La funzione di Rollback di ThreatDown by Malwarebytes (parte del modulo di Endpoint Protection and Response – EPR) è strettamente collegata alla funzionalità Attività Sospette (Suspicious activity). Per illustrarla è necessaria una descrizione del funzionamento del modulo Suspicious Activity.
Il modulo Suspicious Activity
Il modulo Suspicious Activity, basandosi sulle valutazioni dei 7 livelli di protezione erogati da ThreatDown, può definire un file come non malevolo, ma denotare un comportamento sospetto rilevato dal motore di machine learning di ThreatDown.
Endpoint Protection and Response, per rilevare file anomali, usa tre modelli di machine learning: conservativo, aggressivo e molto aggressivo (che di default è spento).
Se serve, ThreatDown esegue i file sospetti nella sua sandbox nel cloud, dove in base ad oltre 500 regole (sul processo, la rete, il registro di Windows e così via) un file può essere determinato come sospetto. Vengono esaminati solo file eseguibile e mai dati personali dell’utente.
Tramite il learning mode, ThreatDown comprende il comportamento dell’endpoint e se necessario crea esclusioni apposite, oppure lo contrassegna come sospetto.
Il Learning mode
Il Learning mode è una modalità di funzionamento che si applica per un periodo di 14 giorni (particolarmente nelle prime 24 ore) a partire dall’attivazione di Endpoint Protection and Response. Durante questi primi 14 giorni ThreatDown esamina gli eventi di sistema e cerca di capire cosa rientra nella normale attività dell’endpoint e cosa invece no, aggiungendo le applicazioni che generano le ‘attività normali’ alla exclusion list. Il Learning mode è automatico, non è necessaria nessuna installazione o configurazione. Al termine del periodo di learning mode la protezione erogata da EPR è completa.
Ci sono regole, collegate ad azioni compiute da un file, che fanno si che un file sia considerato sospetto. Per esempio, se un file cerca di disattivare il Windows Firewall o cancellare le shadowcopy o ancora inserirsi in autorun o ancora se ha un comportamento simile a quello di un ransomware, verrà inserito nell’elenco delle attività sospette. In questi casi ThreatDown abilita la funzionalità di rollback.
Funzionalità di Rollback
ThreatDown Endpoint Protection and Response ha un driver in kernel-mode driver che intercetta le chiamate al file system. Se un file o un processo classificato come attività ‘tocca’ dei file, per esempio dei file di Word o Power Point, le regole di difesa dal ransomware intercettano la chiamata al file system e fanno una copia del file ‘toccato’ in un luogo nascosto dell’endpoint. Se lo stesso file è editato dall’utente, invece, non viene effettuata alcuna copia.
La copia sarà disponibile per 48 ore (prolungabili fino a 72, modificando la policy dell’endpoint) e può avere una dimensione fino a 20 Mb (prolungabili fino a 100).
Su un laptop che usa applicazioni comuni come Microsoft office questa funzione usa circa 200 Mb di spazio disco (per archiviare file di dimensione massima di 20 MB e conservarli per 48) ma può arrivare fino a 500 MB e, temporaneamente durante il periodo di learning , fino a circa 1,5 GB. Al termine del periodo di learning, dopo che ThreatDown ha impostato le eccezioni locali per i file considerati sicuri, lo spazio occupato automaticamente viene riportato sui 200/500 MB.
