão, tamanho de arquivo, etc.
- Criação de chaves hash dos arquivos maliciosos: as chaves hash são as impressões digitais dos arquivos. Ao criar uma representação única do conteúdo do arquivo, estas chaves hash permitem comparar rapidamente o conteúdo de um arquivo a outro,possibilitando a EnCase® verificar se um arquivo é realmente o que representa ser.Isso é particularmente útil quando um vírus se esconde como um processo nativo do sistema.
- Comparação de chaves hash: identificam os arquivos maliciosos escondidos em qualquer dispositivo independentemente de que sua localização e nome sejam diferentes.
- Comparação da semelhança de arquivos mediante chaves hash: uma das ferramentas mais poderosas dos produtos EnCase® permite comparar a semelhança relativa entre arquivos.
- Identifica a presença de um vírus que constantemente modifica sua forma independente de que o conteúdo dos arquivos seja diferente (vírus polimórficos).
- Remoção das chaves dos registros que comprometem os sistemas: EnCase® não somente eliminará as chaves de registros enviadas pelo antivírus,senão que verificará se existem mais senhas relacionadas ao vírus e as eliminará.
- Remoção de todos os arquivos comprometidos: EnCase® Cybersecurity começa a funcionar antes mesmo de que o sistema termine de arrancar; isto lhe permite um acesso total aos arquivos que existam em um dispositivo, eliminando a possibilidade de que um vírus bloqueie sua supressão.
Benefício
EnCase Cybersecurity retifica os dados que as soluções antivírus não conseguem reparar e permite entender se outros dados maliciosos ou processos desconhecidos hão sido gerados de forma simples e centralizada, permitindo usar os recursos da empresa rapidamente e minimizando as perdas potenciais causadas pelo vírus.
RELACIONADOS
Casos de Uso: EnCase Cybersecurity Complementando uma Lista Negra / Conteúdo Mal-Intencionado Previamente Reconhecido
Guerra na Fronteira: Resposta a Incidentes vs. Investigação Forense
Grupo de LinkedIn: Usuários do EnCase - Português
No comments :
Post a Comment