Zuhause Sicherheitsuhr Weaponized Antivirus: Wenn gute Software schlechte Dinge tut

Weaponized Antivirus: Wenn gute Software schlechte Dinge tut

Video: Brauche ich für Linux einen Virenschutz? Hier wird es geklärt! (Dezember 2024)

Video: Brauche ich für Linux einen Virenschutz? Hier wird es geklärt! (Dezember 2024)
Anonim

Die Black Hat-Konferenz zog in diesem Sommer weit über 7.000 Teilnehmer an, und 25.000 nahmen an der RSA-Konferenz im Frühjahr teil. Die Teilnahme an der 8. Internationalen Konferenz über schädliche und unerwünschte Software wird dagegen in Dutzenden und nicht in Tausenden gemessen. Ziel ist es, die neuesten wissenschaftlichen Erkenntnisse zum Thema Sicherheit in einer Atmosphäre voranzutreiben, die eine direkte und offene Interaktion zwischen allen Teilnehmern ermöglicht. Die diesjährige Konferenz (kurz Malware 2013) wurde mit einer Keynote von Dennis Batchelder, Direktor des Microsoft Malware Protection Center, eröffnet.

Während des Vortrags fragte ich Herrn Batchelder, ob er sich Gedanken darüber gemacht habe, warum Microsoft Security Essentials in vielen unabhängigen Tests am oder nahe am unteren Ende der Skala abschneidet. Dies ist so niedrig, dass es in vielen Labors nur als Vergleichsbasis für andere Produkte herangezogen wird. Auf dem Foto oben in diesem Artikel ahmt er nach, wie die Mitglieder des Microsoft-Antivirus-Teams diese Frage nicht beurteilen.

Batchelder erklärte, dass Microsoft das so will. Den Sicherheitsanbietern ist es in Ordnung zu demonstrieren, welchen Wert sie gegenüber dem, was eingebaut ist, hinzufügen können. Er bemerkte auch, dass die Daten von Microsoft nur 21 Prozent der Windows-Benutzer ungeschützt zeigen, dank MSE und Windows Defender von über 40 Prozent. Und natürlich müssen Drittanbieter immer dann, wenn Microsoft diese Baseline anheben kann, sie erreichen oder übertreffen.

Die Bad Guys rennen nicht weg

Batchelder wies auf bedeutende Herausforderungen in drei Hauptbereichen hin: Probleme für die gesamte Branche, Skalenprobleme und Probleme beim Testen. Aus diesem faszinierenden Gespräch ist mir besonders aufgefallen, wie Verbrechenskonsortien Antiviren-Tools dazu verleiten können, Drecksarbeit für sie zu leisten.

Batchelder erklärte, dass das Standard-Antivirus-Modell davon ausgeht, dass die Bösen davonlaufen und sich verstecken. "Wir versuchen, sie immer besser zu finden", sagte er. "Der lokale Client oder die Cloud sagt" block it! " oder wir erkennen eine Bedrohung und versuchen, sie zu beheben. " Aber sie rennen nicht mehr weg; Sie greifen an.

Hersteller von Antivirenprogrammen geben Beispiele frei und verwenden Telemetrie aus ihrer Analyse der installierten Basis und der Reputation, um Bedrohungen zu erkennen. In letzter Zeit funktioniert dieses Modell jedoch nicht immer. "Was ist, wenn Sie diesen Daten nicht vertrauen können?", Fragte Batchelder. "Was ist, wenn die bösen Jungs Ihre Systeme direkt angreifen?"

Er berichtete, dass Microsoft "manipulierte Dateien für unsere Systeme entdeckt hat, manipulierte Dateien, die wie die Erkennung eines anderen Herstellers aussehen". Sobald ein Anbieter es als bekannte Bedrohung erkennt, gibt er es an andere weiter, wodurch der Wert der erstellten Datei künstlich erhöht wird. "Sie finden ein Loch, stellen eine Probe her und verursachen Probleme. Sie können Telemetrie injizieren, um die Prävalenz und das Alter zu verfälschen", bemerkte Batchelder.

Können wir nicht alle einfach zusammenarbeiten?

Warum sollte sich ein Verbrechenskonsortium die Mühe machen, Antiviren-Unternehmen mit falschen Informationen zu versorgen? Der Zweck besteht darin, eine schwache Antivirensignatur einzuführen, die auch mit einer gültigen Datei übereinstimmt, die von einem Zielbetriebssystem benötigt wird. Wenn der Angriff erfolgreich ist, wird die unschuldige Datei von einem oder mehreren Antiviren-Anbietern auf den betroffenen PCs unter Quarantäne gestellt, wodurch möglicherweise das Host-Betriebssystem deaktiviert wird.

Diese Art von Angriff ist heimtückisch. Indem die Kriminellen gefälschte Erkennungen in den von Antivirenanbietern gemeinsam genutzten Datenstrom leiten, können sie Systeme beschädigen, auf die sie noch nie Augen (oder Hände) gelegt haben. Als Nebeneffekt kann dies den Austausch von Samples zwischen Anbietern verlangsamen. Wenn Sie nicht davon ausgehen können, dass ein von einem anderen Anbieter bestandener Nachweis gültig ist, müssen Sie ihn mit Ihren eigenen Forschern überprüfen.

Großes, neues Problem

Batchelder meldet, dass sie monatlich etwa 10.000 dieser "vergifteten" Dateien durch Sample-Sharing erhalten. Etwa ein Zehntel Prozent der eigenen Telemetrie (von Benutzern der Antivirenprodukte von Microsoft) besteht aus solchen Dateien, und das ist eine Menge.

Das ist neu für mich, aber es ist nicht überraschend. Malware-Verbrechens-Syndikate verfügen über eine Vielzahl von Ressourcen und können einige dieser Ressourcen dazu verwenden, die Erkennung durch ihre Feinde zu untergraben. Ich werde andere Anbieter zu dieser Art von "Antiviren-Waffen" befragen, sobald ich die Gelegenheit dazu bekomme.

Weaponized Antivirus: Wenn gute Software schlechte Dinge tut