มัลแวร์รัก บริษัท : วิวัฒนาการของมัลแวร์ก่อให้เกิดการเปลี่ยนแปลงในการทดสอบของเราอย่างไร

สำหรับเครื่องเสมือนที่ติดมัลแวร์ที่ฉันใช้ในการทดสอบผลิตภัณฑ์ป้องกันไวรัสมันเป็นเดจาวูทุกครั้งที่ฉันเริ่มการทดสอบใหม่ ฉันย้อนกลับเครื่องเสมือนไปยังจุดเริ่มต้นที่แน่นอนเหมือนกันสำหรับการทดสอบทุกครั้งจากนั้นติดตั้ง (หรือพยายามติดตั้ง) โปรแกรมป้องกันไวรัสและท้าทายให้ล้างข้อมูล แต่บางครั้งก็เกิดอะไรขึ้น บางครั้งมัลแวร์ชวนเพื่อนมาเล่น

วันที่แฮ็กเกอร์คนเดียวเขียนไวรัสเพียงเพื่อความหายนะของมันก็หายไปนาน วันนี้มีระบบนิเวศของมัลแวร์ทั้งหมดและองค์ประกอบที่เฟื่องฟูของระบบนิเวศนั้นเกี่ยวข้องกับการขี่ม้าในสถานการณ์ที่ไซเบอร์คดจ่ายอีกอันหนึ่งเพื่อคุกคามภัยคุกคามใหม่ของมัลแวร์ที่มีอยู่ สิ่งที่เราเรียกว่า "ดริปเปอร์" ไม่มีแม้แต่เพย์โหลดที่เป็นอันตราย พวกเขาเพียงแค่ทำหน้าที่เป็นเท้าเข้ามาหามัลแวร์ อื่น ๆ

การทดสอบของฉันมีความหมายอย่างไร ยิ่งระบบที่ถูกบุกรุกนานขึ้นจะสามารถใช้งานได้ก่อนที่โปรแกรมป้องกันไวรัสใหม่จะสามารถติดตั้งได้อย่างสมบูรณ์และทำการสแกนยิ่งมีโอกาสมากขึ้นที่การบุกรุกที่มีอยู่จะเชิญเพื่อนเข้าร่วมงานปาร์ตี้ การติดตั้งระบบป้องกันในบางครั้งอาจต้องใช้เวลาหลายวันในการทำงานโดยฝ่ายสนับสนุนด้านเทคนิค ในขณะที่พวกเขากำลังยุ่งอยู่มัลแวร์ก็เช่นกัน น่ากลัว!

Gameover ZeuS

ในการประชุมมัลแวร์ 2013 เมื่อเดือนที่แล้วนักเรียนวิจัยชาวดัตช์ได้นำเสนอการวิเคราะห์อย่างละเอียดของ Gameover ZeuS เช่นเดียวกับอินสแตนซ์อื่น ๆ ของ ZeuS Trojan เครือข่ายมัลแวร์นี้มีฟังก์ชั่นที่หลากหลาย แต่ส่วนใหญ่มีจุดมุ่งหมายที่จะขโมยข้อมูลที่ละเอียดอ่อนเช่นข้อมูลรับรองธนาคารออนไลน์ สิ่งที่แตกต่างเกี่ยวกับ Gameover ZeuS คือแทนที่จะเป็นระบบการควบคุมและสั่งการจากส่วนกลางมันใช้เครือข่ายแบบ peer-to-peer แบบกระจายทำให้ยากต่อการติดตามและกำจัด ข่าวให้ฉัน!

