Video: Android Virus Series #8 - Fake Antivirus (Oktober 2024)
Web-basert malware er bedre til å omgå tradisjonelle sikkerhetsforsvar enn e-postbåren skadelig programvare, ifølge Palo Alto Networks.
Mens e-post fortsetter å være en topp kilde til skadelig programvare, blir det overveldende flertallet av ukjente skadelige programvare presset via webapplikasjoner, fant Palo Alto Networks i sin rapport om Modern Malware Review som ble utgitt mandag. Nesten 90 prosent av brukere av "ukjent malware" kom fra å surfe på nettet, sammenlignet med bare 2 prosent som kom fra e-post.
"Ukjent skadelig programvare" refererte i denne rapporten til ondsinnede prøver som ble oppdaget av selskapets Wildfire-skytjeneste som seks "industriledende" antivirusprodukter savnet, sier Palo Alto Networks i rapporten. Forskere analyserte data fra mer enn 1000 kunder som distribuerte selskapets neste generasjons brannmur og abonnerte på den valgfrie Wildfire-tjenesten. Av de 68 047 prøvene som ble flagget av WildFire som skadelig programvare, ble 26 363 prøver eller 40 prosent ikke oppdaget av antivirusproduktene.
"Et overveldende volum av ukjent malware kommer fra nettbaserte kilder, og tradisjonelle AV-produkter klarer seg mye bedre til å beskytte mot skadelig programvare levert via e-post, " sa Palo Alto Networks.
Mye innsats for å forbli uoppdaget
Palo Alto Networks fant en "mye" skadelig programvare for å forbli uoppdaget av sikkerhetsverktøy. Forskere observerte mer enn 30 atferd dedikert til å hjelpe skadelig programvare med å unngå oppdagelse, for eksempel å ha skadelig programvare "søvn" i lang tid etter den første infeksjonen, deaktivere sikkerhetsverktøy og operativsystemprosesser. Faktisk, av listen over skadelige aktiviteter og oppførsel som Palo Alto Networks observerte, fokuserte 52 prosent på å unngå sikkerhet, sammenlignet med 15 prosent som fokuserte på hacking og datatyveri, fant rapporten.
Tidligere rapporter fra andre leverandører har pekt på det store antallet ukjente malware for å hevde at antivirusprodukter var ineffektive for å holde brukerne trygge. Palo Alto Networks sa at målet med rapporten ikke var å rope ut antivirusprodukter for ikke å oppdage disse prøvene, men å identifisere fellestrekk i malware-prøver som kan brukes til å oppdage trusler mens de venter på at antivirusproduktene skulle fange opp.
Nesten 70 prosent av ukjente prøver viste "distinkte identifikasjoner eller atferd" som kan brukes til sanntidskontroll og blokkering, fant Palo Alto Networks i rapporten. Atferd inkluderte tilpasset trafikk generert av skadelig programvare, så vel som eksterne destinasjoner skadelig programvare kontaktet. Omtrent 33 prosent av prøvene koblet til nylig registrerte domener, og domener ved bruk av dynamisk DNS, mens 20 prosent forsøkte å sende ut e-post, fant rapporten. Angripere bruker ofte dynamisk DNS for å generere egendefinerte domener mens du kan forlate når sikkerhetsprodukter begynner å svarteliste det.
Angripere brukte også ikke-standard webporter, for eksempel å sende ikke-kryptert trafikk på port 443, eller bruke andre porter enn 80 for å sende ut webtrafikk. FTP bruker vanligvis portene 20 og 21, men rapporten fant malware som bruker 237 andre porter for å sende ut FTP-trafikk.
Forsinkelser med å oppdage skadelig programvare
Det tok gjennomsnittlig fem dager å levere antivirusleverandører for å levere signaturer for ukjente malware-prøver som ble oppdaget via e-post, sammenlignet med nesten 20 dager for nettbaserte. FTP var den fjerde kilden til ukjent skadelig programvare, men nesten 95 prosent av prøvene forble uoppdaget etter 31 dager, fant Palo Alto Networks. Malware levert over sosiale medier hadde også varianter som forble uoppdaget av antivirus i 30 dager eller mer, viser rapporten.
"Ikke bare er tradisjonelle AV-løsninger langt mindre sannsynlig å oppdage skadelig programvare utenfor e-post, men det tar også mye lengre tid å få dekning, " fant rapporten.
Forskjeller i prøvestørrelse påvirket hvor effektiv antivirus var til å oppdage skadelig programvare, sier Palo Alto Networks. For trusler på e-post blir ofte den samme skadelige programvaren levert til mange mål, noe som gjør det mer sannsynlig at antivirus-leverandøren vil oppdage og analysere filen. Derimot bruker webservere polymorfisme på serversiden for å tilpasse den ondsinnede filen hver gang angrepswebsiden lastes, noe som skaper et større antall unike prøver og gjør prøvene vanskeligere å oppdage. Det at e-post heller ikke trenger å leveres i sanntid, betyr at anti-malware-verktøy har tid til å analysere og inspisere filene. Internett er "langt mer sanntid" og gir sikkerhetsverktøy "mye mindre tid til å inspisere" ondsinnede filer før de leveres til brukeren.
"Vi tror at det er avgjørende for bedrifter å redusere det totale volumet av infeksjoner fra varianter av kjent malware, slik at sikkerhetsteamene har tid til å fokusere på de mest alvorlige og målrettede truslene, " ifølge rapporten.
