Domov Securitywatch Malware miluje spoločnosť: spôsob, akým vývoj malvéru spôsobil zmenu v našom testovaní

Malware miluje spoločnosť: spôsob, akým vývoj malvéru spôsobil zmenu v našom testovaní

Video: Destroying Windows 10 With Viruses (November 2024)

Video: Destroying Windows 10 With Viruses (November 2024)
Anonim

Pre virtuálne počítače napadnuté škodlivým softvérom, ktoré používam pri testovaní antivírusových produktov, je to déjà vu zakaždým, keď začnem nový test. Virtuálny počítač vrátim späť na rovnaký počiatočný bod pre každý test, potom nainštalujem (alebo skúste nainštalovať) antivírus a vyzvite ho na vyčistenie. Ale niekedy sa stane niečo viac; V niektorých prípadoch malware pozýva priateľov na hranie.

Dni osamelého hackera, ktorý píše vírusy iba pre jeho sakra, sú dávno preč. Dnes je tu celý ekosystém malvéru a jedna prospešná súčasť tohto ekosystému zahŕňa jazdné dráhy, situácie, keď jeden kybernetický podvodník zaplatí druhému, že vezme novú hrozbu na existujúci malware. Tie, ktoré nazývame „kvapkadlá“, nemajú škodlivé užitočné zaťaženie; slúžia len ako nožička vo dverách pre ďalší malware.

Čo to znamená pre moje testovanie? Čím dlhšie bude infikovaný systém funkčný skôr, ako sa nový antivírusový program úplne nainštaluje a spustí kontrolu, tým väčšia je pravdepodobnosť, že existujúci zamorenie pozve priateľov na párty. Získanie ochrany nainštalovanej v týchto systémoch niekedy vyžaduje technickú podporu celé dni. Zatiaľ čo oni sú zaneprázdnení, tak je to malware; desivé!

Gameover ZeuS

Minulý mesiac na konferencii Malware 2013 holandský študent výskumu predstavil veľmi podrobnú analýzu systému Gameover ZeuS. Podobne ako iné prípady systému ZeuS Trojan má táto sieť škodlivého softvéru množstvo funkcií, ale zameriava sa väčšinou na odcudzenie citlivých informácií, ako sú poverenia online bankovníctva. Čo sa na Gameover ZeuS líši, je to, že namiesto centralizovaného systému velenia a riadenia používa distribuovanú sieť typu peer-to-peer, takže je oveľa ťažšie sledovať a eradikovať. Novinky pre mňa!

Predstavte si moje prekvapenie, keď som nedávno dostal poznámku od svojho poskytovateľa internetových služieb, podľa ktorej zistil, že z mojej adresy IP prichádza prevádzka Gameover ZeuS. Nie, nezískal som infekciu od výskumníka. Jedna z mojich existujúcich vzoriek vyzvala skôr nového priateľa, aby sa usadil, pravdepodobne počas neobvyklého denného technologického maratónu technickej podpory, ktorý mu poskytol dostatok času.

Pred rokmi, keď som prvýkrát začal testovať antivírusový program pomocou virtuálnych počítačov infikovaných škodlivým softvérom, mohol by som sa celkom spoľahnúť na to, že populácia škodlivého softvéru v mojich testovacích systémoch zostane stabilná. Pokiaľ som nenainštaloval vzorky škodlivého softvéru, ktoré sa aktívne snažia šíriť cez internet, mohol by som sa vyhnúť problému. Poznámka od môjho ISP bola budíčkom. Ak nainštalujem reprezentatívnu kolekciu vzoriek škodlivého softvéru, neexistuje žiadna záruka, že jedna z nich nezmení správanie alebo neprináša nebezpečného spoločníka.

Hra skončila

Je možné, že by som mohol zmeniť poskytovateľov internetových služieb a vyhýbať sa upozorneniam, ale to nie je riešenie. Nemôžem s dobrým svedomím pokračovať v praxi, ktorá by mohla spôsobiť škodu mimo mojich virtuálnych počítačov. Nemôžem len prerušiť testovacie systémy z internetu, pretože veľa antivírusových nástrojov vyžaduje pripojenie. A nemám prostriedky na replikáciu prenosu škodlivého softvéru v uzavretom prostredí, ako to robia veľké a nezávislé testovacie laboratóriá. Budem musieť zrušiť praktické testovanie živého škodlivého softvéru.

Pozitívne je, že v týchto dňoch nezávislé testovacie laboratóriá na antivírusové testy prinášajú skutočne dobré testy. Tieto výsledky určite využijem. Stále budem testovať filtrovanie nevyžiadanej pošty, ochranu pred phishingom, blokovanie škodlivého URL - akýkoľvek test, ktorý nezahŕňa potenciálne uvoľnenie aktívneho škodlivého softvéru. A stále sa budem venovať každej funkcii každého antivírusu a snažím sa identifikovať tie najlepšie. Len nebudem vykonávať žiadne testy, ktoré by mohli spôsobiť problémy vo vonkajšom svete.

Nový test nulového dňa

Okrem toho pridávam nový test na kontrolu, ako dobre každý antivírus zvláda blokovanie sťahovania extrémne nových hrozieb. Dobrí ľudia v britskej bezpečnostnej výskumnej spoločnosti MRG-Effitas mi umožnili prístup k obrovskému zdroju škodlivých adries URL v reálnom čase. Pomocou tohto informačného kanála môžem skontrolovať, ako antivírus spracováva stovku najnovších škodlivých súborov. Blokuje webovú adresu? Zablokovať sťahovanie? Úplne vám to chýba? Teším sa, až tento nový test bude v plnom prúde.

Malware miluje spoločnosť: spôsob, akým vývoj malvéru spôsobil zmenu v našom testovaní