У дома Securitywatch Weaponized antivirus: когато добрият софтуер прави лоши неща

Weaponized antivirus: когато добрият софтуер прави лоши неща

Видео: HTML Character Encoding (Ноември 2024)

Видео: HTML Character Encoding (Ноември 2024)
Anonim

Конференцията на Черната шапка привлече над 7000 участници това лято, а 25 000 присъстваха на конференцията на RSA през пролетта. За разлика от тях, посещението на 8-ата международна конференция за злонамерен и нежелан софтуер се измерва в десетки, а не в хиляди. Тя има за цел да предложи най-новите научни изследвания в областта на сигурността, в атмосфера, която позволява пряко и откровено взаимодействие между всички участници. Тази година конференцията (Malware 2013 за кратко) стартира с водеща бележка от Dennis Batchelder, директор на Центъра за защита на Malware от Microsoft, като посочи тежките проблеми, които са изправени пред индустрията за антиварен софтуер.

По време на презентацията попитах г-н Батхълдър дали има някакви мисли защо Microsoft Security Essentials постига резултати в близост до дъното при много независими тестове, достатъчно ниска, че много от лабораториите сега го третират просто като базова линия, за да се сравнят с други продукти. На снимката в горната част на тази статия той имитира как членовете на антивирусния екип на Microsoft не се чувстват по този въпрос.

Батхълдър обясни, че така иска Microsoft. Добре е доставчиците на сигурност да демонстрират каква стойност могат да добавят върху вграденото. Той също така отбеляза, че данните на Microsoft показват само 21 процента от потребителите на Windows незащитени, благодарение на MSE и Windows Defender, с над 40 процента. И разбира се, всеки път, когато Microsoft може да повиши тази базова линия, доставчиците на трети страни задължително ще трябва да я съпоставят или надвишат.

Лошите момчета не бягат

Batchelder посочи значителни предизвикателства в три основни области: проблеми за индустрията като цяло, проблеми с мащаба и проблеми за тестване. От тази завладяваща беседа една точка, която наистина ме порази, беше неговото описание на начина, по който синдикатите за престъпления могат да излъжат антивирусни инструменти да вършат мръсна работа за тях.

Батхълдър обясни, че стандартният антивирусен модел предполага, че лошите момчета бягат и се крият. „Опитваме се да ги намерим по по-добри и по-добри начини“, каза той. „Местният клиент или облакът казват„ блокирайте го! “ или открием заплаха и се опитаме да отстраним. " Но вече не бягат; атакуват.

Продавачите на антивирусни продукти споделят проби и използват телеметрия от тяхната инсталирана база и анализ на репутацията, за да открият заплахи. Напоследък обаче този модел не винаги работи. „Ами ако не можете да се доверите на тези данни“, попита Батхълдър. "Ами ако лошите момчета атакуват директно системите ви?"

Той съобщи, че Microsoft е открила „изработени файлове, насочени към нашите системи, изработени файлове, които приличат на откриване на някои други доставчици“. След като един доставчик го избере като известна заплаха, той го предава на други, което изкуствено ескалира стойността на създадения файл. "Те намират дупка, изработват проба и създават проблеми. Те могат да инжектират телеметрия, за да фалшифицират разпространението и възрастта също", отбеляза Батхълдър.

Не можем ли всички просто да работим заедно?

И така, защо престъпният синдикат ще притеснява подаването на невярна информация на антивирусни компании? Целта е да се въведе слаб антивирусен подпис, който също ще съответства на валиден файл, необходим на целевата операционна система. Ако атаката е успешна, един или повече антивирусни доставчици ще поставят под карантина невинния файл на компютрите на жертвата, като е възможно деактивирането на тяхната хост операционна система.

Този тип атака е коварна. Чрез плъзгане на фалшиви открития в потока от данни, споделян от антивирусни доставчици, престъпниците могат да повредят системи, които никога не са поставяли очи (или ръце). Като странично предимство това може да забави споделянето на проби между доставчиците. Ако не можете да приемете, че откриването, предавано от друг доставчик, е валидно, ще трябва да отделите време, за да го проверите отново със собствените си изследователи.

Голям, нов проблем

Batchelder съобщава, че получават около 10 000 от тези „отровени“ файлове на месец чрез споделяне на проби. Около една десета от един процент от собствената им телеметрия (от потребителите на антивирусни продукти на Microsoft) се състои от такива файлове и това е много.

Това е ново за мен, но не е изненадващо. Синдикатите за злоупотреби със злонамерен софтуер разполагат с много ресурси и те могат да отделят част от тези ресурси за подривно откриване от техните врагове. Ще разпитам други доставчици за този тип "въоръжен антивирус", докато получа възможността.

Weaponized antivirus: когато добрият софтуер прави лоши неща