Acasă Securitywatch Industria antivirus trebuie să se concentreze pe detectarea bazată pe comportament

Industria antivirus trebuie să se concentreze pe detectarea bazată pe comportament

Video: Avast Free Antivirus vs Avira Free Antivirus | Which Antivirus is best? | 2020 (Noiembrie 2024)

Video: Avast Free Antivirus vs Avira Free Antivirus | Which Antivirus is best? | 2020 (Noiembrie 2024)
Anonim

Virusurile computerizate există de mulți, mulți ani. În primele zile, detectarea era o simplă chestiune de a potrivi fișierele cu un set cunoscut de semnături. Unele programe antivirus au inclus chiar și o listă cu toate amenințările pe care le-ar putea detecta. Lucrurile sunt cu totul diferite în zilele noastre, scriitorii de malware lucrează din greu pentru a crea malware care evoluează și evoluează, astfel încât nu poate fi prins de detectarea pe bază de semnătură. Am vorbit cu Roger Thompson, cercetător șef de amenințări emergente pentru laboratoarele ICSA, despre modul în care programele anti-malware trebuie schimbate și cum trebuie schimbate testarea acestor produse.

Lucrurile de drum au fost

Rubenking: Puteți spune câteva cuvinte despre exact ce este laboratorul ICSA și ce face?

Thompson: Certificăm produsele antivirus conform criteriilor istorice convenite. În anii 90, era nevoie să se facă distincția între hipe antivirus și rezultatele reale din lumea reală. După cum vă amintiți, atunci oamenii ar putea spune tot ce le-a plăcut despre produsele lor și nimeni nu a putut-o demonstra sau respinge. Avea nevoie de cineva cu un creier care să spună: „Aceasta funcționează, asta nu funcționează, asta nu face ceea ce spune”.

Vânzătorii au fost de acord că au nevoie de o terță parte neutră pentru a face acest lucru. Desigur, este întotdeauna mai important să testăm împotriva virușilor prezenți de fapt în sălbăticie decât împotriva unui „zoo” cunoscut. Deci, lista sălbatică a apărut din această nevoie - un compus neutru pentru vânzători de malware cunoscut.

Tot în anii 90, Alan Solomon i-a convins pe toți că metodele generice de detectare a programelor malware sunt o idee proastă. Ceea ce s-a dorit în schimb a fost un scaner care putea determina exact ce virus este prezent și exact cum se poate elimina. Lumea a fost de acord și a votat cu cărțile de buzunar pentru a sprijini acel tip de scaner.

Problema detectării generice, istoric, este că cauzează apeluri de asistență. Antivirusul spune, vedem că un proces din sistemul dvs. modifică executabilele sau un fișier executabil modificat; ai schimbat-o? Aceasta are ca rezultat un apel de asistență, iar Fortune 500 nu se aprobă. Un antivirus bazat pe semnături fie spune „este un virus!” sau nu spune nimic deloc.

Cum va fi

Thompson: Există încă o necesitate de bază pentru a testa scanerele pe bază de semnătura, pentru a vă asigura că țin pasul. O pot detecta? Asta s-a făcut și încă mai este nevoie. Cu toate acestea, numerele s-au schimbat atât de mult, există un număr mare de lucruri pufoase create în fiecare zi. Ceea ce este necesar acum este, de asemenea, să testați capacitatea anti-malware de a detecta lucruri pe care nu le-au mai văzut niciodată.

Rubenking: Lucruri pufoase ? Ce vrei să spui prin asta?

Thompson: Știi, nimeni nu știe numerele reale. Băieții ESET mi-au spus, peste o bere, că ei văd zilnic 600.000 de probe noi, unice de malware. Îmi amintesc un raport al Symantec care pretindea un milion de articole noi și unice în fiecare zi. Dar adevărul este că majoritatea sunt create algoritmic. Băieții răi schimbă doar un cod neimportant, recompilează, reambalează și re-criptează. Apoi verifică dacă scanerele curente detectează noua versiune. Dacă nu, îl eliberează.

Este foarte ușor să detectați despre ceea ce știți deja. Este ca piața bursieră; cumpărați „doar” și vindeți ridicat. Chestia este că, cu aceste viruși unice, comportamentul de bază nu se schimbă, ci doar biții pufos. Activitatea, modificarea registrului, modificarea fișierelor… comportamentul nu se schimbă. Deci, testarea trebuie să se mute pentru a încorpora blocarea comportamentului ca parte a tranzacției.

Rubenking: Vei adăuga curând această testare de nouă generație?

Thompson: Încercăm ca vânzătorii să fie de acord că este un lucru bun. În general sunt de acord, dar efectiv testarea nu este atât de ușoară.

Rubenking: cum este noul tău proces?

Thompson: Este greu; de aceea oamenii nu vor să o facă. Începeți cu un sistem curat, rulați programul malware și vedeți dacă este instalat. Trebuie să puteți examina sistemul ulterior criminalistic. Programul malware a infectat sistemul? A schimbat cheile Registrului? A devenit persistent, pentru a supraviețui unei reporniri? Apoi, trebuie să reveniți la o bază de bază curată pentru a o face din nou.

Rubenking: Aceasta pare foarte mult ca testarea dinamică efectuată de AV-Comparatives.

Thompson: Da, este foarte similar.

Rubenking: Sunteți gata să plecați, dar vânzătorii nu, atunci? Deci nu știți când va intra în vigoare noua testare?

Thompson: Suntem gata să plecăm. Nu prea știu care este starea cu vânzătorii; ne vom întoarce la asta.] De asemenea, o parte a problemei constă în găsirea propriilor noastre surse de malware, recoltarea fluxurilor de spam și altele. Trebuie să știm ce este cu adevărat acolo.

Faceți viața dur pentru băieții răi

Thompson: Acesta este drumul cel mai bun. Nu putem înceta să facem ceea ce am făcut întotdeauna, dar atunci când vânzătorii anti-malware adaugă blocarea bazată pe comportament, devine mult mai greu să-i învingă pe cei răi. Aceștia pot învinge semnăturile prin modificarea unor lucruri neimportante, dar pentru a bate blocajul comportamentului trebuie să schimbe de fapt comportamentele și să facă față definițiilor diferite ale comportamentului.

Rubenking: Deci, un set divers de furnizori anti-malware cu diferite tipuri de blocare a comportamentului va face viața dificilă pentru cei răi?

Thompson: Exact. Este ca și analogia brânzei elvețiene. Un bucătărie de brânză are găuri, dar dacă faceți un strat pe altul, acoperă găurile. Puneți bucăți suficiente și nu au mai rămas găuri.

Rubenking: Mulțumesc, Roger!

Industria antivirus trebuie să se concentreze pe detectarea bazată pe comportament