Video: Avast Free Antivirus vs Avira Free Antivirus | Which Antivirus is best? | 2020 (Listopad 2024)
Podle Palo Alto Networks je webový malware lépe obcházet tradiční bezpečnostní obranu než malware přenášený e-mailem.
Zatímco e-mail je i nadále hlavním zdrojem malwaru, drtivá většina neznámého škodlivého softwaru je tlačena prostřednictvím webových aplikací, Palo Alto Networks nachází ve své zprávě Modern Malware Review vydanou v pondělí. Téměř 90 procent „neznámého malwaru“, s nimiž se uživatelé setkali, pocházelo z prohlížení webu, zatímco pouhá 2 procenta pocházela z e-mailu.
„Neznámý malware“ v této zprávě odkazoval na škodlivé vzorky detekované cloudovou službou společnosti Wildfire, které chybělo šest „špičkových“ antivirových produktů, uvedl ve zprávě Palo Alto Networks. Vědci analyzovali data od více než 1 000 zákazníků, kteří nasadili firewall nové generace společnosti a přihlásili se k odběru služby Wildfire. Z 68 047 vzorků označených společností WildFire jako malware nebylo antivirovými produkty detekováno 26 363 vzorků nebo 40 procent.
„Převážný objem neznámého škodlivého softwaru pochází z webových zdrojů a tradiční produkty AV se mnohem lépe chrání před malwarem doručeným e-mailem, “ uvedl Palo Alto Networks.
Hodně úsilí zůstat nezjištěno
Palo Alto Networks našel „velkou část“ inteligence malwaru, která je věnována tomu, aby nebyla detekována bezpečnostními nástroji. Vědci pozorovali více než 30 chování věnovaných pomoci malwaru zabránit detekci, jako například nechat malware „spát“ dlouhou dobu po počáteční infekci, deaktivovat bezpečnostní nástroje a procesy operačního systému. Ve skutečnosti ze seznamu aktivit a chování škodlivého softwaru, které Palo Alto Networks pozorovala, se 52 procent zaměřilo na vyhýbání se bezpečnosti, zatímco 15 procent se zaměřilo na hackerství a krádež dat.
Předchozí zprávy od jiných dodavatelů poukázaly na velký počet neznámých malwarů, které uvádějí, že antivirové produkty byly neúčinné při zajišťování bezpečnosti uživatelů. Palo Alto Networks uvedl, že cílem zprávy není vyzvat antivirové produkty k nezjištění těchto vzorků, ale identifikovat společné rysy ve vzorcích malwaru, které by mohly být použity k detekci hrozeb při čekání na antivirové produkty, aby je dohnaly.
Téměř 70 procent neznámých vzorků vykazovalo „odlišné identifikátory nebo chování“, které by mohly být použity pro řízení a blokování v reálném čase, uvedl ve své zprávě Palo Alto Networks. Chování zahrnovala vlastní provoz generovaný malwarem a vzdálené cíle, se kterými se malware spojil. Přibližně 33 procent vzorků se připojovalo k nově zaregistrovaným doménám a doménám používajícím dynamický DNS, zatímco 20 procent se pokusilo rozesílat e-maily. Útočníci často používají dynamické DNS ke generování vlastních domén za běhu, které lze snadno opustit, jakmile bezpečnostní produkty začnou na černou listinu.
Útočníci také použili nestandardní webové porty, jako je například odesílání nešifrovaného provozu na portu 443 nebo použití portů jiných než 80 k odeslání webového provozu. FTP obecně používá porty 20 a 21, ale zpráva našla malware pomocí 237 dalších portů k odeslání přenosu FTP.
Zpoždění detekce malwaru
Prodejcům antivirových služeb trvalo doručování podpisů neznámých vzorků malwaru detekovaných prostřednictvím e-mailu v průměru pět dní, zatímco u webových stránek téměř 20 dní. FTP byl čtvrtým zdrojem neznámého malwaru, ale téměř 95 procent vzorků zůstalo po 31 dnech nezjištěno, Palo Alto Networks zjistil. Malware dodávaný na sociálních médiích měl také varianty, které antivirový program nezachoval po dobu 30 dní nebo déle.
„Nejen, že tradiční AV řešení detekují malware mimo e-mail mnohem méně, ale také pokrytí trvá mnohem déle, “ uvádí zpráva.
Rozdíly ve velikosti vzorku ovlivnily účinnost antivirového programu v detekci malwaru, uvedl Palo Alto Networks. U hrozeb přenášených e-mailem se stejný malware často dostává do mnoha cílů, což zvyšuje pravděpodobnost, že dodavatel antivirového softwaru soubor detekuje a analyzuje. Naproti tomu webové servery používají polymorfismus na straně serveru k přizpůsobení škodlivého souboru při každém načtení webové stránky útoku, což vytváří větší počet jedinečných vzorků a ztěžuje detekci vzorků. Skutečnost, že e-mail také nemusí být doručován v reálném čase, znamená, že nástroje proti malwaru mají čas analyzovat a kontrolovat soubory. Web je „mnohem real-time“ a poskytuje bezpečnostní nástroje „mnohem méně času na kontrolu“ škodlivých souborů, než je doručí uživateli.
„Věříme, že je zásadní, aby podniky snížily celkový objem infekcí způsobených variantami známého malwaru, aby bezpečnostní týmy měly čas soustředit se na nejzávažnější a nejpříznivější hrozby, “ uvádí zpráva.
