Video: Avira Free Security VS Ransomware | Virus VS Antivirus EP - 06 (November 2024)
Computervirussen bestaan al vele, vele jaren. Vroeger was detectie eenvoudig een kwestie van het vergelijken van bestanden met een bekende reeks handtekeningen. Sommige antivirusprogramma's bevatten zelfs een lijst met alle bedreigingen die ze konden detecteren. Dingen zijn tegenwoordig heel anders, met malware-schrijvers die hard werken om malware te maken die verandert en evolueert, zodat het niet kan worden betrapt op detectie op basis van handtekeningen. Ik sprak met Roger Thompson, Chief Emerging Threat Researcher voor ICSA Labs, over hoe anti-malwareprogramma's moeten veranderen en hoe het testen van deze producten moet veranderen.
Zoals het was
Rubenking: Kun je een paar woorden zeggen over wat ICSA Labs precies is en wat het doet?
Thompson: We certificeren antivirusproducten volgens overeengekomen historische criteria. In de jaren 90 was er een behoefte om onderscheid te maken tussen antivirus hype en echte, echte resultaten. Zoals u zich herinnert, konden mensen destijds zeggen wat ze leuk vonden aan hun producten, en niemand kon het bewijzen of weerleggen. Er was behoefte aan iemand met een brein om te zeggen: "Dit werkt, dit werkt niet, dit doet niet wat het zegt."
De leveranciers waren het erover eens dat ze hiervoor een neutrale derde partij nodig hadden. Natuurlijk is het altijd belangrijker om te testen tegen virussen die in het wild aanwezig zijn dan tegen een bekende 'zoo'. Dus de wildlist groeide uit die behoefte - een verkoper-neutrale samenstelling van bekende malware.
Ook in de jaren 90 overtuigde Alan Solomon iedereen dat generieke methoden voor het detecteren van malware een slecht idee waren. Wat in plaats daarvan gewenst was, was een scanner die precies kon bepalen welk virus aanwezig is en hoe het precies kan worden verwijderd. De wereld was het daarmee eens en stemde met hun portemonnee om dat soort scanner te ondersteunen.
Het probleem met generieke detectie is historisch gezien dat het supportoproepen veroorzaakt. De antivirus zegt: we zien dat een of ander proces op uw systeem uitvoerbare bestanden wijzigt of dat een of ander uitvoerbaar bestand is gewijzigd; heb je het veranderd? Dat resulteert in een ondersteuningsoproep en Fortune 500's keuren het niet goed. Een op handtekeningen gebaseerd antivirusprogramma zegt ofwel: "Het is een virus!" of zegt helemaal niets.
Hoe het zal zijn
Thompson: Er is nog steeds een basisbehoefte om op handtekeningen gebaseerde scanners te testen, om te zorgen dat ze bijblijven. Kunnen ze het detecteren? Dat is wat er is gedaan en er is nog steeds behoefte aan. De cijfers zijn echter zo veranderd dat er elke dag een groot aantal pluizige dingen worden gemaakt. Wat nu nodig is, is ook om het vermogen van anti-malware te testen om dingen te detecteren die ze nog nooit eerder hebben gezien.
Rubenking: Fluff dingen? Wat bedoel je daarmee?
Thompson: Weet je, niemand kent de echte cijfers. De jongens van ESET vertelden me over een biertje dat ze elke dag 600.000 nieuwe, unieke malwaremonsters zien. Ik herinner me een rapport van Symantec dat elke dag een miljoen nieuwe en unieke items claimde. Maar de waarheid is dat de meerderheid algoritmisch wordt gecreëerd. De slechteriken veranderen gewoon een aantal onbelangrijke code, hercompileren, opnieuw inpakken en opnieuw coderen. Vervolgens controleren ze of huidige scanners de nieuwe versie detecteren. Zo niet, dan geven ze het vrij.
Het is heel gemakkelijk om te detecteren wat u al weet. Het is net als de aandelenmarkt; "gewoon" laag kopen en hoog verkopen. Het ding is, met deze unieke virussen verandert het onderliggende gedrag niet, alleen de donzige stukjes. De activiteit, registerwijziging, bestanden wijzigen… dat gedrag verandert niet. Dus testen moet bewegen om gedragsblokkering op te nemen als onderdeel van de deal.
Rubenking: Gaat u deze test van de volgende generatie binnenkort toevoegen?
Thompson: We proberen leveranciers zover te krijgen dat het goed is. Over het algemeen zijn ze het daarmee eens, maar het testen is eigenlijk niet zo eenvoudig.
Rubenking: Hoe ziet je nieuwe proces eruit?
Thompson: Het is moeilijk; daarom willen mensen het niet doen. U begint met een schoon systeem, voert de malware uit en kijkt of het wordt geïnstalleerd. U moet het systeem naderhand forensisch kunnen onderzoeken. Heeft de malware het systeem besmet? Is de registersleutels gewijzigd? Is het persistent geworden om een herstart te overleven? Vervolgens moet u herstellen naar een schone basislijn om het opnieuw te doen.
Rubenking: Dat lijkt veel op de dynamische tests die worden uitgevoerd door AV-Comparatives.
Thompson: Ja, het lijkt erg op elkaar.
Rubenking: U bent klaar om te gaan, maar de leveranciers niet, dan? Dus u weet niet wanneer de nieuwe tests van kracht worden?
Thompson: We zijn klaar om te gaan. Ik weet niet helemaal wat de status is bij de leveranciers; we komen daar op terug.] Een deel van het probleem is ook het vinden van onze eigen bronnen van malware, het verzamelen van spamfeeds en dergelijke. We moeten weten wat er echt is.
Maak het leven moeilijk voor de slechteriken
Thompson: Dit is de juiste weg vooruit. We kunnen niet stoppen met doen wat we altijd hebben gedaan, maar wanneer antimalwareverkopers gedragsgebaseerde blokkering toevoegen, wordt het voor de slechteriken veel moeilijker te verslaan. Ze kunnen handtekeningen verslaan door onbelangrijk spul te tweaken, maar om gedragsblokkering te verslaan moeten ze daadwerkelijk gedrag veranderen en omgaan met verschillende definities van gedrag.
Rubenking: Dus een diverse set van antimalwareverkopers met verschillende soorten gedragsblokkering zal het leven van de slechteriken moeilijk maken?
Thompson: Precies. Het is als de analogie van Zwitserse kaas. Een beetje kaas heeft gaten, maar als je er een ander beetje op legt, bedekt het de gaten. Doe genoeg bits in en er zijn geen gaten meer.
Rubenking: Bedankt, Roger!
