Video: Viren und Malware entfernen (Kann 2024)
Laut Palo Alto Networks kann webbasierte Malware herkömmliche Sicherheitsmaßnahmen besser umgehen als per E-Mail übertragene Malware.
Während E-Mails weiterhin die häufigste Malware-Quelle sind, wird die überwiegende Mehrheit der unbekannten Malware über Webanwendungen verbreitet, wie Palo Alto Networks in seinem am Montag veröffentlichten Bericht Modern Malware Review feststellte. Fast 90 Prozent der "unbekannten Malware" -Benutzer kamen aus dem Web, während nur 2 Prozent aus E-Mails stammten.
"Unbekannte Malware" in diesem Bericht bezog sich auf böswillige Beispiele, die vom Wildfire-Cloud-Dienst des Unternehmens entdeckt wurden und von sechs "branchenführenden" Antivirenprodukten übersehen wurden, so Palo Alto Networks in dem Bericht. Die Forscher analysierten Daten von mehr als 1.000 Kunden, die die Firewall der nächsten Generation des Unternehmens implementiert und den optionalen Wildfire-Service abonniert haben. Von den 68.047 Proben, die von WildFire als Malware gekennzeichnet wurden, wurden 26.363 Proben oder 40 Prozent von den Antivirenprodukten nicht erkannt.
"Ein überwältigendes Volumen an unbekannter Malware stammt aus webbasierten Quellen, und herkömmliche AV-Produkte schützen viel besser vor Malware, die per E-Mail versendet wird", sagte Palo Alto Networks.
Viel Mühe, unentdeckt zu bleiben
Nach Ansicht von Palo Alto Networks wird die Intelligenz der Malware weitgehend darauf verwendet, von Sicherheitstools unentdeckt zu bleiben. Die Forscher beobachteten mehr als 30 Verhaltensweisen, die dazu beitragen sollen, dass Malware nicht erkannt wird, beispielsweise, dass die Malware nach der Erstinfektion lange Zeit "schläft", und deaktivierten Sicherheitstools und Betriebssystemprozesse. Tatsächlich konzentrierten sich 52 Prozent der von Palo Alto Networks beobachteten Malware-Aktivitäten und -Verhalten auf die Umgehung der Sicherheit, verglichen mit 15 Prozent, die sich auf Hacking und Datendiebstahl konzentrierten.
Frühere Berichte von anderen Anbietern haben auf die große Anzahl unbekannter Malware hingewiesen, um zu argumentieren, dass Antivirenprodukte die Sicherheit der Benutzer unwirksam machten. Palo Alto Networks sagte, dass das Ziel des Berichts nicht darin bestehe, Antivirenprodukte für das Nichterkennen dieser Beispiele bereitzustellen, sondern Gemeinsamkeiten in Malware-Beispielen zu identifizieren, mit denen Bedrohungen erkannt werden könnten, während auf das Aufholen der Antivirenprodukte gewartet wird.
Nahezu 70 Prozent der unbekannten Proben wiesen "unterschiedliche Identifikatoren oder Verhaltensweisen" auf, die für die Echtzeitkontrolle und -blockierung verwendet werden könnten, so Palo Alto Networks in seinem Bericht. Das Verhalten umfasste benutzerdefinierten Datenverkehr, der von der Malware generiert wurde, sowie die Remoteziele, mit denen die Malware Kontakt aufgenommen hat. Ungefähr 33 Prozent der Stichproben verbanden sich mit neu registrierten Domänen und Domänen, die dynamisches DNS verwendeten, während 20 Prozent versuchten, E-Mails zu versenden. Angreifer verwenden häufig dynamisches DNS, um im laufenden Betrieb benutzerdefinierte Domänen zu generieren, die leicht aufgegeben werden können, wenn Sicherheitsprodukte beginnen, diese auf eine schwarze Liste zu setzen.
Angreifer verwendeten auch nicht standardmäßige Web-Ports, z. B. das Senden von unverschlüsseltem Datenverkehr über Port 443 oder das Senden von Web-Datenverkehr über andere Ports als 80. FTP verwendet im Allgemeinen die Ports 20 und 21, aber der Bericht hat Malware gefunden, die 237 andere Ports zum Versenden von FTP-Verkehr verwendet.
Verzögerungen beim Erkennen von Malware
Hersteller von Antivirenprogrammen brauchten im Durchschnitt fünf Tage, um Signaturen für unbekannte Malware-Beispiele zu liefern, die per E-Mail erkannt wurden, im Vergleich zu fast 20 Tagen für webbasierte. FTP war die vierte Quelle unbekannter Malware, aber nach 31 Tagen blieben fast 95 Prozent der Proben unentdeckt, so Palo Alto Networks. Malware, die über soziale Medien verbreitet wurde, wies auch Varianten auf, die 30 Tage oder länger von Antivirenprogrammen nicht erkannt wurden.
"Herkömmliche AV-Lösungen erkennen Malware nicht nur viel seltener außerhalb von E-Mails, sondern es dauert auch viel länger, bis sie erkannt werden", heißt es in dem Bericht.
Laut Palo Alto Networks wirkten sich Unterschiede in der Stichprobengröße darauf aus, wie effektiv Antivirus-Programme Malware erkennen. Bei durch E-Mails übertragenen Bedrohungen wird dieselbe Malware häufig an viele Ziele übertragen, sodass der Hersteller von Antivirenprogrammen die Datei mit größerer Wahrscheinlichkeit erkennt und analysiert. Im Gegensatz dazu verwenden Webserver einen serverseitigen Polymorphismus, um die schädliche Datei bei jedem Laden der Angriffswebseite anzupassen, wodurch eine größere Anzahl eindeutiger Beispiele erstellt und die Erkennung der Beispiele erschwert wird. Die Tatsache, dass E-Mails nicht in Echtzeit zugestellt werden müssen, bedeutet, dass Anti-Malware-Tools Zeit haben, die Dateien zu analysieren und zu untersuchen. Das Web ist "weitaus schneller" und gibt Sicherheitstools "viel weniger Zeit, die schädlichen Dateien zu untersuchen", bevor sie an den Benutzer übermittelt werden.
"Wir glauben, dass es für Unternehmen von entscheidender Bedeutung ist, das Gesamtvolumen der Infektionen durch Varianten bekannter Malware zu reduzieren, damit Sicherheitsteams Zeit haben, sich auf die schwerwiegendsten und gezieltesten Bedrohungen zu konzentrieren", heißt es in dem Bericht.
