Huis Securitywatch Gewapende antivirus: wanneer goede software slechte dingen doet

Gewapende antivirus: wanneer goede software slechte dingen doet

Video: Best Antivirus in 2020 [Top 5 Malware, Ransomware & Virus Protection For Mac & PC] (December 2024)

Video: Best Antivirus in 2020 [Top 5 Malware, Ransomware & Virus Protection For Mac & PC] (December 2024)
Anonim

De Black Hat-conferentie trok deze zomer ruim 7.000 bezoekers en 25.000 namen deel aan de RSA-conferentie in het voorjaar. De opkomst van de 8e Internationale Conferentie over schadelijke en ongewenste software wordt daarentegen gemeten in tientallen, niet in duizenden. Het is gericht op het naar voren brengen van het nieuwste wetenschappelijke onderzoek op het gebied van beveiliging, in een sfeer die directe en openhartige interactie tussen alle deelnemers mogelijk maakt. De conferentie van dit jaar (in het kort Malware 2013) werd gelanceerd met een keynote door Dennis Batchelder, directeur van Microsoft Malware Protection Center, en wees op de harde problemen waarmee de antimalware-industrie wordt geconfronteerd.

Tijdens de presentatie vroeg ik de heer Batchelder of hij gedachten had over waarom Microsoft Security Essentials in veel onafhankelijke tests op of nabij de bodem scoort, laag genoeg dat veel van de laboratoria het nu behandelen als een basislijn om te vergelijken met andere producten. In de foto bovenaan dit artikel bootst hij na hoe de leden van het Microsoft-antivirus-team niet denken over die vraag.

Batchelder legde uit hoe Microsoft het wil. Het is prima voor de beveiligingsleveranciers om te laten zien welke waarde ze kunnen toevoegen boven wat is ingebouwd. Hij merkte ook op dat Microsoft's gegevens slechts 21 procent van de Windows-gebruikers onbeschermd laten zien, dankzij MSE en Windows Defender, een daling van meer dan 40 procent. En natuurlijk wanneer Microsoft die basislijn kan verhogen, zullen externe leveranciers deze noodzakelijkerwijs moeten evenaren of overtreffen.

De slechteriken lopen niet weg

Batchelder wees op belangrijke uitdagingen op drie belangrijke gebieden: problemen voor de industrie als geheel, schaalproblemen en problemen met testen. Uit dit fascinerende gesprek viel me een punt op dat zijn beschrijving van de manier waarop misdaadsyndicaten antivirusprogramma's kunnen misleiden om vies werk voor hen te doen.

Batchelder legde uit dat het standaard antivirusmodel ervan uitgaat dat de slechteriken weglopen en zich verbergen. "We proberen ze op steeds betere manieren te vinden, " zei hij. "De lokale client of de cloud zegt 'blokkeer het!' of we detecteren een bedreiging en proberen een oplossing te vinden. " Maar ze rennen niet meer weg; ze vallen aan.

Antivirus-leveranciers delen voorbeelden en gebruiken telemetrie van hun geïnstalleerde basis en reputatieanalyse om bedreigingen te detecteren. De laatste tijd werkt dit model echter niet altijd. "Wat als je die gegevens niet kunt vertrouwen", vroeg Batchelder. "Wat als de slechteriken uw systemen rechtstreeks aanvallen?"

Hij meldde dat Microsoft "bewerkte bestanden die op onze systemen zijn gericht, bewerkte bestanden die op de detectie van een andere leverancier lijken, heeft gedetecteerd". Zodra een verkoper het opmerkt als een bekende bedreiging, geven ze het door aan anderen, wat de waarde van het vervaardigde bestand kunstmatig escaleert. "Ze vinden een gat, maken een monster en veroorzaken problemen. Ze kunnen telemetrie injecteren om ook prevalentie en ouderdom te vervalsen", aldus Batchelder.

Kunnen we niet allemaal gewoon samenwerken?

Dus waarom zou een misdaadsyndicaat de moeite nemen valse informatie aan antivirusbedrijven te geven? Het doel is om een ​​zwakke antivirushandtekening te introduceren, die ook overeenkomt met een geldig bestand dat nodig is voor een doelbesturingssysteem. Als de aanval slaagt, zullen een of meer antivirusleveranciers het onschuldige bestand op de pc's van het slachtoffer in quarantaine plaatsen, waardoor hun hostbesturingssysteem mogelijk wordt uitgeschakeld.

Dit type aanval is verraderlijk. Door nepdetecties in de datastream te delen die door antivirusleveranciers wordt gedeeld, kunnen de criminelen systemen beschadigen waarop ze nooit hebben gelet (of handen). Als bijkomend voordeel kan het delen van monsters tussen leveranciers hierdoor worden vertraagd. Als u niet kunt veronderstellen dat een detectie door een andere leverancier geldig is, moet u tijd besteden aan het opnieuw controleren bij uw eigen onderzoekers.

Groot, nieuw probleem

Batchelder meldt dat ze ongeveer 10.000 van deze "vergiftigde" bestanden per maand ontvangen door het delen van monsters. Ongeveer een tiende van een procent van hun eigen telemetrie (van gebruikers van de antivirusproducten van Microsoft) bestaat uit dergelijke bestanden, en dat is veel.

Deze is nieuw voor mij, maar het is niet verwonderlijk. Malware-misdaadsyndicaten hebben tonnen bronnen, en ze kunnen sommige van die middelen besteden aan het ondermijnen van detectie door hun vijanden. Ik zal andere leveranciers vragen stellen over dit type 'bewapende antivirus' als ik de kans krijg.

Gewapende antivirus: wanneer goede software slechte dingen doet