Video: Top 5 Best FREE ANTIVIRUS Software (2020) (Lokakuu 2024)
Palo Alto Networksin mukaan verkko-pohjainen haittaohjelma ohittaa paremmin perinteiset suojauspuhelut kuin sähköpostin välityksellä tapahtuva haittaohjelma.
Vaikka sähköposti on edelleen suurin haittaohjelmien lähde, suurin osa tuntemattomista haittaohjelmista siirretään web-sovellusten kautta, palo Alto Networks totesi maanantaina julkaistussa Modern Malware Review -raportissa. Lähes 90 prosenttia havaitsemista "tuntemattomista haittaohjelmista" tuli Internet-selailusta verrattuna vain 2 prosenttiin sähköpostista.
"Tuntematon haittaohjelma" viittaa tässä raportissa yrityksen Wildfire-pilvipalvelun havaitsemiin haitallisiin näytteisiin, joista kuusi "alan johtavaa" virustorjuntatuotetta jäi ohi, Palo Alto Networks totesi raportissa. Tutkijat analysoivat yli 1 000 asiakkaan tietoja, jotka ottivat käyttöön yrityksen seuraavan sukupolven palomuurin ja tilasivat valinnaisen Wildfire-palvelun. WildFiren haittaohjelmaksi ilmoittamista 68 047 näytteestä virustorjuntatuotteet eivät havainneet 26 363 näytettä eli 40 prosenttia.
"Valtava määrä tuntemattomia haittaohjelmia tulee verkkopohjaisista lähteistä, ja perinteiset AV-tuotteet suojaavat paljon paremmin sähköpostitse toimitettuja haittaohjelmia", Palo Alto Networks sanoi.
Paljon vaivaa pysyä huomaamatta
Palo Alto Networks löysi "suuren osan" haittaohjelmien älykkyyttä tietoturvatyökalujen huomaamatta jättämisestä. Tutkijat havaitsivat yli 30 käyttäytymistä, joiden tarkoituksena on auttaa haittaohjelmia välttämään havaitsemista, kuten haittaohjelmien "nukkuminen" pitkään alkuperäisen tartunnan jälkeen, suojaustyökalujen ja käyttöjärjestelmän prosessien poistaminen käytöstä. Itse asiassa Palo Alto Networks -yrityksen havaitsemista haittaohjelmatoiminnoista ja käyttäytymisestä 52 prosenttia keskittyi tietoturvan kiertämiseen, kun taas 15 prosenttia keskittyi hakkerointiin ja tietojen varkauksiin, raportti totesi.
Muiden toimittajien aiemmat raportit ovat viitanneet tuntemattomien haittaohjelmien suureen määrään väittääkseen, että virustentorjuntatuotteet olivat tehottomia pitämään käyttäjiä turvassa. Palo Alto Networksin mukaan raportin tavoitteena ei ollut kutsua virustentorjuntatuotteita, koska ne eivät havainnut näitä näytteitä, vaan tunnistaa haittaohjelma-näytteiden yhteisiä piirteitä, joita voitaisiin käyttää havaitsemaan uhkia odottamalla virustorjuntatuotteiden kiinniottoa.
Lähes 70 prosentilla tuntemattomista näytteistä oli "erillisiä tunnisteita tai käyttäytymistä", joita voitaisiin käyttää reaaliaikaiseen valvontaan ja estämiseen, totesi Palo Alto Networks raportissaan. Käyttäytymiseen sisältyi haittaohjelmien tuottamaa räätälöityä liikennettä sekä etäkohteita, joihin haittaohjelmat ottivat yhteyttä. Noin 33 prosenttia näytteistä oli yhteydessä uusiin rekisteröityihin verkkotunnuksiin ja verkkotunnuksiin, joissa käytettiin dynaamista DNS: ää, kun taas 20 prosenttia yritti lähettää sähköpostia, raportti löytyi. Hyökkääjät käyttävät usein dynaamista DNS: ää luodakseen mukautettuja verkkotunnuksia lennossa, joista voidaan helposti luopua, kun tietoturvatuotteet alkavat mustalle listalle.
Hyökkääjät käyttivät myös epästandardeja Web-portteja, kuten lähettämättä salaamatonta liikennettä portissa 443 tai käyttäessään muita kuin 80 portteja Web-liikenteen lähettämiseen. FTP käyttää yleensä portteja 20 ja 21, mutta raportti löysi haittaohjelmia, jotka käyttivät 237 muuta porttia FTP-liikenteen lähettämiseen.
Viivästyttää haittaohjelmien havaitsemista
Virustentorjuntayritykset lähettivät allekirjoitukset tuntemattomien sähköpostitse havaittujen haittaohjelmien näytteiden allekirjoituksesta viidessä päivässä, verrattuna web-pohjaisten alle 20 päivään. FTP oli neljäs tuntematon haittaohjelmalähde, mutta lähes 95 prosenttia näytteistä pysyi havaitsematta 31 päivän kuluttua, Palo Alto Networks löysi. Sosiaalisen median välityksellä toimitetuilla haittaohjelmilla oli myös muunnoksia, joita virustorjunta ei havainnut vähintään 30 päivän ajan, raportti löytyi.
"Perinteisten AV-ratkaisujen lisäksi on huomattavasti vähemmän todennäköistä havaita haittaohjelmia sähköpostin ulkopuolella, mutta myös kattavuuden saaminen vie paljon kauemmin", raportti totesi.
Otoskokoerot vaikuttivat virustentorjuntaohjelman tehokkuuteen haittaohjelmien havaitsemisessa, Palo Alto Networks kertoi. Sähköpostiviestien yhteydessä sama haittaohjelma toimitetaan usein moniin kohteisiin, mikä tekee todennäköisemmäksi, että virustentorjuntatoimittaja havaitsee ja analysoi tiedoston. Sitä vastoin Web-palvelimet käyttävät palvelinpuolen polymorfismia haitallisen tiedoston mukauttamiseen aina, kun hyökkäyksen Web-sivu ladataan, jolloin luodaan suurempi määrä yksilöllisiä näytteitä ja vaikeutetaan näytteiden havaitsemista. Se, että sähköpostia ei myöskään tarvitse toimittaa reaaliajassa, tarkoittaa, että haittaohjelmien torjuntatyökaluilla on aikaa analysoida ja tarkistaa tiedostoja. Web on "paljon reaaliaikaisempi" ja antaa tietoturvatyökaluille "paljon vähemmän aikaa tarkistaa" haitalliset tiedostot ennen niiden toimittamista käyttäjälle.
"Uskomme, että yrityksille on ratkaisevan tärkeää vähentää tunnettujen haittaohjelmien muunnelmista johtuvien infektioiden kokonaismäärää, jotta turvallisuusryhmillä on aikaa keskittyä vakavimpiin ja kohdennettuihin uhkiin", raportin mukaan.
