Сравнение скорости реагирования вирлабов на новые угрозы

[akoK]

Командой SafeZone проведено исследование скорости реагирования лабораторий различных антивирусных компаний. Для тестирования авторами использован оригинальный способ сбивания детекта с дропперов актуальных вредоносных программ. Изучались различные пути подачи заявок: по официальной форме, размещённой на офсайтах, по электронной почте, посредством сервиса VirusTotal. Указана динамика и характер реакции лабораторий. Показано, что в настоящий момент большое количество лабораторий поручает разбор неизвестных зловредов автоматическим системам, некоторые разбирают крайне некачественно, пропуская новые вирусы и генерируя ложные срабатывания. Процент обратной связи с обратившимся низок даже в случае обработки образца.

[Vitaliy69]

Хорошая статья. Основной вывод, который хотелось бы выделить и прокомментировать:

довольно простой образец положил на лопатки ряд лабораторий, нескольким другим потребовалось две попытки, ответ на образец, несмотря на оформление на официальном сайте и по всем правилам, приходил довольно долго, при этом фаворитами оказались совершенно не те вендоры, которые мы ожидали.

Если в году 2005 в день добавляли несколько тысяч вредоносов, в году 2008 этак десятков тысяч, то сейчас это число приближается уже к сотням тысяч, а то и миллиону... В день!

 

Сам в 2007 году ни раз отправлял в Лабораторию Касперского неопределяемых зверей, да и те же Avira и Eset. Капреский всегда отвечал, добавлял в базы, потом отвечать перестал, но в базы детектирования всё равно добавлял. А сейчас ни ответа, ни детекта. Очевидно, что не хватает человеческих ресурсов для анализа.

 

Пока вижу решение только в объединении сил нескольких компаний, либо вредоносы нас победят.

 

Ещё возможный путь на будущее - увеличение числа сотрудников и разработка автоматического продвинутого средства детектирования на стороне клиента. Хотя к последнему мы все уже и двигаемся - эта и та же песочница, и HIPS... Нужно развивать их, возможно, в будущем придётся и отказаться от сигнатурного детектирования и остаться только на HIPS'е и облачной защиты.

[Cihihen]

Если в году 2005 в день добавляли несколько тысяч вредоносов, в году 2008 этак десятков тысяч, то сейчас это число приближается уже к сотням тысяч, а то и миллиону... В день!

По теории вероятности вредоносы должны пачками сыпаться мне, да и знакомым на компьютеры. Но этого почему то не происходит. Годами ничего не залетает. Изредка браузер предупредит, что страница может быть не безопасна, да и то потому что перенаправляет по другому адресу. Где же этот миллион вирусов в день?

Компьютер периодически проверяется антивирусными средствами от разных производителей, но ничего вредного они не находят . В почте тоже ничего похожего не бывало.

[Vitaliy69]

Раньше постоянно, когда лазил по интернету, цеплял вирусы. Сейчас ни одного месяцами... Это не от уменьшения числа вирусов, а от взросления что ли. Появилось парочка постоянных сайтов, которые посещается ежедневно, а они безопасные и проверенные.

 

О шквальном увеличении угроз читал недавно, по-моему, на securitylab.ru.

[Cihihen]

Раньше постоянно, когда лазил по интернету, цеплял вирусы.

Наверное когда нажимали кнопочки типа "установить новый кодек", "проверить компьютер"?

Сейчас ни одного месяцами... Это не от уменьшения числа вирусов, а от взросления что ли.

С вирусами борются поисковые системы, им не выгоден "зараженный интернет" отображаемый в поиске, пользователи подсознательно будут избегать поисковик выдающий зараженные ссылки. Еще в 2006 году:

 

Секретные возможности поискового движка Google позволили обнаружить тысячи зараженных вирусами веб-сайтов. Большинство из этих ресурсов стали жертвами взломщиков и, сами не зная того, заражали системы своих клентов.

 

При помощи специально созданной утилиты исследователи из Websense за последний месяц обнаружили более 2000 сайтов, зараженных червями Bagel и Mytob. Это стало возможным благодаря особенности бинарного поиска Google, который позволяет просматривать информацию, содержащуюся в обычно нечитаемых exe-файлах. seonews.

[Cihihen]

Появилось парочка постоянных сайтов, которые посещается ежедневно, а они безопасные и проверенные.

По оценкам Яндекса, общее число зараженных сайтов не превышает 1%.

Проиндексированные Яндексом страницы сайтов проходят проверку на наличие опасных элементов.

Для обнаружения опасных ресурсов Яндекс использует систему проверки, разработанную на базе технологии компании Sophos®.

 

В итоге впечатление, что миллион вредоносов в день пишутся для исследования скорости реагирования лабораторий различных антивирусных компаний.

Изменено 25 июня, 2011 пользователем Cihihen

[akoK]

В итоге впечатление, что миллион вредоносов в день пишутся для исследования скорости реагирования лабораторий различных антивирусных компаний.

