Klęska antywirusów w starciu z nowoutworzonymi binarnymi
Transkrypt
Klęska antywirusów w starciu z nowoutworzonymi binarnymi
Copyright© 2013 by [email protected] Klęska antywirusów w starciu z nowoutworzonymi binarnymi formami współczesnego malware Skuteczność antywirusów w wykrywaniu nowych form binarnych malware jest mniejsza niż 5%.To nie pomyłka: słownie pięć procent! Pod koniec 2012 roku iMPERVA – Hacker Intelligence Initiative wraz z grupą studentów The Technion – Israeli Institute of Technology zbadała skuteczność antywirusów na ponad 80 próbkach nowego malware. A oto wyniki: 1. wykrywalność nowoutworzonych form binarnych malware jest mniejsza niż 5% pomimo bieżącego aktualizowania baz sygnatur, 2. zaktualizowanie baz sygnatur, tak aby zagrożenia o których mowa w pkt.1 były wykrywane zajmuje 4 tygodnie (Kaspersky, McAfee, Avast), 3. najlepsze wyniki w teście uzyskał Emsisoft (w tym bezpłatne wersje). Źródło: www.imperva.com1 Dlaczego skuteczność antywirusów w starciu ze współczesnym malware jest bliska zeru? Dlaczego tak się dzieje, pomimo bieżącego aktualizowania zainstalowanego w komputerze oprogramowania antywirusowego? Problem wynika z samej zasady działania takiego oprogramowania. Rozpoznaje ono i ewentualnie usuwa szkodniki, które jest w stanie „zobaczyć”. Polega to na poszukiwaniu w skanowanych plikach pewnych charakterystycznych dla określonego szkodnika ciągów binarnych, określanych mianem sygnatur. Oczywiście takie producentów Wprawdzie pakietów sygnatury programów współczesne oprogramowania muszą być antywirusowych rozwiązania ochronnego uprzednio i zdefiniowane dostarczone zaawansowanych, wykorzystują przez użytkownikom. zintegrowanych również dodatkowo heurystyczne metody wykrywania złośliwego oprogramowania, lecz są one tylko do pewnego stopnia skuteczne. Wynika to z tego, że autorzy złośliwego oprogramowania stosują zaawansowane techniki modyfikacji i zaciemniania 1 http://www.imperva.com/docs/HII_Assessing_the_Effectiveness_of_Antivirus_Solutions.pdf Copyright© 2013 by [email protected] kodu w celu uniknięcia wykrycia. Techniki te „produkują” zmienione pliki binarne, które jednakże realizują te same, szkodliwe dla ofiary funkcje. Źródło: ebook „DeRATyzacja komputera. Jak usunąć szkodniki, gdy antywirus zawodzi?”, Leszek IGNATOWICZ, 2012 (niepublikowany) Zanim odpowiemy na postawione powyżej pytanie, warto przypomnieć, jak działa klasyczny antywirus; niewielu użytkowników komputerów ma taką wiedzę. Klasyczna technologia antywirusowa polega na poszukiwaniu w skanowanych plikach charakterystycznych dla danego szkodnika ciągów binarnych – sygnatur. Baza sygnatur jest słownikiem próbek złośliwego kodu. Kiedy plik jest skanowany, antywirus odwołuje się do bazy sygnatur i sprawdza, czy w pliku nie występują zdefiniowane w niej próbki binarne złośliwego kodu. Jeśli wynik sprawdzenia jest pozytywny, antywirus sygnalizuje wykrycie szkodnika i podejmuje dalsze działania: naprawienia zainfekowanego pliku, umieszczenia w kwarantannie lub skasowania. Warto zauważyć, że antywirus wykryje i być może unieszkodliwi złośliwy program tylko wtedy, gdy posiada odpowiednią sygnaturę. Wykrywanie szkodliwego oprogramowania w oparciu o technologię sygnatur może być efektywne pod warunkiem, że dysponujemy kompletną bazą próbek złośliwego kodu. Aktualizowanie bazy sygnatur jest coraz trudniejsze z kilku powodów, które przesądzają o słabości tej technologii w walce ze współczesnym złośliwym oprogramowaniem. Najistotniejszym jest prawie wykładniczy wzrost wolumenu złośliwego oprogramowania. Producenci oprogramowania antywirusowego po pierwsze nie mają możliwości otrzymania próbek wszystkich nowych szkodników, a wytwarzanie sygnatur dla tych schwytanych w czasie kilku godzin jest coraz większym wyzwaniem. Źródło: „Komputer bez antywirusa! Sysintegrus – bastion ochrony komputerów przed złośliwym oprogramowaniem”2, Leszek IGNATOWICZ, 2012 Autor: Leszek IGNATOWICZ, twórca i lider projektu www.SysClinic.pl DeRATyzacja komputera, ekspert w zakresie badania cyfrowych śladów w komputerach PC, członek stowarzyszenia Instytut Informatyki Śledczej 2 http://ebookbrowse.com/gdoc.php?id=422470609&url=b7476e6a5ce22549e8f764d098bb99d8