Domov Securitywatch Antivírus lepšie detekuje malware z e-mailu ako webové hrozby

Antivírus lepšie detekuje malware z e-mailu ako webové hrozby

Video: How To Clear Cache On Firefox ✅ (November 2024)

Video: How To Clear Cache On Firefox ✅ (November 2024)
Anonim

Podľa Palo Alto Networks je webový malware lepšie obísť tradičné bezpečnostné zabezpečenia ako malware prenášaný e-mailom.

Zatiaľ čo e-mail je naďalej hlavným zdrojom škodlivého softvéru, prevažná väčšina neznámeho škodlivého softvéru sa tlačí cez webové aplikácie, Palo Alto Networks sa nachádza v správe Modern Malware Review vydanej v pondelok. Takmer 90 percent používateľov, s ktorými sa stretol „neznámy malware“, prišlo z prehliadania webu, zatiaľ čo iba 2 percentá pochádzalo z e-mailu.

„Neznámy škodlivý softvér“ v tejto správe sa odvolával na škodlivé vzorky zistené cloudovou službou spoločnosti Wildfire, ktorým šesť antivírusových produktov „popredných“ v tejto oblasti uniklo, uviedol v správe Palo Alto Networks. Vedci analyzovali údaje od viac ako 1 000 zákazníkov, ktorí nasadili firewall novej generácie spoločnosti a prihlásili sa na odber voliteľnej služby Wildfire. Z 68 047 vzoriek označených spoločnosťou WildFire ako malware bolo antivírusovými produktmi detekovaných 26 363 vzoriek alebo 40 percent.

„Prevažný objem neznámeho škodlivého softvéru pochádza z webových zdrojov a tradičné produkty AV sa oveľa lepšie chránia pred škodlivým softvérom doručeným prostredníctvom e-mailu, “ uviedol Palo Alto Networks.

Veľa úsilia zostať nezistené

Palo Alto Networks zistil, že „veľká časť“ informácií o škodlivom softvéri je vyhradená na to, aby neboli odhalené bezpečnostnými nástrojmi. Vedci pozorovali viac ako 30 správ, ktorých cieľom je pomôcť malware zabrániť detekcii, napríklad nechať malware „spať“ dlhú dobu po počiatočnej infekcii, deaktivovať bezpečnostné nástroje a procesy operačného systému. V skutočnosti zo zoznamu aktivít a správania škodlivého softvéru, ktoré Palo Alto Networks pozorovala, sa 52 percent zameralo na obchádzanie bezpečnosti, v porovnaní s 15 percentami zameranými na hackerstvo a krádež údajov.

Predchádzajúce správy od iných predajcov poukazujú na veľké množstvo neznámeho škodlivého softvéru, ktorý tvrdí, že antivírusové produkty boli neefektívne pri zabezpečovaní bezpečnosti používateľov. Palo Alto Networks uviedol, že cieľom správy nie je vyvolať antivírusové produkty na nezistenie týchto vzoriek, ale identifikovať spoločné znaky vo vzorkách škodlivého softvéru, ktoré by sa mohli použiť na odhalenie hrozieb, kým sa antivírusové produkty dočkajú.

Takmer 70 percent neznámych vzoriek vykazovalo „zreteľné identifikátory alebo správanie“, ktoré by sa mohli použiť na riadenie a blokovanie v reálnom čase, uviedol Palo Alto Networks vo svojej správe. Správanie zahŕňalo vlastnú komunikáciu generovanú škodlivým softvérom, ako aj vzdialené ciele, na ktoré sa škodlivý softvér kontaktoval. Približne 33 percent vzoriek sa pripájalo k novo zaregistrovaným doménam a doménam používajúcim dynamický DNS, zatiaľ čo 20 percent sa pokúsilo odoslať e-maily. Útočníci často používajú dynamický DNS na vytváranie vlastných domén za behu, ktoré sa môžu ľahko opustiť, keď ho bezpečnostné produkty začnú na čiernu listinu.

Útočníci tiež použili neštandardné webové porty, napríklad na odosielanie nešifrovanej prevádzky na porte 443 alebo na odosielanie webovej prevádzky pomocou portov iných ako 80. FTP zvyčajne používa porty 20 a 21, ale v správe sa našiel malware, ktorý používa 237 ďalších portov na odosielanie prenosu FTP.

Oneskorenie zisťovania škodlivého softvéru

Dodávatelia antivírusových služieb trvalo doručenie podpisov neznámych vzoriek škodlivého softvéru zistených prostredníctvom e-mailu v priemere päť dní v porovnaní s takmer 20 dňami v prípade webových stránok. FTP bol štvrtým zdrojom neznámeho škodlivého softvéru, ale takmer 95 percent vzoriek zostalo nezistených po 31 dňoch, zistil Palo Alto Networks. Malware dodávaný cez sociálne médiá mal aj varianty, ktoré antivírus nezistil po dobu 30 dní alebo viac.

„Nielenže tradičné AV riešenia detekujú malware mimo e-mailu oveľa menej, ale aj pokrytie trvá oveľa dlhšie, “ uvádza sa v správe.

Rozdiely vo veľkosti vzorky ovplyvnili účinnosť antivírusu pri detekcii škodlivého softvéru, uviedol Palo Alto Networks. V prípade hrozieb prenášaných prostredníctvom e-mailu sa ten istý malware často dostane do mnohých cieľov, takže je pravdepodobnejšie, že antivírusový program detekuje a analyzuje súbor. Na rozdiel od toho, webové servery používajú polymorfizmus na strane servera na prispôsobenie škodlivého súboru pri každom načítaní útoku z webovej stránky, čím sa vytvára väčší počet jedinečných vzoriek a vzorky sa ťažšie zisťujú. Skutočnosť, že e-mail sa nemusí doručovať ani v reálnom čase, znamená, že nástroje na ochranu pred škodlivým softvérom majú čas na analýzu a kontrolu súborov. Web je „omnoho viac v reálnom čase“ a poskytuje bezpečnostné nástroje „oveľa menej času na kontrolu“ škodlivých súborov pred ich doručením používateľovi.

„Sme presvedčení, že je nevyhnutné, aby podniky znížili celkový objem infekcií spôsobených variantami škodlivého softvéru, aby mali bezpečnostné tímy čas sústrediť sa na najzávažnejšie a najzacielenejšie hrozby, “ uvádza sa v správe.

Antivírus lepšie detekuje malware z e-mailu ako webové hrozby