Video: ANTIVIRUS OFICIAL ANDROID - Google Play Protect (Octombrie 2024)
Malo-ul bazat pe web este mai bun pentru a ocoli apărările tradiționale de securitate decât malware-ul transmis prin e-mail, potrivit Palo Alto Networks.
În timp ce e-mailul continuă să fie o sursă de top de malware, majoritatea covârșitoare de malware necunoscute sunt împinse prin intermediul aplicațiilor Web, Palo Alto Networks a găsit în raportul său Modern Malware Review publicat luni. Aproape 90 la sută dintre utilizatorii „malware necunoscuți” întâlniți proveneau din navigarea pe Web, comparativ cu doar 2 la sută provenind de la e-mail.
„Malware necunoscut” din acest raport se referă la eșantioane rău detectate de serviciul cloud Wildfire al companiei pe care șase produse antivirus „lider în industrie” ratate, a declarat Palo Alto Networks în raport. Cercetătorii au analizat datele de la peste 1.000 de clienți care au implementat firewall-ul companiei de generație următoare și s-au abonat la serviciul opțional Wildfire. Din cele 68.047 de probe semnalate de WildFire ca malware, 26.363 de probe, sau 40 la sută, nu au fost detectate de produsele antivirus.
„Un volum copleșitor de malware necunoscut provine din surse bazate pe web, iar produsele tradiționale AV sunt mult mai bune la protejarea împotriva malware-ului livrat prin e-mail”, a spus Palo Alto Networks.
Multe eforturi pentru a rămâne nedetectate
Palo Alto Networks a găsit o „mare parte” inteligența malware-ului pentru a rămâne nedetectată de instrumentele de securitate. Cercetătorii au observat mai mult de 30 de comportamente dedicate să ajute malware să evite detectarea, cum ar fi faptul că malware-ul „doarme” mult timp după infecția inițială, dezactivând instrumentele de securitate și procesele sistemului de operare. De fapt, din lista de activități și comportamente malware observate de Palo Alto Networks, 52 la sută s-au concentrat pe sustragerea securității, comparativ cu 15 la sută care s-au concentrat pe hacking și furtul de date, a raportat.
Rapoartele anterioare ale altor furnizori au indicat numărul mare de malware necunoscut pentru a susține că produsele antivirus au fost ineficiente pentru a menține utilizatorii în siguranță. Palo Alto Networks a declarat că obiectivul raportului nu a fost acela de a solicita produse antivirus pentru a nu detecta aceste probe, ci de a identifica elementele comune ale probelor de malware, care ar putea fi utilizate pentru a detecta amenințările în așteptarea ca produsele antivirus să fie la curent.
Aproape 70 la sută din eșantioanele necunoscute au prezentat „identificatori sau comportamente distincte” care ar putea fi folosiți pentru controlul și blocarea în timp real, a constatat Palo Alto Networks în raportul său. Comportamentele includ traficul personalizat generat de malware, precum și destinațiile la distanță cu care a fost contactat malware. Aproximativ 33 la sută din eșantioane s-au conectat la domenii înregistrate recent și domenii folosind DNS dinamic, în timp ce 20 la sută au încercat să trimită mesaje de e-mail, a raportat. Atacanții folosesc frecvent DNS dinamic pentru a genera domenii personalizate, care pot fi abandonate cu ușurință atunci când produsele de securitate încep lista neagră.
Atacatorii au folosit de asemenea porturi Web standard, cum ar fi trimiterea traficului necriptat pe portul 443 sau utilizarea altor porturi decât 80 pentru a trimite trafic web. FTP folosește în general porturile 20 și 21, dar raportul a găsit malware folosind 237 de alte porturi pentru a trimite trafic FTP.
Întârzieri pentru detectarea programelor malware
Vânzătorii de antivirus au avut în medie cinci zile pentru a livra semnături pentru eșantioane malware necunoscute detectate prin e-mail, comparativ cu aproape 20 de zile pentru cele bazate pe Web. FTP a fost a patra sursă de malware necunoscut, dar aproape 95% din eșantioane au rămas nedetectate după 31 de zile, a constatat Palo Alto Networks. Raportul a constatat că programele malware livrate pe social media aveau variante care au rămas nedetectate de antivirus timp de 30 de zile sau mai mult.
"Nu numai că soluțiile tradiționale AV sunt mult mai puțin susceptibile să detecteze malware în afara e-mailului, dar, de asemenea, este nevoie de mult mai mult pentru a obține acoperire", a constatat raportul.
Diferențele în ceea ce privește dimensiunea eșantionului au afectat cât de eficient a fost antivirusul în detectarea malware, a spus Palo Alto Networks. Pentru amenințările transmise prin e-mail, același malware este adesea livrat la multe ținte, ceea ce face mai probabil ca vânzătorul de antivirus să detecteze și să analizeze fișierul. În schimb, serverele Web folosesc polimorfismul din partea serverului pentru a personaliza fișierul rău intenționat la fiecare încărcare a paginii Web de atac, creând un număr mai mare de eșantioane unice și făcând probele mai greu de detectat. Faptul că e-mailul nu trebuie, de asemenea, livrat în timp real înseamnă că instrumentele anti-malware au timp pentru a analiza și inspecta fișierele. Web-ul este „mult mai real” și oferă instrumentelor de securitate „mult mai puțin timp pentru a inspecta” fișierele dăunătoare înainte de a le livra utilizatorului.
„Considerăm că este crucial pentru întreprinderi să reducă volumul total de infecții provenite de la variante de malware cunoscute, astfel încât echipele de securitate să aibă timp să se concentreze asupra celor mai grave și mai vizate amenințări”, se arată în raport.
