Video: Guida agli Antivirus | AVG Internet Security (Settembre 2024)
Il malware basato sul Web è in grado di eludere le tradizionali difese della sicurezza rispetto al malware trasmesso via e-mail, secondo Palo Alto Networks.
Mentre l'e-mail continua a essere una delle principali fonti di malware, la stragrande maggioranza del malware sconosciuto viene trasmessa tramite applicazioni Web, Palo Alto Networks ha trovato nel suo rapporto Modern Malware Review rilasciato lunedì. Quasi il 90 percento degli utenti di "malware sconosciuti" incontrati proviene dalla navigazione sul Web, rispetto al solo 2 percento proveniente dalla posta elettronica.
"Malware sconosciuto" in questo rapporto si riferiva a campioni dannosi rilevati dal servizio cloud Wildfire dell'azienda che mancavano sei prodotti antivirus "leader del settore", ha affermato Palo Alto Networks nel rapporto. I ricercatori hanno analizzato i dati di oltre 1.000 clienti che hanno implementato il firewall di nuova generazione dell'azienda e si sono abbonati al servizio Wildfire opzionale. Dei 68.047 campioni contrassegnati da WildFire come malware, 26.363 campioni, o il 40 percento, non sono stati rilevati dai prodotti antivirus.
"Un volume schiacciante di malware sconosciuto proviene da fonti basate sul Web e i prodotti AV tradizionali sono molto più efficaci nella protezione dai malware consegnati via e-mail", ha affermato Palo Alto Networks.
Molti sforzi per rimanere inosservati
Palo Alto Networks ha scoperto che "l'intelligenza del malware è molto" dedicata a non essere rilevata dagli strumenti di sicurezza. I ricercatori hanno osservato oltre 30 comportamenti dedicati ad aiutare il malware ad evitare il rilevamento, come far sospendere il malware per molto tempo dopo l'infezione iniziale, disabilitare gli strumenti di sicurezza e i processi del sistema operativo. Infatti, dell'elenco delle attività e dei comportamenti malware rilevati da Palo Alto Networks, il 52% si è concentrato sull'elusione della sicurezza, rispetto al 15% che si è concentrato sull'hacking e il furto di dati.
Precedenti rapporti di altri fornitori hanno indicato il gran numero di malware sconosciuti per sostenere che i prodotti antivirus erano inefficaci nel mantenere la sicurezza degli utenti. Palo Alto Networks ha affermato che l'obiettivo del rapporto non era quello di richiamare i prodotti antivirus per non rilevare questi campioni, ma di identificare elementi comuni nei campioni di malware che potevano essere utilizzati per rilevare le minacce in attesa che i prodotti antivirus raggiungessero.
Quasi il 70 percento dei campioni sconosciuti mostrava "identificatori o comportamenti distinti" che potevano essere utilizzati per il controllo e il blocco in tempo reale, Palo Alto Networks ha riscontrato nel suo rapporto. I comportamenti includevano il traffico personalizzato generato dal malware e le destinazioni remote a cui il malware ha contattato. Circa il 33 percento dei campioni si connetteva a domini appena registrati e domini che utilizzavano DNS dinamico, mentre il 20 percento ha tentato di inviare e-mail, secondo il rapporto. Gli aggressori utilizzano frequentemente DNS dinamico per generare al volo domini personalizzati che possono essere facilmente abbandonati quando i prodotti di sicurezza iniziano a inserirli nella blacklist.
Gli aggressori hanno anche utilizzato porte Web non standard, come l'invio di traffico non crittografato sulla porta 443 o l'utilizzo di porte diverse da 80 per inviare traffico Web. FTP utilizza generalmente le porte 20 e 21, ma il rapporto ha rilevato malware che utilizza 237 altre porte per inviare traffico FTP.
Ritardi nel rilevamento di malware
I fornitori di antivirus hanno impiegato in media cinque giorni per consegnare firme per campioni di malware sconosciuti rilevati tramite e-mail, rispetto a quasi 20 giorni per quelli basati sul Web. FTP è stata la quarta fonte di malware sconosciuto, ma quasi il 95 percento dei campioni è rimasto inosservato dopo 31 giorni, secondo Palo Alto Networks. Secondo il rapporto, anche i malware distribuiti sui social media presentavano varianti non rilevate dall'antivirus per 30 giorni o più.
"Non solo le soluzioni AV tradizionali hanno molte meno probabilità di rilevare malware al di fuori della posta elettronica, ma ci vuole anche molto più tempo per ottenere copertura", ha rilevato il rapporto.
Le differenze nella dimensione del campione hanno influito sull'efficacia dell'antivirus nel rilevamento del malware, ha affermato Palo Alto Networks. Per le minacce trasmesse via e-mail, lo stesso malware viene spesso distribuito a molti target, rendendo più probabile che il fornitore dell'antivirus rilevi e analizzi il file. Al contrario, i server Web utilizzano il polimorfismo sul lato server per personalizzare il file dannoso ogni volta che viene caricata la pagina Web di attacco, creando un numero maggiore di campioni univoci e rendendo i campioni più difficili da rilevare. Il fatto che anche la posta elettronica non debba essere recapitata in tempo reale significa che gli strumenti anti-malware hanno il tempo di analizzare e ispezionare i file. Il Web è "molto più in tempo reale" e offre agli strumenti di sicurezza "molto meno tempo per ispezionare" i file dannosi prima di consegnarli all'utente.
"Riteniamo che sia cruciale per le aziende ridurre il volume complessivo di infezioni da varianti di malware noto, in modo che i team di sicurezza abbiano il tempo di concentrarsi sulle minacce più gravi e mirate", secondo il rapporto.
