Video: Don't buy an anti-virus in 2020 - do THIS instead! (Oktober 2024)
Web-baseret malware er bedre til at omgå traditionelle sikkerhedsforsvar end e-mail-båret malware, ifølge Palo Alto Networks.
Mens e-mail fortsat er en top kilde til malware, skubbes det overvældende flertal af ukendte malware via webapplikationer, Palo Alto Networks fandt i sin rapport om Modern Malware Review, der blev offentliggjort mandag. Næsten 90 procent af de "ukendte malware" -brugere, der stod på, kom fra at surfe på nettet sammenlignet med kun 2 procent fra e-mail.
"Ukendt malware" i denne rapport refererede til ondsindede prøver, der blev opdaget af selskabets Wildfire-skytjeneste, som seks "brancheførende" antivirusprodukter gik glip af, sagde Palo Alto Networks i rapporten. Forskere analyserede data fra mere end 1.000 kunder, der implementerede virksomhedens næste generations firewall og abonnerede på den valgfri Wildfire-service. Af de 68.047 prøver, der er markeret af WildFire som malware, blev 26.363 prøver eller 40 procent ikke detekteret af antivirusprodukterne.
"En overvældende mængde ukendt malware kommer fra webbaserede kilder, og traditionelle AV-produkter klarer sig meget bedre til at beskytte mod malware leveret via e-mail, " sagde Palo Alto Networks.
Masser af indsats for at forblive uopdaget
En "meget" malware's intelligens er brugt til at forblive uopdaget af sikkerhedsværktøjer, Palo Alto Networks fandt. Forskere observerede mere end 30 adfærd dedikeret til at hjælpe malware med at undgå detektion, såsom at have malware "sove" i lang tid efter den første infektion, deaktivere sikkerhedsværktøjer og operativsystemprocesser. Faktisk, af listen over malware-aktiviteter og adfærd, som Palo Alto Networks observerede, fokuserede 52 procent på at undgå sikkerhed, sammenlignet med 15 procent, der fokuserede på hacking og datatyveri, fandt rapporten.
Tidligere rapporter fra andre leverandører har peget på det store antal ukendte malware for at hævde, at antivirusprodukter var ineffektive til at beskytte brugerne. Palo Alto Networks sagde, at målet med rapporten ikke var at indkalde antivirusprodukter for ikke at opdage disse prøver, men at identificere almindeligheder i malware-prøver, som kunne bruges til at opdage trusler, mens de venter på, at antivirusprodukterne skulle indhente.
Næsten 70 procent af ukendte prøver udviste "distinkte identifikatorer eller adfærd", som kunne bruges til realtidskontrol og blokering, fandt Palo Alto Networks i sin rapport. Adfærd inkluderet brugerdefineret trafik genereret af malware samt fjerndestinationer, som malware kontaktede. Cirka 33 procent af prøver forbinder til nyligt registrerede domæner og domæner ved hjælp af dynamisk DNS, mens 20 procent forsøgte at sende e-mails, fandt rapporten. Angribere bruger ofte dynamisk DNS til at generere brugerdefinerede domæner, som let kan opgives, når sikkerhedsprodukter begynder at sortliste det.
Angribere brugte også ikke-standard-web-porte, såsom at sende ikke-krypteret trafik på port 443 eller bruge andre porte end 80 til at sende web-trafik. FTP bruger generelt porte 20 og 21, men rapporten fandt malware, der bruger 237 andre porte til at sende FTP-trafik.
Forsinkelser med at finde malware
Antivirusleverandører tog gennemsnitligt fem dage på at levere underskrifter for ukendte malware-prøver, der blev registreret via e-mail, sammenlignet med næsten 20 dage for webbaserede. FTP var den fjerde kilde til ukendt malware, men næsten 95 procent af prøver forblev uopdaget efter 31 dage, fandt Palo Alto Networks. Malware leveret via sociale medier havde også varianter, der forblev uopdaget af antivirus i 30 dage eller mere, fandt rapporten.
"Ikke kun er traditionelle AV-løsninger langt mindre tilbøjelige til at opdage malware uden for e-mail, men det tager også meget længere tid at få dækning, " fandt rapporten.
Forskelle i prøvestørrelse påvirkede, hvor effektiv antivirus var til at opdage malware, sagde Palo Alto Networks. Ved e-mail-bårne trusler leveres den samme malware ofte til mange mål, hvilket gør det mere sandsynligt, at antivirus-leverandøren vil registrere og analysere filen. I modsætning hertil bruger webservere polymorfisme på serversiden til at tilpasse den ondsindede fil hver gang angrebswebsiden indlæses, hvilket skaber et større antal unikke prøver og gør prøverne sværere at opdage. Det faktum, at e-mail heller ikke behøver at blive leveret i realtid, betyder, at anti-malware-værktøjer har tid til at analysere og inspicere filerne. Internettet er "langt mere realtid" og giver sikkerhedsværktøjer "meget mindre tid til at inspicere" de ondsindede filer, før de leveres til brugeren.
"Vi mener, at det er vigtigt for virksomheder at reducere den samlede mængde infektioner fra varianter af kendt malware, så sikkerhedshold har tid til at fokusere på de mest alvorlige og målrettede trusler, " ifølge rapporten.
