Rumah Jam keamanan Malware mencintai perusahaan: bagaimana evolusi malware memicu perubahan dalam pengujian kami

Malware mencintai perusahaan: bagaimana evolusi malware memicu perubahan dalam pengujian kami

Video: Dahsyatnya Serangan Siber Virus Malware Wannacry (Desember 2024)

Video: Dahsyatnya Serangan Siber Virus Malware Wannacry (Desember 2024)
Anonim

Untuk mesin virtual yang dipenuhi malware yang saya gunakan dalam menguji produk antivirus, setiap hari saya memulai tes baru. Saya memutar kembali mesin virtual ke titik awal yang sama persis untuk setiap tes, kemudian menginstal (atau mencoba menginstal) antivirus dan menantangnya untuk membersihkan. Tetapi kadang-kadang sesuatu yang lebih terjadi; terkadang malware mengundang teman untuk bermain.

Hari-hari para hacker tunggal menulis virus hanya untuk itu sudah lama berlalu. Saat ini ada ekosistem malware secara keseluruhan, dan satu komponen yang berkembang dari ekosistem itu melibatkan perjalanan bersama, situasi di mana seorang penjahat cyber membayar orang lain untuk mendukung ancaman baru terhadap malware yang ada. Yang kami sebut "droppers" bahkan tidak memiliki muatan berbahaya; mereka hanya berfungsi sebagai langkah di pintu bagi malware lain .

Apa artinya itu untuk pengujian saya? Semakin lama sistem yang terinfestasi beroperasi sebelum antivirus baru dapat sepenuhnya terinstal dan menjalankan pemindaian, semakin banyak peluang untuk kutu yang ada untuk mengundang teman dalam suatu pesta. Mendapatkan perlindungan yang diinstal pada sistem-sistem itu kadang-kadang membutuhkan waktu berhari-hari untuk bekerja dengan dukungan teknis. Sementara mereka tetap sibuk, begitu juga malware; mengerikan!

Gameover ZeuS

Pada konferensi Malware 2013 bulan lalu, seorang mahasiswa peneliti Belanda mempresentasikan analisis yang sangat rinci tentang Gameover ZeuS. Seperti contoh lain dari ZeuS Trojan, jaringan malware ini memiliki berbagai fungsi tetapi sebagian besar bertujuan untuk mencuri informasi sensitif seperti kredensial perbankan online. Apa yang berbeda tentang Gameover ZeuS adalah bahwa alih-alih sistem Komando dan Kontrol yang terpusat, ia menggunakan jaringan peer-to-peer terdistribusi, membuatnya jauh lebih sulit untuk dilacak dan diberantas. Berita untuk saya!

Bayangkan betapa terkejutnya saya, kemudian, ketika saya baru-baru ini mendapat catatan dari ISP saya mengatakan mereka telah mendeteksi lalu lintas Gameover ZeuS yang datang dari alamat IP saya. Tidak, saya tidak mengambil infeksi dari peneliti. Sebaliknya, salah satu sampel saya yang ada mengundang teman baru untuk tinggal, mungkin selama maraton dukungan teknis selama berhari-hari yang tidak biasa yang memberinya banyak waktu.

Bertahun-tahun yang lalu, ketika saya pertama kali mulai menguji antivirus menggunakan mesin virtual yang dipenuhi malware, saya bisa mengandalkan populasi malware dari sistem pengujian saya yang tetap stabil. Selama saya tidak menginstal sampel malware yang secara aktif mencoba menyebar melalui Internet, saya bisa menghindari menjadi bagian dari masalah. Catatan dari ISP saya adalah panggilan bangun. Jika saya menginstal koleksi sampel malware yang representatif, tidak ada jaminan bahwa salah satu di antaranya tidak akan mengubah perilaku, atau mendatangkan teman yang berbahaya.

Game Over Memang

Dapat dibayangkan saya bisa mengganti ISP dan menghindari pemberitahuan, tapi itu bukan solusi. Saya tidak dapat dengan hati nurani melanjutkan praktik yang dapat menyebabkan kerusakan di luar mesin virtual saya. Saya tidak bisa begitu saja memotong sistem pengujian dari Internet, karena banyak alat antivirus memerlukan koneksi. Dan saya tidak memiliki sumber daya untuk mereplikasi lalu lintas malware di lingkungan tertutup, seperti yang dilakukan laboratorium pengujian besar dan independen. Saya harus menghentikan pengujian malware langsung.

Di sisi positifnya, lab pengujian antivirus independen menghasilkan beberapa tes yang sangat bagus akhir-akhir ini. Saya akan lebih memanfaatkan hasil itu, pasti. Saya masih akan menguji pemfilteran spam, perlindungan phishing, pemblokiran URL jahat - setiap pengujian yang tidak melibatkan potensi melepaskan malware aktif. Dan saya masih akan menggali setiap fitur dari setiap antivirus, bekerja untuk mengidentifikasi yang terbaik. Saya hanya tidak akan menjalankan tes yang berpotensi menyebabkan masalah di dunia luar.

Tes Zero-Day Baru

Selain itu, saya menambahkan tes baru untuk memeriksa seberapa baik setiap antivirus menangani pemblokiran ancaman yang sangat baru. Orang-orang baik di MRG-Effitas, sebuah perusahaan riset keamanan Inggris, telah memberi saya akses ke umpan URL jahat mereka yang real-time. Dengan menggunakan umpan ini, saya dapat memeriksa bagaimana antivirus menangani seratus atau lebih file berbahaya terbaru. Apakah itu memblokir URL? Blokir unduhan? Benar-benar merindukannya? Saya berharap untuk mendapatkan tes baru ini sepenuhnya sedang berlangsung.

Malware mencintai perusahaan: bagaimana evolusi malware memicu perubahan dalam pengujian kami