Videó: Linux Mint Урок 10 Удаление программ, изменение пароля и добавление нового пользователя (November 2024)
A Palo Alto Networks szerint a web alapú rosszindulatú szoftverek jobban megkerülik a hagyományos biztonsági megoldásokat, mint az e-maileken futó rosszindulatú programok.
Miközben az e-mailek továbbra is a rosszindulatú programok legfőbb forrása, az ismeretlen rosszindulatú programok túlnyomó részét a webes alkalmazások továbbítják, jelentette ki a Palo Alto Networks a hétfőn megjelent Modern Malware Review jelentésében. Az "ismeretlen rosszindulatú programok" felhasználóinak közel 90% -a az internetes böngészésből származik, szemben az e-mailekből származó 2% -kal.
Ebben a jelentésben az "ismeretlen rosszindulatú programok" a társaság Wildfire felhőszolgáltatása által észlelt rosszindulatú mintákra utaltak, amelyek hat "iparágvezető" vírusvédelmi termék hiányoztak - mondta a Palo Alto Networks a jelentésben. A kutatók több mint 1000 ügyfél adatait elemezték, akik telepítették a vállalat következő generációs tűzfalát és feliratkoztak az opcionális Wildfire szolgáltatásra. A WildFire által malwareként megjelölt 68 047 mintából 26 363 mintát, vagyis 40% -ot nem észleltek az antivírus termékek.
"Az ismeretlen rosszindulatú szoftverek túlnyomó része a web alapú forrásokból származik, és a hagyományos AV-termékek sokkal jobban védik az e-mailen továbbított malwareket" - mondta a Palo Alto Networks.
Sok erőfeszítést kell észrevenni
A "Palo Alto Networks" megállapította, hogy a "rosszindulatú programok" intelligenciája arra szolgál, hogy a biztonsági eszközök észrevétlenül maradjanak. A kutatók több mint 30 viselkedést figyeltek meg arra, hogy a rosszindulatú programok elkerüljék a felismerést, például a rosszindulatú programoknak a kezdeti fertőzés után hosszú ideig "aludnak", a biztonsági eszközök és az operációs rendszer folyamatainak letiltása. Valójában a Palo Alto Networks megfigyelt rosszindulatú programok és viselkedés listájának 52 százaléka a biztonság elkerülésére összpontosított, szemben a hackelés és adatlopás 15 százalékával.
Más gyártók korábbi jelentései rámutattak az ismeretlen rosszindulatú programok nagy számára, amely szerint a víruskereső termékek nem voltak hatékonyak a felhasználók biztonságának megőrzésében. A Palo Alto Networks elmondta, hogy a jelentés célja nem az, hogy vírusvédelmi termékeket hívjon fel e minták nem észlelése érdekében, hanem azonosítsa a rosszindulatú programok mintáinak közös vonásait, amelyeket fel lehet használni a fenyegetések felismerésére, miközben várják a víruskereső termékeket.
Az ismeretlen minták közel 70 százaléka mutatott ki "különálló azonosítókat vagy viselkedéseket", amelyek felhasználhatók valósidejű ellenőrzésre és blokkolásra - találta a Palo Alto Networks jelentésében. A viselkedés magában foglalta a rosszindulatú programok által generált egyéni forgalmat, valamint azokat a távoli célokat, amelyekkel a rosszindulatú programok felkeresették. A minták kb. 33% -a csatlakozott újonnan regisztrált és dinamikus DNS-t használó domainekhez, míg 20% -uk próbált e-maileket küldeni. A támadók gyakran dinamikus DNS-t használnak olyan egyedi domének generálására, amelyek menet közben könnyen elhagyhatók, amikor a biztonsági termékek elkezdenek feketelistára venni.
A támadók nem szabványos webportokat is használtak, például nem titkosított forgalmat küldtek a 443-as porton, vagy a 80-n kívüli portokat használtak a webes forgalom kiküldésére. Az FTP általában a 20. és a 21. portot használja, de a jelentés 237 másik portot használó rosszindulatú programokat talált az FTP forgalom kiküldésére.
Késlelteti a rosszindulatú programok észlelését
Az antivírus gyártók átlagosan öt napot vesznek alá az aláírás kézbesítéséhez az e-mailen keresztül észlelt ismeretlen malware mintákról, míg a webes alapú mintáknak csaknem 20 napja volt. Az FTP volt az ismeretlen rosszindulatú programok negyedik forrása, de a minták csaknem 95 százaléka maradt észrevétlenül 31 nap elteltével, találta a Palo Alto Networks. A közösségi médián keresztül továbbított rosszindulatú szoftvereknek olyan változatai is voltak, amelyeket az antivírus legalább 30 napig nem észlelt - talált a jelentés.
"Nemcsak a hagyományos AV-megoldások sokkal kevésbé valószínűsítik a rosszindulatú programok észlelését az e-maileken kívül, hanem sokkal hosszabb időt vesz igénybe a lefedettség elérése" - találta a jelentés.
A minta méretének különbségei befolyásolták az antivírusok hatékonyságát a rosszindulatú programok felderítésében - mondta a Palo Alto Networks. Az e-mailen keresztüli fenyegetések esetén ugyanazt a rosszindulatú szoftvert gyakran sok célhoz szállítják, így valószínűbb, hogy az antivírus gyártó felismeri és elemzi a fájlt. Ezzel szemben a webszerverek szerveroldali polimorfizmust alkalmaznak a rosszindulatú fájl testreszabására a támadási weblap minden egyes betöltésekor, így nagyobb számú egyedi mintát hoznak létre, és a minták nehezebben észlelhetők. Az a tény, hogy az e-maileket nem is kell valós időben kézbesíteni, azt jelenti, hogy a rosszindulatú programok elleni eszközöknek elegendő idejük van a fájlok elemzésére és ellenőrzésére. Az Internet "sokkal valósidejűbb", és a biztonsági eszközöknek "sokkal kevesebb ideje van a rosszindulatú fájlok ellenőrzésére", mielőtt azokat a felhasználónak eljuttatnák.
"Úgy gondoljuk, hogy döntő jelentőségű a vállalkozások számára az ismert malware kivetéséből származó fertőzések általános mennyiségének csökkentése, hogy a biztonsági csapatoknak idejük legyen összpontosítani a legsúlyosabb és célzott fenyegetésekre" - állítja a jelentés.
