Video: Prezentare modul 40 stupi (Noiembrie 2024)
Pentru mașinile virtuale infestate de malware pe care le folosesc la testarea produselor antivirus, este deja vu de fiecare dată când încep un nou test. Recupereze mașina virtuală la același punct de plecare pentru fiecare test, apoi instalez (sau încerc să instalez) antivirusul și îl provoc să se curețe. Dar uneori se întâmplă ceva mai mult; uneori malware invită prietenii să se joace.
Zilele hackerilor singuri care scriau viruși doar pentru asta nu au mai rămas. Astăzi, există un întreg ecosistem malware, iar o componentă înfloritoare a acelui ecosistem implică deplasări, situații în care un cyber-crook plătește altuia pentru a face o nouă amenințare asupra malware-ului existent. Cei pe care îi numim „droppers” nu au nici măcar o sarcină utilă rău intenționată; ele servesc doar ca picior în ușă pentru alte malware.
Ce înseamnă asta pentru testarea mea? Cu cât un sistem infestat începe să funcționeze înainte ca un nou antivirus să poată fi instalat complet și să ruleze o scanare, cu atât sunt mai mari șansele ca infestarea existentă să invite prieteni la o petrecere. Obținerea de protecție instalată pe aceste sisteme necesită uneori zile de muncă prin asistență tehnică. În timp ce rămân ocupați, la fel și malware-ul; infricosator!
Gameover ZeuS
În cadrul conferinței Malware 2013, luna trecută, un student olandez de cercetare a prezentat o analiză foarte detaliată a Gameover ZeuS. Ca și alte cazuri ale troianului ZeuS, această rețea malware are o varietate de funcții, dar are ca obiectiv principal furtul de informații sensibile, cum ar fi acreditările bancare online. Ceea ce diferă de la Gameover ZeuS este că, în loc de un sistem centralizat de comandă și control, folosește o rețea distribuită peer-to-peer, ceea ce face mult mai dificilă urmărirea și eradicarea. Știri pentru mine!
Imaginează-ți surpriza mea atunci când am primit recent o notă de la ISP-ul meu spunând că au detectat traficul Gameover ZeuS provenind de la adresa mea IP. Nu, nu am luat o infecție de la cercetător. Mai degrabă, unul dintre eșantioanele mele existente a invitat un nou prieten să își ia reședința, posibil în timpul unui maraton de suport tehnic neobișnuit de zile întregi, care i-a oferit mult timp.
Cu ani în urmă, când am început să testez antivirus folosind mașini virtuale infestate cu malware vii, puteam conta destul de mult pe populația malware din sistemele mele de testare rămânând stabile. Atâta timp cât nu am instalat probe de malware care încearcă să se răspândească pe Internet, aș putea evita să devin parte a problemei. Nota de la ISP-ul meu a fost un apel de trezire. Dacă instalez o colecție reprezentativă de eșantioane malware, nu există nici o garanție că unul dintre ei nu va schimba comportamentul sau va aduce un însoțitor periculos.
Game Over într-adevăr
Aș putea schimba ISP-urile și să evit preavizul, dar aceasta nu este o soluție. Nu pot în bună conștiință să continui o practică care poate provoca daune în afara mașinilor mele virtuale. Nu pot opri sistemele de testare de pe Internet, deoarece multe instrumente antivirus necesită o conexiune. Și nu am resurse pentru a reproduce traficul malware într-un mediu închis, așa cum fac laboratoarele mari de testare independente. Va trebui să renunț la testarea hands-on live-malware.
În plus, laboratoarele independente de testare antivirus produc câteva teste foarte bune în aceste zile. Voi folosi mai mult aceste rezultate, cu siguranță. Voi testa în continuare filtrarea împotriva spamului, protecția împotriva phishing-ului, blocarea adreselor URL dăunătoare - orice test care nu implică eliberarea de malware activ. Și voi tot săpa în fiecare caracteristică a fiecărui antivirus, lucrând pentru a le identifica pe cele mai bune. Nu voi efectua niciun test care ar putea cauza probleme în lumea exterioară.
Noul test Zero Ziua
În plus, adaug un test nou pentru a verifica cât de bine se gestionează fiecare antivirus care blochează descărcarea amenințărilor extrem de noi. Oamenii buni de la MRG-Effitas, o firmă britanică de cercetare în domeniul securității, mi-au dat acces la imensul lor feed de URL-uri rău intenționate în timp real. Folosind acest flux, pot verifica modul în care un antivirus gestionează o sută sau mai mult din cele mai noi fișiere dăunătoare. Blochează adresa URL? Blocați descărcarea? Îmi lipsește total? Aștept cu nerăbdare să obțin acest nou test pe deplin în curs.