Acasă Securitywatch Antivirus armat: când software-ul bun face lucruri rele

Antivirus armat: când software-ul bun face lucruri rele

Video: Тестирование IKARUS anti.virus (Noiembrie 2024)

Video: Тестирование IKARUS anti.virus (Noiembrie 2024)
Anonim

Conferința Black Hat a atras peste 7.000 de participanți în această vară, iar 25.000 au participat la Conferința RSA din primăvară. Participarea la cea de-a 8-a Conferință internațională privind software-ul rău intenționat și nedorit, în schimb, este măsurată în zeci, nu în mii. Are ca scop să prezinte cele mai recente cercetări academice în domeniul securității, într-o atmosferă care să permită interacțiunea directă și sinceră între toți participanții. Conferința din acest an (Malware 2013 pentru scurt) a fost lansată cu o notă-cheie de Dennis Batchelder, directorul Microsoft Malware Protection Center, subliniind problemele grele cu care se confruntă industria antimalware.

În timpul prezentării, l-am întrebat pe dl. Batchelder dacă are vreo idee despre motivul pentru care Microsoft Security Essentials obține scoruri sau în partea de jos în multe teste independente, suficient de scăzute încât multe dintre laboratoare o tratează acum ca o bază pentru a compara cu alte produse. În fotografia din partea de sus a acestui articol el imită modul în care membrii echipei antivirus Microsoft nu se simt în legătură cu această întrebare.

Batchelder a explicat că așa vrea Microsoft. Este bine ca furnizorii de securitate să demonstreze ce valoare pot adăuga față de ceea ce este încorporat. El a menționat, de asemenea, că datele Microsoft arată doar 21 la sută dintre utilizatorii Windows neprotejați, datorită MSE și Windows Defender, cu o scădere de la peste 40 la sută. Și, desigur, oricând Microsoft poate ridica această valoare de referință, furnizorii terți vor trebui neapărat să o corespundă sau să o depășească.

Băieții răi nu fug

Batchelder a subliniat provocări semnificative în trei domenii majore: probleme pentru întreaga industrie, probleme de scară și probleme de testare. Din această discuție fascinantă, un punct care m-a lovit cu adevărat a fost descrierea lui despre modul în care sindicatele criminalității pot păcăli instrumentele antivirus pentru a face lucrurile murdare pentru ei.

Batchelder a explicat că modelul antivirus standard presupune că cei răi fug și se ascund. „Încercăm să le găsim în moduri mai bune și mai bune”, a spus el. "Clientul local sau cloud spune„ blocați-l! " sau detectăm o amenințare și încercăm remedierea. " Dar nu mai fug; ei atacă.

Vânzătorii de antivirus împărtășesc mostre și folosesc telemetrie din baza lor instalată și analiza reputației pentru a detecta amenințările. În ultimul timp, însă, acest model nu funcționează întotdeauna. - Ce se întâmplă dacă nu poți avea încredere în aceste date, a întrebat Batchelder. „Și dacă oamenii răi îți atacă sistemele direct?”

El a raportat că Microsoft a detectat „fișiere conținute care vizează sistemele noastre, fișiere conținute care arată ca o detecție a altor furnizori”. Odată ce un vânzător o alege ca o amenințare cunoscută, o transmit împreună cu alții, ceea ce crește artificial valoarea fișierului elaborat. „Ei găsesc o gaură, creează un eșantion și provoacă probleme. Ele pot injecta telemetrie pentru a falsifica prevalența și vârsta”, a notat Batchelder.

Nu putem să lucrăm împreună?

Deci, de ce s-ar deranja un sindicat al infracțiunilor să furnizeze informații false companiilor antivirus? Scopul este de a introduce o semnătură antivirus slabă, una care se va potrivi și cu un fișier valid necesar unui sistem de operare țintă. Dacă atacul are succes, unul sau mai mulți furnizori de antivirus vor pune în carantă fișierul nevinovat de pe PC-urile victimei, dezactivând eventual sistemul lor de operare gazdă.

Acest tip de atac este insidios. Prin introducerea detecțiilor false în datele de email distribuite de furnizorii de antivirus, infractorii pot deteriora sistemele pe care nu le-au pus niciodată ochii (sau mâinile). Ca beneficiu secundar, acest lucru poate împărți încetul eșantionului între furnizori. Dacă nu puteți presupune că o detectare transmisă de un alt furnizor este valabilă, va trebui să petreceți timp re-verificând-o cu proprii dvs. cercetători.

Problemă mare, nouă

Batchelder raportează că primesc aproximativ 10.000 din aceste fișiere „otrăvite” pe lună prin partajarea eșantionului. Aproximativ o zecime de la sută din propria lor telemetrie (de la utilizatorii de produse antivirus Microsoft) constă în astfel de fișiere, și asta este foarte mult.

Este nou pentru mine, dar nu este surprinzător. Sindicatii de criminalitate malware au resurse și pot dedica o parte din aceste resurse pentru a inversa detectarea inamicilor. Voi chestiona alți furnizori cu privire la acest tip de „antivirus armat” pe măsură ce voi avea ocazia.

Antivirus armat: când software-ul bun face lucruri rele