ビデオ: 激ドã‚ ランファン 手コã‚.wmv (九月 2024)
この夏、Black Hatカンファレンスには7, 000人を超える参加者が集まり、春には25, 000人がRSAカンファレンスに参加しました。 対照的に、悪意のあるソフトウェアおよび不要なソフトウェアに関する第8回国際会議への出席は、数千ではなく数十で測定されます。 これは、すべての参加者間で直接かつ率直なやり取りが可能な雰囲気の中で、セキュリティに関する最新の学術研究を推進することを目的としています。 今年の会議(略して2013年マルウェア)は、Microsoft Malware Protection CenterのディレクターであるDennis Batchelderによる基調講演で始まり、マルウェア対策業界が直面している困難な問題を指摘しました。
プレゼンテーション中に、多くのラボが他の製品と比較するためのベースラインとして扱うほど十分に低いため、多くの独立したテストでMicrosoft Security Essentialsが最下位またはその近くでスコアを付ける理由について考えがあるかどうかをBatchelder氏に尋ねました。 この記事の冒頭の写真では、彼はマイクロソフトのウイルス対策チームのメンバーがその質問についてどのように感じてい ない かを模しています。
Batchelderは、Microsoftがそれを望んでいることを説明しました。 セキュリティベンダーは、組み込み製品にどのような価値を追加できるかを示すことは問題ありません。また、Microsoftのデータでは、MSEとWindows Defenderのおかげで、Windowsユーザーの21%のみが保護されていないことを示しています。 そしてもちろん、Microsoftがそのベースラインを上げることができるときはいつでも、サードパーティベンダーは必然的にそれと一致するか、それを超える必要があります。
悪者は逃げない
Batchelderは、業界全体の問題、規模の問題、およびテストの問題の3つの主要な分野における重要な課題を指摘しました。 この魅力的な話から、私を本当に驚かせた1つのポイントは、犯罪組織がウイルス対策ツールをだまして不正な作業を行う方法についての彼の説明でした。
Batchelderは、標準のウイルス対策モデルでは、悪者が逃げ出して隠れていると想定していると説明しました。 「より良い方法でそれらを見つけようとしています」と彼は言った。 「ローカルクライアントまたはクラウドが「ブロックする!」 または、脅威を検出して修復を試みます。」 しかし、彼らはもう逃げていません。 彼らは攻撃しています。
アンチウイルスベンダーはサンプルを共有し、インストールベースのテレメトリとレピュテーション分析を使用して脅威を検出します。 しかし最近では、このモデルは常に機能するとは限りません。 「もしあなたがそのデータを信頼できないとしたら」とBatchelderが尋ねた。 「悪者があなたのシステムを直接攻撃しているとしたら?」
彼は、Microsoftが「当社のシステムを標的とした細工されたファイル、他のベンダーの検出のように見える細工されたファイル」を検出したと報告しました。 あるベンダーが既知の脅威としてそれを拾い上げると、彼らはそれを他のベンダーに伝え、巧妙に細工されたファイルの価値を人工的にエスカレートします。 「彼らは穴を見つけ、サンプルを作成し、問題を引き起こします。彼らはテレメトリーを注入して、有病率と年齢も偽造することができます」とBatchelder氏は述べています。
私たち全員が一緒に働くことはできませんか?
それでは、なぜ犯罪シンジケートは、虚偽の情報をウイルス対策会社に送り込むのでしょうか? 目的は、弱いウイルス対策シグネチャを導入することです。これは、ターゲットオペレーティングシステムに必要な有効なファイルにも一致します。 攻撃が成功すると、1つ以上のウイルス対策ベンダーが被害者のPC上の無害なファイルを隔離し、ホストオペレーティングシステムを無効にする可能性があります。
このタイプの攻撃は潜行性です。 アンチウイルスベンダーが共有するデータストリームに偽の検出を組み込むことにより、犯罪者は、決して目(または手)を置いたことのないシステムを損傷する可能性があります。 副次的な利点として、これを行うと、ベンダー間のサンプルの共有が遅くなる場合があります。 別のベンダーから渡された検出が有効であると想定できない場合は、自分の研究者との再確認に時間を費やす必要があります。
大きく新しい問題
Batchelderによると、サンプル共有により、月に約10, 000個のこれらの「中毒」ファイルが取得されています。 (マイクロソフトのアンチウイルス製品のユーザーからの)彼ら自身のテレメトリの約10分の1がそのようなファイルで構成されており、それは非常に多くあります。
これは私にとっては新しいものですが、驚くことではありません。 マルウェア犯罪シンジケートには大量のリソースがあり、それらのリソースの一部を敵による破壊的な検知に充てることができます。 機会があれば、このタイプの「武器化されたウイルス対策」について他のベンダーに質問します。
