Mecanismo de verificação de detecção de malware GuardDuty - Amazon GuardDuty

Mecanismo de verificação de detecção de malware GuardDuty

O Amazon GuardDuty tem um mecanismo de verificação criado e gerenciado internamente e um fornecedor terceirizado. Ambos usam indicadores de comprometimento (IoCs) provenientes de vários feeds internos que têm visibilidade sobre os diferentes tipos de malware que podem ser alvos do AWS. O GuardDuty também tem definições de detecção baseadas em regras YARA adicionadas por nossos engenheiros de segurança e detecções baseadas em modelos heurísticos e de machine learning (ML). Ao verificar objetos do Amazon S3, a Proteção contra Malware do GuardDuty produz resultados consistentes ao verificar o mesmo objeto várias vezes com as mesmas definições e mecanismos de verificação. A detecção baseada em assinatura não inclui apenas a correspondência de bytes, mas também um trecho de código que pode ser complexo, e o verificador pode analisar o conteúdo e tomar decisões.

O mecanismo de verificação de malware não realiza análise comportamental em tempo real, em que a detonação de malware monitora a amostra à medida que ela é executada em um sistema real. A solução GuardDuty é basicamente uma detecção baseada em arquivos. Para detectar malware sem arquivos, o GuardDuty fornece uma solução baseada em agentes, como Monitoramento de runtime para Amazon EKS, Amazon EC2 e Amazon ECS (inclusive AWS Fargate).

Sem restrições quanto aos formatos de arquivo que o GuardDuty verifica em busca de malware, os mecanismos de verificação usados por ele podem detectar diferentes tipos de malware, como criptomineradores, ransomware e webshells. O mecanismo de verificação totalmente controlado do GuardDuty atualiza continuamente a lista de assinaturas de malware a cada 15 minutos.

O mecanismo de verificação é uma parte do sistema de inteligência contra ameaças do GuardDuty que usa um componente interno de detonação de malware. Isso gera uma nova inteligência sobre ameaças ao coletar independentemente amostras de malware e benignas de várias fontes. O tipo IoC de hash de arquivo do sistema de inteligência contra ameaças alimenta ainda mais o mecanismo de verificação de malware para detectar os malwares com base em hashes de arquivos inválidos conhecidos.