Video: FAQ Cyber Security #6: Cara Kerja Anti Virus? (Oktober 2024)
Malo berbasis web lebih baik dalam melewati pertahanan keamanan tradisional daripada malware yang ditularkan melalui email, menurut Palo Alto Networks.
Sementara email terus menjadi sumber utama malware, sebagian besar malware tidak dikenal didorong melalui aplikasi Web, Palo Alto Networks ditemukan dalam laporan Modern Malware Review yang dirilis Senin. Hampir 90 persen dari "malware tidak dikenal" yang ditemui pengguna berasal dari menjelajah Web, dibandingkan dengan hanya 2 persen yang datang dari email.
"Malware tidak dikenal" dalam laporan ini merujuk pada sampel berbahaya yang terdeteksi oleh layanan cloud Wildfire perusahaan yang terlewat oleh enam produk antivirus "terkemuka di industri", Palo Alto Networks mengatakan dalam laporan itu. Para peneliti menganalisis data dari lebih dari 1.000 pelanggan yang menggunakan firewall generasi terbaru perusahaan dan berlangganan layanan Wildfire opsional. Dari 68.047 sampel yang ditandai oleh WildFire sebagai malware, 26.363 sampel, atau 40 persen, tidak terdeteksi oleh produk antivirus.
"Sejumlah besar malware yang tidak dikenal berasal dari sumber-sumber berbasis web, dan produk-produk AV tradisional jauh lebih baik dalam melindungi terhadap malware yang dikirim melalui email, " kata Palo Alto Networks.
Banyak Upaya untuk Tetap Tidak Terdeteksi
Palo Alto Networks menemukan "banyak sekali" intelijen malware yang dikhususkan untuk tetap tidak terdeteksi oleh alat keamanan. Para peneliti mengamati lebih dari 30 perilaku yang didedikasikan untuk membantu malware menghindari deteksi, seperti membiarkan malware "tidur" untuk waktu yang lama setelah infeksi awal, menonaktifkan alat keamanan dan proses sistem operasi. Faktanya, dari daftar aktivitas dan perilaku malware yang diamati Palo Alto Networks, 52 persen fokus pada upaya menghindari keamanan, dibandingkan dengan 15 persen yang berfokus pada peretasan dan pencurian data, menurut laporan itu.
Laporan sebelumnya dari vendor lain menunjukkan sejumlah besar malware yang tidak diketahui untuk berpendapat bahwa produk antivirus tidak efektif dalam menjaga keamanan pengguna. Palo Alto Networks mengatakan tujuan dari laporan ini bukan untuk memanggil produk antivirus karena tidak mendeteksi sampel ini, tetapi untuk mengidentifikasi kesamaan dalam sampel malware yang dapat digunakan untuk mendeteksi ancaman sambil menunggu produk antivirus untuk mengejar ketinggalan.
Hampir 70 persen sampel tidak diketahui menunjukkan "pengidentifikasi atau perilaku berbeda" yang dapat digunakan untuk kontrol dan pemblokiran waktu nyata, Palo Alto Networks menemukan dalam laporannya. Perilaku termasuk lalu lintas khusus yang dihasilkan oleh malware serta tujuan jarak jauh yang dihubungi malware. Sekitar 33 persen sampel terhubung ke domain yang baru terdaftar, dan domain menggunakan DNS dinamis, sementara 20 persen berusaha mengirim email, laporan itu menemukan. Penyerang sering menggunakan DNS dinamis untuk menghasilkan domain kustom dengan cepat yang dapat dengan mudah ditinggalkan ketika produk keamanan mulai memasukkannya ke daftar hitam.
Penyerang juga menggunakan port Web non-standar, seperti mengirim lalu lintas non-terenkripsi pada port 443, atau menggunakan port selain 80 untuk mengirimkan lalu lintas Web. FTP umumnya menggunakan port 20 dan 21, tetapi laporan itu menemukan malware menggunakan 237 port lain untuk mengirimkan lalu lintas FTP.
Keterlambatan Mendeteksi Malware
Vendor antivirus membutuhkan rata-rata lima hari untuk mengirimkan tanda tangan untuk sampel malware yang tidak dikenal yang terdeteksi melalui email, dibandingkan dengan hampir 20 hari untuk yang berbasis web. FTP adalah sumber keempat malware yang tidak dikenal, tetapi hampir 95 persen sampel tetap tidak terdeteksi setelah 31 hari, Palo Alto Networks menemukan. Malware yang dikirim melalui media sosial juga memiliki varian yang tetap tidak terdeteksi oleh antivirus selama 30 hari atau lebih, menurut laporan itu.
"Tidak hanya solusi AV tradisional yang jauh lebih kecil kemungkinannya untuk mendeteksi malware di luar email, tetapi juga dibutuhkan waktu yang jauh lebih lama untuk mendapatkan perlindungan, " lapor laporan itu.
Perbedaan ukuran sampel berdampak pada seberapa efektif antivirus dalam mendeteksi malware, kata Palo Alto Networks. Untuk ancaman yang ditularkan melalui email, malware yang sama sering dikirimkan ke banyak target, sehingga semakin besar kemungkinan vendor antivirus akan mendeteksi dan menganalisis file tersebut. Sebaliknya, server Web menggunakan polimorfisme sisi-server untuk menyesuaikan file berbahaya setiap kali halaman Web serangan dimuat, membuat sampel unik dalam jumlah yang lebih besar dan membuat sampel lebih sulit untuk dideteksi. Fakta bahwa email juga tidak perlu dikirim secara real-time berarti alat anti-malware punya waktu untuk menganalisis dan memeriksa file. Web "jauh lebih nyata, " dan memberikan alat keamanan "jauh lebih sedikit waktu untuk memeriksa" file berbahaya sebelum mengirimkannya kepada pengguna.
"Kami percaya bahwa sangat penting bagi perusahaan untuk mengurangi volume keseluruhan infeksi dari varian malware yang diketahui, sehingga tim keamanan punya waktu untuk fokus pada ancaman paling serius dan ditargetkan, " menurut laporan itu.