ลองจินตนาการถึงความประหลาดใจของฉันจากนั้นเมื่อฉันเพิ่งได้รับข้อความจาก ISP ของฉันว่าพวกเขาตรวจพบปริมาณการเข้าใช้ Gameover ZeuS ที่มาจากที่อยู่ IP ของฉัน ไม่ฉันไม่ได้รับเชื้อจากนักวิจัย แต่หนึ่งในตัวอย่างที่มีอยู่ของฉันเชิญเพื่อนใหม่เอี่ยมมาพักอาศัยอาจเป็นไปได้ว่าในช่วงมาราธอนการสนับสนุนด้านเทคนิคระยะยาวที่ผิดปกติซึ่งให้เวลามากมาย

หลายปีที่ผ่านมาเมื่อฉันเริ่มการทดสอบแอนติไวรัสโดยใช้เครื่องเสมือนที่มีมัลแวร์อาศัยอยู่ฉันสามารถนับจำนวนประชากรมัลแวร์ในระบบทดสอบของฉันได้อย่างเสถียร ตราบใดที่ฉันไม่ได้ติดตั้งตัวอย่างมัลแวร์ที่พยายามแพร่กระจายผ่านอินเทอร์เน็ตฉันก็สามารถหลีกเลี่ยงการเป็นส่วนหนึ่งของปัญหาได้ หมายเหตุจาก ISP ของฉันเป็นการโทรปลุก หากฉันติดตั้งคอลเลกชันตัวอย่างของมัลแวร์แล้วจะไม่มีการรับประกันใด ๆ เลยว่าจะไม่มีการเปลี่ยนแปลงพฤติกรรมหรือเป็นเพื่อนอันตราย

เกมโอเวอร์แน่นอน

เป็นไปได้ว่าฉันสามารถเปลี่ยน ISP ได้และหลีกเลี่ยงการแจ้งให้ทราบ แต่นั่นไม่ใช่วิธีแก้ปัญหา ฉันไม่สามารถมีจิตสำนึกที่ดีต่อการฝึกฝนที่อาจก่อให้เกิดอันตรายนอกเครื่องเสมือนของฉัน ฉันไม่สามารถตัดระบบทดสอบออกจากอินเทอร์เน็ตได้เนื่องจากเครื่องมือป้องกันไวรัสจำนวนมากต้องการการเชื่อมต่อ และฉันไม่มีทรัพยากรที่จะจำลองปริมาณการใช้มัลแวร์ในสภาพแวดล้อมที่ปิดเช่นเดียวกับที่ห้องทดลองอิสระขนาดใหญ่ทำ ฉันจะต้องวางการทดสอบมัลแวร์สดๆ

ในทางบวกห้องปฏิบัติการทดสอบต่อต้านไวรัสอิสระได้ทำการทดสอบที่ดีมาก ๆ ในปัจจุบัน ฉันจะใช้ประโยชน์จากผลลัพธ์เหล่านั้นให้มากขึ้นอย่างแน่นอน ฉันจะยังคงทดสอบการกรองสแปมการป้องกันฟิชชิงการปิดกั้น URL ที่เป็นอันตราย - การทดสอบใด ๆ ที่ไม่เกี่ยวข้องกับการปล่อยมัลแวร์ที่ใช้งานอยู่ และฉันจะยังคงเจาะเข้าไปในฟีเจอร์ของแอนติไวรัสทุกตัวที่ทำงานเพื่อระบุสิ่งที่ดีที่สุด ฉันแค่จะไม่ทำการทดสอบใด ๆ ที่อาจทำให้เกิดปัญหาในโลกภายนอก

ใหม่ทดสอบ Zero-Day

นอกจากนี้ฉันกำลังเพิ่มการทดสอบใหม่เพื่อตรวจสอบว่าแอนติไวรัสแต่ละตัวจัดการการบล็อกการดาวน์โหลดการคุกคามใหม่ ๆ ได้ดีเพียงใด กลุ่มที่ดีที่ MRG-Effitas บริษัท วิจัยความปลอดภัยของอังกฤษให้สิทธิ์การเข้าถึง URL ที่เป็นอันตรายแบบเรียลไทม์แก่พวกเขา การใช้ฟีดนี้ฉันสามารถตรวจสอบว่าแอนติไวรัสจัดการไฟล์ที่เป็นอันตรายล่าสุดได้ร้อยไฟล์ได้อย่างไร มันบล็อก URL หรือไม่ บล็อกการดาวน์โหลดหรือไม่ คิดถึงมันโดยสิ้นเชิง? ฉันหวังว่าจะได้รับการทดสอบใหม่นี้อย่างเต็มที่