У дома Securitywatch Зловредният софтуер обича компанията: как еволюцията на зловредния софтуер предизвика промяна в нашето тестване

Зловредният софтуер обича компанията: как еволюцията на зловредния софтуер предизвика промяна в нашето тестване

Видео: Время и Стекло Так выпала Карта HD VKlipe Net (Ноември 2024)

Видео: Время и Стекло Так выпала Карта HD VKlipe Net (Ноември 2024)
Anonim

За виртуалните машини, заразени със злонамерен софтуер, които използвам за тестване на антивирусни продукти, е déjà vu всеки път, когато стартирам нов тест. Връщам виртуалната машина до същата начална точка за всеки тест, след което инсталирам (или се опитвам да инсталирате) антивируса и го предизвиквам да почисти. Но понякога се случва нещо повече; понякога злонамереният софтуер кани приятели да играят.

Дните на самотния хакер, който пише вируси само за дяволите, отдавна са отминали. Днес има цяла екосистема от зловреден софтуер и един процъфтяващ компонент на тази екосистема включва преходи, ситуации, при които един кибер-мошеник плаща на друг, за да изпрати нова заплаха за съществуващия зловреден софтуер. Тези, които наричаме „капкомери“, дори нямат злонамерен полезен товар; те просто служат като крак във вратата за други зловредни програми.

Какво означава това за моето тестване? Колкото по-дълго заразената система работи, преди нов антивирус може да се инсталира напълно и да започне сканиране, толкова повече са шансовете за съществуващата зараза да покани приятели на парти. Поставянето на защита, инсталирана в тези системи, понякога отнема дни на работа от техническа поддръжка. Докато остават заети, такъв е и зловредният софтуер; страшен!

Gameover ZeuS

На конференцията за Malware 2013 миналия месец холандски студент изследователски представи много подробен анализ на Gameover ZeuS. Подобно на други случаи на ZeuS Trojan, тази мрежа за злонамерен софтуер има разнообразни функции, но най-вече има за цел да открадне чувствителна информация като идентификационните данни на онлайн банкирането. Различното при Gameover ZeuS е, че вместо централизирана система за управление и управление, той използва разпределена мрежа за връстници, което прави много по-трудно да се проследяват и премахват. Новини за мен!

Представете си моята изненада, когато наскоро получих бележка от моя интернет доставчик, че те са открили трафик на Gameover ZeuS, идващ от моя IP адрес. Не, не взех инфекция от изследователя. По-скоро една от съществуващите ми проби покани чисто нов приятел да пребивава, вероятно по време на необичаен денонощен маратон за техническа поддръжка, който му отдели достатъчно време.

Преди години, когато за пръв път започнах да тествам антивирус, използвайки виртуални машини, заразени с зловреден софтуер, можех да разчитам, че популацията от зловреден софтуер на моите тестови системи остава стабилна. Докато не инсталирах проби от зловреден софтуер, които активно се опитват да се разпространяват по интернет, бих могъл да избегна да стана част от проблема. Бележката от моя интернет доставчик беше събуждане. Ако инсталирам представителна колекция от образци на зловреден софтуер, няма просто гаранция, че една от тях няма да промени поведението или да доведе до опасен спътник.

Играта наистина

Възможно е да мога да сменя доставчиците на интернет услуги и да избягвам известия, но това не е решение. Не мога с чиста съвест да продължа практика, която може да причини вреда извън моите виртуални машини. Не мога просто да отрежа тестовите системи от Интернет, тъй като много антивирусни инструменти изискват връзка. И нямам ресурси да копирам трафик на злонамерен софтуер в затворена среда, както правят големите независими лаборатории за тестване. Ще трябва да се откажа от практическото тестване на зловреден софтуер.

От плюс, независимите лаборатории за тестване на антивирусни продукти правят някои наистина добри тестове в наши дни. Определено ще се възползвам повече от тези резултати. Все още ще тествам филтриране на спам, фишинг защита, злонамерено блокиране на URL адреси - всеки тест, който не включва потенциално освобождаване на активен зловреден софтуер. И все още ще се ровя във всяка функция на всеки антивирус, като работя за идентифициране на най-добрите. Просто няма да провеждам никакви тестове, които потенциално биха могли да причинят проблеми във външния свят.

Нов тест за нула ден

В допълнение добавям нов тест, за да проверя доколко всеки антивирус се справя с блокирането на изтеглянето на изключително нови заплахи. Добрите хора от MRG-Effitas, британска изследователска фирма за сигурност, ми дадоха достъп до огромната им емисия в реално време със злонамерени URL адреси. С помощта на тази емисия мога да проверя как антивирусът обработва сто или повече от най-новите злонамерени файлове. Блокира ли URL адреса? Блокиране на изтеглянето? Напълно го пропускате? Очаквам с нетърпение пълното стартиране на този нов тест.

Зловредният софтуер обича компанията: как еволюцията на зловредния софтуер предизвика промяна в нашето тестване