Video: Top 5 Best FREE ANTIVIRUS Software (2020) (November 2024)
Webgebaseerde malware is volgens Palo Alto Networks beter in het omzeilen van traditionele beveiligingsverdedigingen dan via e-mail verspreide malware.
Hoewel e-mail een topbron van malware blijft, wordt de overgrote meerderheid van onbekende malware via webtoepassingen gepusht, zo vond Palo Alto Networks in zijn rapport Modern Malware Review dat maandag werd gepubliceerd. Bijna 90 procent van de "onbekende malware" -gebruikers kwam van het surfen op internet, vergeleken met slechts 2 procent afkomstig van e-mail.
"Onbekende malware" in dit rapport verwijst naar kwaadaardige monsters die zijn gedetecteerd door de Wildfire-cloudservice van het bedrijf, die zes "toonaangevende" antivirusproducten hebben gemist, zei Palo Alto Networks in het rapport. Onderzoekers analyseerden gegevens van meer dan 1.000 klanten die de firewall van de volgende generatie hadden geïmplementeerd en waren geabonneerd op de optionele Wildfire-service. Van de 68.047 monsters die door WildFire als malware zijn gemarkeerd, werden 26.363 monsters of 40 procent niet gedetecteerd door de antivirusproducten.
"Een overweldigend volume van onbekende malware is afkomstig van webgebaseerde bronnen en traditionele AV-producten presteren veel beter in het beschermen tegen malware die via e-mail wordt afgeleverd, " zei Palo Alto Networks.
Veel moeite om onopgemerkt te blijven
Een "groot deel" van de intelligentie van de malware is gewijd aan het onopgemerkt blijven door beveiligingshulpmiddelen, vond Palo Alto Networks. Onderzoekers hebben meer dan 30 gedragingen waargenomen die gericht zijn op het helpen voorkomen van detectie van malware, zoals het lang "slapen" van de malware na de eerste infectie, het uitschakelen van beveiligingshulpmiddelen en besturingssysteemprocessen. Uit de lijst van malware-activiteiten en -gedragingen die Palo Alto Networks waarnam, was 52 procent gericht op het omzeilen van beveiliging, vergeleken met 15 procent die was gericht op hacking en gegevensdiefstal.
Eerdere rapporten van andere leveranciers hebben gewezen op het grote aantal onbekende malware om te beweren dat antivirusproducten niet effectief waren om gebruikers veilig te houden. Palo Alto Networks zei dat het doel van het rapport niet was om antivirusproducten op te roepen voor het niet detecteren van deze monsters, maar om overeenkomsten te identificeren in malwarevoorbeelden die kunnen worden gebruikt om bedreigingen te detecteren in afwachting van het inhalen van de antivirusproducten.
Bijna 70 procent van de onbekende monsters vertoonde "verschillende identificatiegegevens of gedragingen" die konden worden gebruikt voor realtime controle en blokkering, vond Palo Alto Networks in zijn rapport. Gedrag omvatte aangepast verkeer dat door de malware werd gegenereerd, evenals de externe bestemmingen waarmee de malware in contact kwam. Ongeveer 33 procent van de monsters maakte verbinding met nieuw geregistreerde domeinen en domeinen met dynamische DNS, terwijl 20 procent probeerde e-mails te verzenden, zo bleek uit het rapport. Aanvallers gebruiken vaak dynamische DNS om snel aangepaste domeinen te genereren die gemakkelijk kunnen worden verlaten wanneer beveiligingsproducten deze op de zwarte lijst zetten.
Aanvallers gebruikten ook niet-standaard webpoorten, zoals het verzenden van niet-gecodeerd verkeer op poort 443 of het gebruik van andere poorten dan 80 om webverkeer te verzenden. FTP gebruikt over het algemeen poorten 20 en 21, maar het rapport vond malware die 237 andere poorten gebruikte om FTP-verkeer te verzenden.
Vertragingen bij het detecteren van malware
Antivirusverkopers deden er gemiddeld vijf dagen over om handtekeningen te leveren voor onbekende malwaremonsters die via e-mail werden gedetecteerd, vergeleken met bijna 20 dagen voor webgebaseerde. FTP was de vierde bron van onbekende malware, maar bijna 95 procent van de monsters bleef na 31 dagen onopgemerkt, vond Palo Alto Networks. Malware geleverd via sociale media had ook varianten die 30 dagen of langer niet door antivirus werden opgemerkt, zo bleek uit het rapport.
"Niet alleen zijn traditionele AV-oplossingen veel minder geneigd om malware buiten e-mail te detecteren, maar het duurt ook veel langer om dekking te krijgen", aldus het rapport.
Verschillen in steekproefgrootte hadden invloed op hoe effectief antivirus was bij het detecteren van malware, zei Palo Alto Networks. Voor e-mailbedreigingen wordt dezelfde malware vaak aan veel doelen geleverd, waardoor het waarschijnlijker is dat de antivirusverkoper het bestand zal detecteren en analyseren. Webservers gebruiken daarentegen server-side polymorfisme om het schadelijke bestand aan te passen elke keer dat de aanvalswebpagina wordt geladen, waardoor een groter aantal unieke monsters ontstaat en de monsters moeilijker te detecteren zijn. Het feit dat e-mail ook niet in realtime hoeft te worden geleverd, betekent dat anti-malwaretools tijd hebben om de bestanden te analyseren en te inspecteren. Het web is "veel realtime" en geeft beveiligingshulpmiddelen "veel minder tijd om de kwaadaardige bestanden te inspecteren" voordat ze aan de gebruiker worden afgeleverd.
"Wij geloven dat het van cruciaal belang is voor bedrijven om het totale aantal infecties van varianten van bekende malware te verminderen, zodat beveiligingsteams tijd hebben om zich te concentreren op de meest ernstige en gerichte bedreigingen", aldus het rapport.