 

Скорее всего для красивой статистики

[kos1nus]

Раньше постоянно, когда лазил по интернету, цеплял вирусы. Сейчас ни одного месяцами... Это не от уменьшения числа вирусов, а от взросления что ли. Появилось парочка постоянных сайтов, которые посещается ежедневно, а они безопасные и проверенные.

У меня так же, но я не думаю что причина этому взросление, по крайней мере не прямая.

 

Не так давно большая часть софта используемого на компе была платной, ну для кого платной, а для кого ломанной (Ну а что вы хотите чтобы подросток 14-16 лет брал и покупал все это?). особенно это касалось всяких игрушек. каждую вторую софтину приходилось ломать. И если не подхватишь заразу в инете, пока ищешь "лом", то большая вероятность что сюрприз ждет тебя "внутри" ключа к софтине. сейчас большая часть софта просто бесплатна. нет необходимости шариться по темным закоулкам интернета. Ну а подхватить заразу на каком нибудь, вполне приличном, сайте, я считаю, крайне мала. Просто посещение подобного ресурса еще гарантирует заражения, нужно чтоб ну ПК были уязвимости, на которые рассчитан зловред.

 

С вирусами борются поисковые системы, им не выгоден "зараженный интернет" отображаемый в поиске, пользователи подсознательно будут избегать поисковик выдающий зараженные ссылки. Еще в 2006 году:

это тоже наверное внесло огромный вклад, только вот не думаю что гугл потерял бы популярность не введя подобную систему. но в любом случае спасибо им за это. Изменено 25 июня, 2011 пользователем kos1nus

[Cihihen]

Не так давно большая часть софта используемого на компе была платной, ну для кого платной, а для кого ломанной (Ну а что вы хотите чтобы подросток 14-16 лет брал и покупал все это?).

Если в 14-16 лет человек ворует, то вряд ли психология сильно изменится с возрастом. Оправдания будут другие (зарплата низкая, назло буржуям и т.п.), масштаб воровства может изменится, мелочь будет безопаснее купить на украденные миллионы.

большая вероятность что сюрприз ждет тебя "внутри" ключа к софтине.

Ключи не сложно проверить на сюрпризы даже при помощи онлайновых сервисов, где всегда свежие базы таких сюрпризов.

Ну а подхватить заразу на каком нибудь, вполне приличном, сайте, я считаю, крайне мала.

Злоумышленникам выгоднее всего размещать вредоносный код на популярных сайтах.

По оценкам Яндекса ежедневно в список зараженных сайтов попадают 5-10 популярных ресурсов с индексом цитирования более 1000, несколько раз в месяц вирус обнаруживается на высокорейтинговых сайтах — с индексом цитирования более 10000.

это тоже наверное внесло огромный вклад, только вот не думаю что гугл потерял бы популярность не введя подобную систему.

А введя систему Google приобрел дополнительную популярность, в Яндексе это тоже поняли и с мая 2009 года Яндекс проверяет индексируемые веб-страницы и предупреждает пользователей об опасных сайтах.

[kos1nus]

Если в 14-16 лет человек ворует, то вряд ли психология сильно изменится с возрастом. Оправдания будут другие (зарплата низкая, назло буржуям и т.п.),

Еще одна мудрая глупость от Cihihen'a, но что бы не развивать срач я проигнорирую ее. Пойди напиши на меня в компетентные органы, я ведь публично признался в воровстве, а по твоей теории а я сейчас продолжаю воровать.

 

Злоумышленникам выгоднее всего размещать вредоносный код на популярных сайтах.

Спасибо кэп!

 

По оценкам Яндекса ежедневно в список зараженных сайтов попадают 5-10 популярных ресурсов с индексом цитирования более 1000, несколько раз в месяц вирус обнаруживается на высокорейтинговых сайтах — с индексом цитирования более 10000.

Раз в месяц вирус обнаруживается в таком "прекрасном сайте" как "Вконтакте".

[-=Kirill Strelets=-]

Раз в месяц вирус обнаруживается в таком "прекрасном сайте" как "Вконтакте".

Ага, особенно в рекламе слева)

Помню как-то одним из первых подхватил оттуда блокер под видом "халявных голосов", но тогда легче было с ними бороться - сделал экстренное выключение, включаешь компьютер и нет баннера+система чистая)

[Cihihen]

Пойди напиши на меня в компетентные органы, я ведь публично признался в воровстве,

Да хоть в убийстве Кеннеди. Но если докажут потом, то это будет как явка с повинной, которая смягчает вину и увеличивает наказание.

а по твоей теории а я сейчас продолжаю воровать.

А что в вашей психологии изменилось? В 14 лет денег нет - ворую, студент денег нет...

уже заезженная тема но все же - я бедный студент. откуда мне взять деньги взять? пойти работать? угу, и все это время работать на софт с музыкой? а у меня еще помимо софта есть другие потребности - с девушкой куда нибудь сходить, подарок другу на день рожденье купить. а я еще я хочу машину . . . старенькую, которой лет 10 и стоит которая будет 50-70к. жалко ли мне денег на софт с музыкой? хм, конечно не жалко . . . их просто нету.

