Видео: ДвернаÑ? охота (Выломаные двери) (Септември 2024)
Palo Alto Networks е базиран на уеб зловреден софтуер по-добре в заобикалянето на традиционните защитни защити от злонамерения софтуер, който се носи от електронна поща.
Въпреки че електронната поща продължава да е основен източник на злонамерен софтуер, по-голямата част от неизвестните злонамерени програми се избутват чрез уеб приложения, Palo Alto Networks открива в своя доклад за съвременен преглед на зловреден софтуер, публикуван в понеделник. Близо 90 процента от срещнатите потребители на „неизвестен зловреден софтуер“ идваха от сърфиране в мрежата, в сравнение с едва 2 процента, идващи от имейл.
"Неизвестен зловреден софтуер" в този доклад се отнася до злонамерени проби, открити от облачната услуга Wildfire на компанията, които шест "водещи в индустрията" антивирусни продукти са пропуснали, каза в доклада Palo Alto Networks. Изследователите анализираха данни от повече от 1000 клиенти, които разгърнаха защитната стена на следващото поколение на компанията и се абонираха за опционалната услуга Wildfire. От 68 077 проби, маркирани от WildFire като зловреден софтуер, 26 333 проби или 40 процента не са открити от антивирусните продукти.
„Огромен обем от неизвестни злонамерени програми идва от уеб-базирани източници, а традиционните AV продукти се справят много по-добре в защитата срещу злонамерен софтуер, доставен по електронната поща“, каза Пало Алто Мрежи.
Много усилия да останат неоткрити
Palo Alto Networks установи, че „голяма част“ от интелигентността на злонамерения софтуер е посветена на това да остане незабелязана от инструменти за сигурност. Изследователите наблюдават повече от 30 поведения, посветени на подпомагането на злонамерен софтуер за избягване на откриването, като например, че зловредният софтуер „спи“ дълго време след първоначалната инфекция, деактивира инструментите за сигурност и процесите на операционната система. В действителност, от списъка на наблюдаваните дейности и поведение на злонамерен софтуер, Palo Alto Networks, 52% са се фокусирали върху избягване на сигурността, в сравнение с 15 процента, които се фокусират върху хакерство и кражба на данни, констатира докладът.
Предишни доклади от други доставчици сочат големия брой неизвестни зловредни програми, които твърдят, че антивирусните продукти са неефективни за запазване на потребителите. Palo Alto Networks заяви, че целта на доклада не е да се извикат антивирусни продукти за неоткриване на тези проби, а да се идентифицират общи неща в пробите от зловреден софтуер, които могат да бъдат използвани за откриване на заплахи, докато чакат антивирусните продукти да се изравнят.
Почти 70 процента от неизвестните проби показваха „различни идентификатори или поведение“, които биха могли да бъдат използвани за контрол и блокиране в реално време, установи в своя доклад Palo Alto Networks. Поведенията включваха персонализиран трафик, генериран от зловредния софтуер, както и отдалечените дестинации, с които се е свързал злонамерен софтуер. Приблизително 33 процента от извадките се свързват с новорегистрирани домейни и домейни, използващи динамичен DNS, докато 20 процента се опитват да изпращат имейли, установява докладът. Нападателите често използват динамичен DNS, за да генерират персонализирани домейни в движение, които лесно могат да бъдат изоставени, когато продуктите за сигурност започнат да го правят в черен списък.
Атакуващите също използвали нестандартни уеб портове, като например изпращане на незашифрован трафик на порт 443 или използване на портове, различни от 80, за да изпращат уеб трафик. FTP обикновено използва портове 20 и 21, но докладът открива злонамерен софтуер, използващ 237 други порта за изпращане на FTP трафик.
Забавя откриването на зловреден софтуер
Продавачите на антивирусни продукти отнеха средно пет дни, за да доставят подписи за неизвестни проби от злонамерен софтуер, открити по имейл, в сравнение с близо 20 дни за уеб-базирани такива. FTP беше четвъртият източник на неизвестен зловреден софтуер, но близо 95 процента от пробите останаха неоткрити след 31 дни, установи Palo Alto Networks. Злоумишленият софтуер, доставян през социалните медии, също имаше варианти, които не бяха открити от антивирус в продължение на 30 дни или повече, посочва докладът.
"Не само традиционните AV решения имат много по-малка вероятност да открият злонамерен софтуер извън имейла, но също така отнема много повече време, за да се обхване", се посочва в доклада.
Разликите в размера на извадката оказват влияние върху ефективността на антивирус при откриване на злонамерен софтуер, заяви Palo Alto Networks. За заплахи, пренасяни по електронна поща, един и същ зловреден софтуер често се доставя на много цели, което прави по-вероятно антивирусният доставчик да открие и анализира файла. За разлика от тях, уеб сървърите използват полиморфизъм от страна на сървъра, за да персонализират злонамерения файл при всяко зареждане на уеб страницата за атака, създавайки по-голям брой уникални проби и правят пробите по-трудни за откриване. Фактът, че електронната поща също не е необходимо да се доставя в реално време, означава, че средствата за борба с зловредния софтуер имат време да анализират и проверят файловете. Мрежата е „далеч по-реално“ и дава на средствата за сигурност „много по-малко време за проверка“ на злонамерените файлове, преди да ги доставят на потребителя.
„Ние вярваме, че е от ключово значение за предприятията да намалят общия обем на инфекции от варианти на известни зловредни програми, така че екипите по сигурността да имат време да се съсредоточат върху най-сериозните и насочени заплахи“, се посочва в доклада.
