Vídeo: Comprueba si un archivo tiene virus enviando un email www.informaticovitoria.com (De novembre 2024)
Segons Palo Alto Networks, el programari maliciós basat en web és superior a les defenses de seguretat tradicionals que al programari maliciós transmès per correu electrònic.
Si bé el correu electrònic continua sent una font principal de programari maliciós, la gran majoria de programari maliciós desconegut es transmeten a través d'aplicacions web, Palo Alto Networks es troba en el seu informe Modern Malware Review publicat dilluns. Gairebé el 90 per cent dels usuaris amb "programari maliciós desconegut" que es trobaven provenien de la navegació per la xarxa, en comparació amb només el 2 per cent procedents del correu electrònic.
"Maliciós desconegut" en aquest informe es referia a mostres malintencionades detectades pel servei en núvol Wildfire de la companyia, que sis productes antivirus "líders en la indústria" van desaprofitar, va dir Palo Alto Networks a l'informe. Els investigadors van analitzar les dades de més de 1.000 clients que van desplegar el tallafoc de nova generació de l’empresa i que es van subscriure al servei opcional Wildfire. De les 68.047 mostres marcades per WildFire com a programari maliciós, 26.363 mostres, o el 40 per cent, no van ser detectades pels productes antivirus.
"Un volum desbordant de programari maliciós desconegut prové de fonts basades en la web i els productes tradicionals de AV es beneficien molt millor per protegir-se contra programari maliciós enviat per correu electrònic", va dir Palo Alto Networks.
Molts esforços per mantenir sense ser detectats
Palo Alto Networks ha trobat una "gran quantitat" d'intel·ligència del programari maliciós a restar no detectats per les eines de seguretat. Els investigadors van observar més de 30 comportaments dedicats a ajudar al malware a evitar la detecció, com ara que el malware "dorm" durant molt de temps després de la infecció inicial, inhabilitant les eines de seguretat i els processos del sistema operatiu. De fet, de la llista d’activitats i comportaments de programari maliciós observats per Palo Alto Networks, el 52 per cent es va centrar en evadir la seguretat, en comparació amb el 15 per cent que es va centrar en la pirateria i el robatori de dades.
Informes anteriors d'altres venedors han assenyalat el gran nombre de programari maliciós desconegut per argumentar que els productes antivirus eren poc efectius per mantenir els usuaris segurs. Palo Alto Networks va dir que l’objectiu de l’informe no era cridar els productes antivirus per no detectar aquestes mostres, sinó identificar les comunitats en mostres de programari maliciós que es podrien utilitzar per detectar amenaces mentre s’esperava la recuperació dels productes antivirus.
Palo Alto Networks va trobar en el seu informe gairebé el 70 per cent de les mostres desconegudes que van mostrar "identificadors o conductes diferents" que es podrien utilitzar per controlar i bloquejar en temps real. Comportaments inclosos el trànsit personalitzat generat pel programari maliciós, així com les destinacions remotes amb les quals va contactar el malware. Aproximadament, el 33 per cent de les mostres es van connectar a dominis registrats recentment i a dominis mitjançant DNS dinàmic, mentre que el 20 per cent va intentar enviar correus electrònics. Els atacants utilitzen sovint DNS dinàmics per generar dominis personalitzats al vol, que es poden abandonar fàcilment quan els productes de seguretat comencen la llista negra.
Els atacants també utilitzaven ports web no estàndards, com ara enviar trànsit no xifrat al port 443 o utilitzar ports diferents de 80 per enviar trànsit web. El FTP utilitza generalment els ports 20 i 21, però l’informe va trobar programari maliciós amb 237 ports més per enviar trànsit FTP.
Retards de detecció de programari maliciós
Els venedors d’antivirus van trigar cinc dies a la mitjana de lliurar signatures per a mostres de programari maliciós desconegudes detectades per correu electrònic, en comparació amb gairebé 20 dies per a les basades en la web. FTP va ser la quarta font de programari maliciós desconegut, però gairebé el 95% de les mostres es van mantenir sense ser detectades després de 31 dies, va trobar Palo Alto Networks. L'informe va trobar un programari maliciós que es va distribuir a través de les xarxes socials, que també va estar desactivat per antivirus durant 30 dies o més.
"No només hi ha les solucions tradicionals AV molt menys propenses a detectar programari maliciós fora del correu electrònic, sinó que també triguen molt més a obtenir cobertura", va trobar l'informe.
Palo Alto Networks va dir que les diferències en la mida de la mostra van afectar l'eficàcia dels antivirus en la detecció de programari maliciós. Per a les amenaces que es transmeten per correu electrònic, el mateix malware sovint es lliura a molts objectius, cosa que fa que sigui més probable que el venedor d'antivirus detecti i analitzi el fitxer. En canvi, els servidors web utilitzen el polimorfisme del servidor per personalitzar el fitxer maliciós cada vegada que es carrega la pàgina web d’atac, creant un nombre més gran de mostres úniques i dificultant la detecció de les mostres. El fet que també no calgui lliurar-se per correu electrònic en temps real significa que les eines antimware no tenen temps per analitzar i inspeccionar els fitxers. La web és "molt més temps real" i proporciona a les eines de seguretat "molt menys temps per inspeccionar" els fitxers maliciosos abans de lliurar-los a l'usuari.
"Creiem que és crucial per a les empreses reduir el volum global d'infeccions per variants de programari maliciós conegut, de manera que els equips de seguretat tenen temps per centrar-se en les amenaces més greus i dirigides", segons l'informe.