PS лично я никогда и не скрывал что я "пират" . . . да и никто никогда не скрывал этого вообше то. а если кто то говорит что все покупает, не верьте ему. даже в это теме есть такой случай)))

Изменено 26 июня, 2011 пользователем Cihihen

[Zaitsev Oleg]

По оценкам Яндекса, общее число зараженных сайтов не превышает 1%.

Проиндексированные Яндексом страницы сайтов проходят проверку на наличие опасных элементов.

Для обнаружения опасных ресурсов Яндекс использует систему проверки, разработанную на базе технологии компании Sophos®.

 

В итоге впечатление, что миллион вредоносов в день пишутся для исследования скорости реагирования лабораторий различных антивирусных компаний.

И это не более чем впечатление. Давайте посчитаем вместе... пусть у нас имеется 10 миллионов сайтов (их куда больше, но берем мало-мальски популярные). 1% от них составит 100 тыс, и если на каждый из сайтов в день зайдет хотя-бы один человек - получим минимум 100 тыс. попыток заражения. А так как на многие сайты заходит далеко не один человек, то эта цифра быстро возрастет до миллионов заражений в сутки. Прибавим к этому великое множество зараженных флешек, сетевых и IM червяков (которым посещение заразного сайта не требуется) и т.п.. В итоге легко видеть, что получим десятки (если не сотни) миллионов вирусных инцидентов в сутки - и там как повезет, или что-то заблокирует малварь (сработает антивирус, Firewall, HIPS, грамотно настроенные привилегии, фильтры в браузере), или не повезет - и юзер будет заражен. В том-же 911 сейчас бывает от 150 новых заявок в день и 1500 в пике (в среднем 250-300 в сутки).

Теперь берем жизненный цикл создания малвари:

1. зловредописатель придумывает концепцию и алгоритм (т.е. какую цель он преследует, создавая зловреда). Обычно современная концепция так или иначе предполагает получение прибыли (от рассылки спама, DDOS, кражи неких данных, махинаций с электронными платежами ...)

2. реализует концепцию - в результате создается малварь, она тестируется, предпринимаются меры по защите от детекта малвари

3. производится распространение малвари - в итоте начинаются заражения ПК. За счет тотальной интернетизации распространение может идти очень быстро

4. малварь отлавливается и попадает в вирлабы (за счет "облаков" это бывает быстро) и в итоге начинает детектироваться - причем не важно, локально сигнатурно или путем тех-же облаков

5. зловредописатель видит, что его детище стали детектировать и распространение замедлилось, и зараженные ПК стали вылечиваться - и идет преход на п.п. 1 или 2

 

Сейчас вся эта цепочка может прокручиваться очень быстро - и зловредописатель может "штамповать" новые разновидности зверей десятками в день, пытаясь бороться с детектами. Причем цепочка может и не замыкаться - написали например злодеи вымогателя, распространенили, какие-то деньги "отбили" и все - зловреда на свалку, делается новый.

И как следствие, если ранее вирлабы реагировали на каждое обращение (ибо их было немного), то сейчас штучные обращение превлащаются в лавину.

А дальше моя "мысль вслух": за счет облаков возможна элементарная проверка - что это, некая популярная малварь, или что-то штучное и экзотическое, которого ни у кого на реальных ПК нет. И можно или все силы отдавать в первую очередь на борьбу с чем-то новым и популярным, а не с неизвестной экзотикой (она конечно тоже будет обработана, но вопрос именно о том, что лучше делать аналитику - быстренько сделать качественную эвристику на новую форму опасной малвари, и спасти миллионы ПК ... или потратить тоже время на изучение штучного перепакованного вручную семпла, к тому-же детектируемого ...)

Изменено 26 июня, 2011 пользователем Zaitsev Oleg

[kos1nus]

Мне думается Cihihen просто жаждит получить ЦП за флуд. Товарищи модераторы почему бы не удовлетворить желание пользователя?

 

 

А так как на многие сайты заходит далеко не один человек, то эта цифра быстро возрастет до миллионов заражений в сутки. Прибавим к этому великое множество зараженных флешек, сетевых и IM червяков (которым посещение заразного сайта не требуется) и т.п..

Ну сам факт посещения зараженного сайта еще не гарантирует заражения. Изменено 26 июня, 2011 пользователем kos1nus

[Cihihen]

В том-же 911 сейчас бывает от 150 новых заявок в день и 1500 в пике (в среднем 250-300 в сутки).

В сеть выходят миллионы пользователей и 250 - 300 заявок, а вредоносов выпускают миллион в день. Реально получается из миллиона вредоносов достигают цели ничтожные доли процента, заражения происходят в основном при нажатии фальшивой рекламы и добровольным согласием на установку таких же фальшивых кодеков и антивирусов. Исходя из этих цифр и складывается мнение.

Это мое личное мнение основанное на том, что при серфинге в интернете годами вирусов на компьютер не залетало, по крайней мере проверки разными продуктами подтверждают это.