Антивирус лучше обнаруживает вредоносные программы электронной почты, чем веб-угрозы

По данным Palo Alto Networks, веб-вредоносные программы лучше обходят традиционные средства защиты, чем вредоносные программы, распространяемые по электронной почте.

Хотя электронная почта по-прежнему является основным источником вредоносного ПО, подавляющее большинство неизвестных вредоносных программ распространяются через веб-приложения, о чем сообщает Palo Alto Networks в своем докладе Modern Malware Review, опубликованном в понедельник. Почти 90 процентов "неизвестных вредоносных программ", с которыми сталкиваются пользователи, приходили из Интернета, по сравнению с 2 процентами, приходящими по электронной почте.

«Неизвестное вредоносное ПО» в этом отчете относится к вредоносным образцам, обнаруженным облачным сервисом Wildfire компании, которые пропустили шесть «ведущих» антивирусных продуктов, говорится в отчете Palo Alto Networks. Исследователи проанализировали данные более чем 1000 клиентов, которые развернули брандмауэр следующего поколения и подписались на дополнительную услугу Wildfire. Из 68 047 образцов, помеченных WildFire как вредоносное ПО, 26 363 образца, или 40%, не были обнаружены антивирусными продуктами.

«Подавляющее количество неизвестных вредоносных программ поступает из сетевых источников, и традиционные AV-продукты намного лучше защищают от вредоносных программ, распространяемых по электронной почте», - сказали в Palo Alto Networks.

Много усилий, чтобы остаться незамеченным

Пало-Альто-Сетейс обнаружил, что «большая часть» интеллекта вредоносного ПО посвящена тому, чтобы оставаться незамеченными инструментами безопасности. Исследователи наблюдали более 30 вариантов поведения, направленных на то, чтобы помочь вредоносным программам избежать обнаружения, таких как длительное время, когда вредоносная программа «спала» после первоначального заражения, отключение средств безопасности и процессов операционной системы. На самом деле, из списка действий и поведения вредоносных программ, обнаруженных Palo Alto Networks, 52 процента были направлены на уклонение от безопасности, по сравнению с 15 процентами, которые были направлены на взлом и кражу данных, говорится в отчете.

В предыдущих отчетах других поставщиков указывалось, что большое количество неизвестных вредоносных программ утверждает, что антивирусные продукты были неэффективны для обеспечения безопасности пользователей. В Palo Alto Networks заявили, что целью отчета является не обращение к антивирусным продуктам, чтобы не обнаруживать эти образцы, а выявление общих черт в образцах вредоносных программ, которые можно использовать для обнаружения угроз, ожидая, пока антивирусные продукты догонят их.

Palo Alto Networks обнаружила в своем отчете, что почти 70 процентов неизвестных образцов демонстрируют «отличительные идентификаторы или поведения», которые можно использовать для контроля и блокировки в режиме реального времени. Поведения включали пользовательский трафик, генерируемый вредоносной программой, а также удаленные пункты назначения, с которыми контактировала вредоносная программа. Приблизительно 33 процента выборок подключались к недавно зарегистрированным доменам и доменам с использованием динамического DNS, а 20 процентов пытались отправлять электронные письма, говорится в отчете. Злоумышленники часто используют динамический DNS для создания пользовательских доменов на лету, которые могут быть легко оставлены, когда продукты безопасности начнут помещать его в черный список.

Злоумышленники также использовали нестандартные веб-порты, такие как отправка незашифрованного трафика на порт 443 или порты, отличные от 80, для отправки веб-трафика. FTP обычно использует порты 20 и 21, но в отчете обнаружены вредоносные программы, использующие 237 других портов для отправки FTP-трафика.

Задержки обнаружения вредоносного ПО

Поставщикам антивирусов потребовалось в среднем пять дней, чтобы доставить подписи для неизвестных образцов вредоносного ПО, обнаруженных по электронной почте, по сравнению с почти 20 днями для веб-приложений. По данным Пало-Альто-Сетей, FTP был четвертым источником неизвестных вредоносных программ, но почти 95 процентов образцов оставались незамеченными через 31 день. В сообщении говорится, что вредоносные программы, распространяемые через социальные сети, также имели варианты, которые антивирус оставался незамеченным в течение 30 и более дней.

«Традиционные AV-решения не только обнаруживают вредоносные программы за пределами электронной почты, но и гораздо дольше получают освещение», - говорится в отчете.

По словам Palo Alto Networks, различия в размере выборки повлияли на то, насколько эффективен антивирус для обнаружения вредоносных программ. Для угроз, передаваемых по электронной почте, одно и то же вредоносное ПО часто доставляется многим целям, что повышает вероятность того, что поставщик антивирусных программ обнаружит и проанализирует файл. Веб-серверы, напротив, используют полиморфизм на стороне сервера для настройки вредоносного файла при каждой загрузке веб-страницы атаки, создавая большее количество уникальных образцов и затрудняя их обнаружение. Тот факт, что электронная почта также не требуется доставлять в режиме реального времени, означает, что инструменты для защиты от вредоносных программ имеют время для анализа и проверки файлов. Сеть «гораздо в реальном времени» и дает инструментам безопасности «гораздо меньше времени для проверки» вредоносных файлов перед их доставкой пользователю.

«Мы считаем, что для предприятий крайне важно сократить общий объем заражений от вариантов известных вредоносных программ, чтобы у групп безопасности было время сосредоточиться на наиболее серьезных и целевых угрозах», - говорится в отчете.