Video: How to install Kaspersky Network Agent & Kaspersky Endpoint Security (Step by step) (September 2024)
Webbaserad skadlig kod är bättre på att kringgå traditionella säkerhetsförsvar än e-postburen malware, enligt Palo Alto Networks.
Medan e-post fortsätter att vara en toppkälla till skadlig programvara, drivs den överväldigande majoriteten av okänd skadlig programvara via webbapplikationer, hittade Palo Alto Networks i sin rapport om modern Malware Review som släpptes på måndag. Nästan 90 procent av de "okända skadliga program" -användarna stött på kom från webben, jämfört med bara 2 procent från e-post.
"Okänd skadlig kod" i denna rapport hänvisade till skadliga prover som upptäckts av företagets Wildfire-molntjänst som sex "industriledande" antivirusprodukter missade, säger Palo Alto Networks i rapporten. Forskare analyserade data från mer än 1 000 kunder som distribuerade företagets nästa generations brandvägg och abonnerade på den valfria tjänsten Wildfire. Av de 68 047 prover som flaggas av WildFire som skadlig kod upptäcktes inte 26 363 prover eller 40 procent av antivirusprodukterna.
"En överväldigande mängd okänd skadlig programvara kommer från webbaserade källor, och traditionella AV-produkter klarar sig mycket bättre på att skydda mot skadlig programvara som levereras via e-post, " sa Palo Alto Networks.
Massor av ansträngningar att förbli oupptäckta
Palo Alto Networks hittade en "mycket" mjukvarans intelligens för att förbli oupptäckt av säkerhetsverktyg. Forskare observerade mer än 30 beteenden som är dedikerade till att hjälpa skadlig programvara undvika upptäckt, till exempel att ha skadlig programvara "sova" under en lång tid efter den första infektionen, inaktivera säkerhetsverktyg och operativsystemprocesser. I själva verket, av listan över skadliga aktiviteter och beteenden som Palo Alto Networks observerade, fokuserade 52 procent på att undvika säkerhet, jämfört med 15 procent som fokuserade på hacking och stöld av data, fann rapporten.
Tidigare rapporter från andra leverantörer har pekat på det stora antalet okända skadliga program för att hävda att antivirusprodukter var ineffektiva för att skydda användarna. Palo Alto Networks sade att målet med rapporten inte var att uppmana antivirusprodukter för att inte upptäcka dessa prover, utan att identifiera vanliga problem i skadliga prover som kan användas för att upptäcka hot medan de väntar på att antivirusprodukterna skulle komma ikapp.
Nästan 70 procent av okända prover uppvisade "distinkta identifierare eller beteenden" som kunde användas för realtidskontroll och blockering, fann Palo Alto Networks i sin rapport. Beteenden inkluderade anpassad trafik genererad av skadlig programvara samt avlägsna destinationer som skadlig kod kontaktade. Ungefär 33 procent av proverna anslöt till nyregistrerade domäner och domäner med dynamisk DNS, medan 20 procent försökte skicka e-post, fann rapporten. Angripare använder ofta dynamisk DNS för att generera anpassade domäner i farten som lätt kan överges när säkerhetsprodukter börjar svartlista det.
Angripare använde också icke-standardiserade webbportar, till exempel att skicka icke-krypterad trafik på port 443, eller använda andra portar än 80 för att skicka ut webbtrafik. FTP använder vanligtvis port 20 och 21, men rapporten hittade skadlig programvara som använder 237 andra portar för att skicka ut FTP-trafik.
Förseningar som upptäcker skadlig programvara
Antivirusleverantörerna tog i genomsnitt fem dagar för att leverera underskrifter för okända skadliga prover som upptäcktes via e-post, jämfört med nästan 20 dagar för webbaserade. FTP var den fjärde källan till okänd skadlig programvara, men nästan 95 procent av proverna förblev oupptäckta efter 31 dagar, fann Palo Alto Networks. Malware som levererats via sociala medier hade också varianter som förblev oupptäckta av antivirus i 30 dagar eller mer, fann rapporten.
"Inte bara är traditionella AV-lösningar mycket mindre benägna att upptäcka skadlig programvara utanför e-post, utan det tar också mycket längre tid att få täckning", konstaterade rapporten.
Skillnader i provstorlek påverkade hur effektivt antivirus var för att upptäcka skadlig programvara, säger Palo Alto Networks. För e-postburna hot levereras ofta samma skadliga program till många mål, vilket gör det mer troligt att antivirusleverantören kommer att upptäcka och analysera filen. Däremot använder webbservrar polymorfism på serversidan för att anpassa den skadliga filen varje gång attackwebbsidan laddas, vilket skapar ett större antal unika prover och gör proverna svårare att upptäcka. Det faktum att e-post inte heller behöver levereras i realtid innebär att verktyg mot skadlig programvara har tid att analysera och inspektera filerna. Webben är "mycket mer realtid" och ger säkerhetsverktyg "mycket mindre tid att inspektera" skadliga filer innan de levereras till användaren.
"Vi tror att det är avgörande för företag att minska den totala mängden infektioner från varianter av känd skadlig programvara, så att säkerhetsteam har tid att fokusera på de mest allvarliga och riktade hoten", enligt rapporten.
