Video: misery loves company 💙 (Novembre 2024)
Per le macchine virtuali infestate da malware che utilizzo nei test dei prodotti antivirus, è déjà vu ogni volta che inizio un nuovo test. Eseguo il rollback della macchina virtuale allo stesso identico punto di partenza per ogni test, quindi installo (o provo a installare) l'antivirus e lo sfido a ripulire. Ma a volte succede qualcosa di più; a volte il malware invita gli amici a giocare.
I giorni in cui il pirata informatico solitario scrivono virus solo per il gusto di farlo sono ormai lontani. Oggi esiste un intero ecosistema di malware e una componente fiorente di quell'ecosistema comporta cavalcate, situazioni in cui un criminale informatico paga un altro per trasferire una nuova minaccia sul malware esistente. Quelli che chiamiamo "dropper" non hanno nemmeno un payload dannoso; servono solo come un piede nella porta per altri malware.
Cosa significa questo per i miei test? Più a lungo un sistema infestato riesce a funzionare prima che un nuovo antivirus possa essere completamente installato ed eseguire una scansione, maggiori sono le possibilità che l'infestazione esistente inviti gli amici a una festa. L'installazione della protezione su tali sistemi a volte richiede giorni di lavoro da parte del supporto tecnico. Mentre sono occupati, lo è anche il malware; spaventoso!
Gameover ZeuS
Alla conferenza Malware 2013 del mese scorso, uno studente olandese di ricerca ha presentato un'analisi molto dettagliata di Gameover ZeuS. Come altre istanze di ZeuS Trojan, questa rete di malware ha una varietà di funzioni ma mira principalmente a rubare informazioni sensibili come le credenziali del banking online. La cosa diversa di Gameover ZeuS è che invece di un sistema centralizzato di comando e controllo, utilizza una rete peer-to-peer distribuita, rendendo molto più difficile tracciare ed eliminare. Notizie per me!
Immagina la mia sorpresa, quindi, quando di recente ho ricevuto una nota dal mio ISP che diceva di aver rilevato il traffico Gameover ZeuS proveniente dal mio indirizzo IP. No, non ho riscontrato un'infezione dal ricercatore. Piuttosto, uno dei miei campioni esistenti ha invitato un nuovo amico a prendere residenza, probabilmente durante un'insolita maratona di supporto tecnico di giorni che gli ha dato molto tempo.
Anni fa, quando ho iniziato a testare l'antivirus utilizzando macchine virtuali infette da malware dal vivo, potevo praticamente contare sul fatto che la popolazione di malware dei miei sistemi di test rimanesse stabile. Finché non ho installato campioni di malware che provano attivamente a diffondersi su Internet, potrei evitare di diventare parte del problema. La nota del mio ISP era una sveglia. Se installo una raccolta rappresentativa di campioni di malware, non c'è alcuna garanzia che uno di essi non cambierà comportamento o introduca un compagno pericoloso.
Game Over Infatti
Concepibilmente potrei cambiare i provider di servizi Internet ed evitare preavviso, ma questa non è una soluzione. In buona coscienza non posso continuare una pratica che potrebbe causare danni al di fuori delle mie macchine virtuali. Non posso semplicemente tagliare i sistemi di test da Internet, poiché molti strumenti antivirus richiedono una connessione. E non ho le risorse per replicare il traffico di malware in un ambiente chiuso, come fanno i grandi laboratori di test indipendenti. Dovrò abbandonare il test pratico del malware dal vivo.
Tra i lati positivi, i laboratori di test antivirus indipendenti producono oggigiorno dei test davvero validi. Farò un uso maggiore di questi risultati, sicuramente. Continuerò a testare il filtro antispam, la protezione dal phishing, il blocco degli URL dannosi, qualsiasi test che non implichi potenzialmente il rilascio di malware attivo. E continuerò a scavare in ogni funzione di ogni antivirus, lavorando per identificare i migliori. Non eseguirò alcun test che potrebbe potenzialmente causare problemi nel mondo esterno.
Nuovo test zero-day
Inoltre, sto aggiungendo un nuovo test per verificare la capacità di ciascun antivirus di bloccare il download di minacce estremamente nuove. Le brave persone di MRG-Effitas, una società britannica di ricerca sulla sicurezza, mi hanno dato accesso al loro immenso feed in tempo reale di URL malevoli. Usando questo feed posso controllare come un antivirus gestisce circa un centinaio dei più recenti file dannosi. Blocca l'URL? Bloccare il download? Totalmente perso? Non vedo l'ora di iniziare completamente questo nuovo test.