ビデオ: Kiesza - Hideaway (Official Music Video) (十一月 2024)
Palo Alto Networksによると、Webベースのマルウェアは、電子メールを介したマルウェアよりも従来のセキュリティ防御を回避するのに優れています。
電子メールはマルウェアのトップソースであり続けますが、圧倒的多数の未知のマルウェアはWebアプリケーションを介してプッシュされます、Palo Alto Networksは月曜日にリリースされたModern Malware Reviewレポートで発見しました。 ユーザーが遭遇した「未知のマルウェア」のほぼ90%がWebの閲覧によるものでしたが、電子メールによるものはわずか2%でした。
このレポートの「未知のマルウェア」は、同社のWildfireクラウドサービスで検出された悪意のあるサンプルを指し、6つの「業界をリードする」ウイルス対策製品が見落としていた、とパロアルトネットワークスはレポートで述べています。 研究者は、同社の次世代ファイアウォールを展開し、オプションのWildfireサービスに加入した1, 000以上の顧客からのデータを分析しました。 WildFireがマルウェアとしてフラグを立てた68, 047個のサンプルのうち、26, 363個のサンプル(40%)は、ウイルス対策製品によって検出されませんでした。
「圧倒的な量の未知のマルウェアはWebベースのソースから発生します。従来のAV製品は、電子メールで配信されるマルウェアからの保護がはるかに優れています」とパロアルトネットワークスは言いました。
検出されないままにするための多くの努力
パロアルトネットワークスは、マルウェアのインテリジェンスが「非常に多く」セキュリティツールによって検出されないままにされていることを発見しました。 研究者は、マルウェアの検出を回避するための30以上の動作を確認しました。たとえば、最初の感染後、マルウェアを長時間「スリープ」させたり、セキュリティツールやオペレーティングシステムプロセスを無効にしたりします。 実際、パロアルトネットワークスが観察したマルウェアの活動と行動のリストのうち、52%がセキュリティの回避に焦点を当てていたのに対し、ハッキングとデータ盗難に焦点を当てたのは15%でした。
他のベンダーからの以前の報告では、多数の未知のマルウェアがユーザーを安全に保つのにアンチウイルス製品が効果的でないと主張しています。 パロアルトネットワークスは、レポートの目的は、これらのサンプルを検出しないためにウイルス対策製品を呼び出すことではなく、ウイルス対策製品が追いつくのを待つ間に脅威を検出するために使用できるマルウェアサンプルの共通点を特定することであると述べました。
パロアルトネットワークスは、未知のサンプルのほぼ70%が、リアルタイムの制御とブロッキングに使用できる「個別の識別子または動作」を示したと報告しています。 動作には、マルウェアによって生成されたカスタムトラフィックと、マルウェアが接続したリモート宛先が含まれます。 サンプルの約33%が新しく登録されたドメイン、および動的DNSを使用するドメインに接続していたのに対し、20%が電子メールを送信しようとしました、とレポートが見つかりました。 攻撃者は動的DNSを頻繁に使用して、その場でカスタムドメインを生成します。カスタムドメインは、セキュリティ製品がブラックリストに登録し始めると簡単に破棄できます。
攻撃者は、ポート443で暗号化されていないトラフィックを送信したり、80以外のポートを使用してWebトラフィックを送信したりするなど、非標準のWebポートも使用しました。 FTPは通常、ポート20と21を使用しますが、レポートでは、他の237のポートを使用してFTPトラフィックを送信するマルウェアを発見しました。
マルウェアの検出の遅延
アンチウイルスベンダーは、電子メールで検出された未知のマルウェアサンプルのシグネチャを配信するのに平均5日かかりましたが、Webベースのマルウェアサンプルでは20日近くかかりました。 FTPは未知のマルウェアの4番目のソースでしたが、サンプルのほぼ95%が31日後も検出されなかった、とPalo Alto Networksは発見しました。 また、ソーシャルメディア経由で配信されたマルウェアには、30日以上ウイルス対策ソフトウェアによって検出されない亜種が含まれていたことが報告されています。
「従来のAVソリューションは、電子メール以外でマルウェアを検出する可能性がはるかに低いだけでなく、カバレッジを取得するのにはるかに時間がかかります」と報告書は発見しました。
パロアルトネットワークスによると、サンプルサイズの違いは、マルウェアの検出におけるウイルス対策の効果に影響を与えました。 電子メールを介した脅威の場合、同じマルウェアが多くのターゲットに配信されることが多く、ウイルス対策ベンダーがファイルを検出して分析する可能性が高くなります。 対照的に、Webサーバーはサーバー側のポリモーフィズムを使用して、攻撃Webページがロードされるたびに悪意のあるファイルをカスタマイズし、より多くの一意のサンプルを作成し、サンプルの検出を困難にします。 電子メールもリアルタイムで配信する必要がないという事実は、マルウェア対策ツールがファイルを分析して検査する時間があることを意味します。 Webは「はるかにリアルタイム」であり、セキュリティツールに悪意のあるファイルをユーザーに配信する前に「検査する時間を大幅に短縮」します。
報告書によれば、「セキュリティチームが最も深刻で標的を絞った脅威に集中する時間があるように、既知のマルウェアの亜種による感染全体の量を減らすことが企業にとって重要だと考えています」。
