Перейти к содержанию

Сравнение скорости реагирования вирлабов на новые угрозы


akoK

Рекомендуемые сообщения

Командой SafeZone проведено исследование скорости реагирования лабораторий различных антивирусных компаний. Для тестирования авторами использован оригинальный способ сбивания детекта с дропперов актуальных вредоносных программ. Изучались различные пути подачи заявок: по официальной форме, размещённой на офсайтах, по электронной почте, посредством сервиса VirusTotal. Указана динамика и характер реакции лабораторий. Показано, что в настоящий момент большое количество лабораторий поручает разбор неизвестных зловредов автоматическим системам, некоторые разбирают крайне некачественно, пропуская новые вирусы и генерируя ложные срабатывания. Процент обратной связи с обратившимся низок даже в случае обработки образца.
Ссылка на комментарий
Поделиться на другие сайты

Хорошая статья. Основной вывод, который хотелось бы выделить и прокомментировать:

довольно простой образец положил на лопатки ряд лабораторий, нескольким другим потребовалось две попытки, ответ на образец, несмотря на оформление на официальном сайте и по всем правилам, приходил довольно долго, при этом фаворитами оказались совершенно не те вендоры, которые мы ожидали.

Если в году 2005 в день добавляли несколько тысяч вредоносов, в году 2008 этак десятков тысяч, то сейчас это число приближается уже к сотням тысяч, а то и миллиону... В день!

 

Сам в 2007 году ни раз отправлял в Лабораторию Касперского неопределяемых зверей, да и те же Avira и Eset. Капреский всегда отвечал, добавлял в базы, потом отвечать перестал, но в базы детектирования всё равно добавлял. А сейчас ни ответа, ни детекта. Очевидно, что не хватает человеческих ресурсов для анализа.

 

Пока вижу решение только в объединении сил нескольких компаний, либо вредоносы нас победят.

 

Ещё возможный путь на будущее - увеличение числа сотрудников и разработка автоматического продвинутого средства детектирования на стороне клиента. Хотя к последнему мы все уже и двигаемся - эта и та же песочница, и HIPS... Нужно развивать их, возможно, в будущем придётся и отказаться от сигнатурного детектирования и остаться только на HIPS'е и облачной защиты.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Если в году 2005 в день добавляли несколько тысяч вредоносов, в году 2008 этак десятков тысяч, то сейчас это число приближается уже к сотням тысяч, а то и миллиону... В день!

По теории вероятности вредоносы должны пачками сыпаться мне, да и знакомым на компьютеры. Но этого почему то не происходит. Годами ничего не залетает. Изредка браузер предупредит, что страница может быть не безопасна, да и то потому что перенаправляет по другому адресу. Где же этот миллион вирусов в день?

Компьютер периодически проверяется антивирусными средствами от разных производителей, но ничего вредного они не находят . В почте тоже ничего похожего не бывало.

Ссылка на комментарий
Поделиться на другие сайты

Раньше постоянно, когда лазил по интернету, цеплял вирусы. Сейчас ни одного месяцами... Это не от уменьшения числа вирусов, а от взросления что ли. Появилось парочка постоянных сайтов, которые посещается ежедневно, а они безопасные и проверенные.

 

О шквальном увеличении угроз читал недавно, по-моему, на securitylab.ru.

Ссылка на комментарий
Поделиться на другие сайты

Раньше постоянно, когда лазил по интернету, цеплял вирусы.

Наверное когда нажимали кнопочки типа "установить новый кодек", "проверить компьютер"?

Сейчас ни одного месяцами... Это не от уменьшения числа вирусов, а от взросления что ли.

С вирусами борются поисковые системы, им не выгоден "зараженный интернет" отображаемый в поиске, пользователи подсознательно будут избегать поисковик выдающий зараженные ссылки. Еще в 2006 году:

 

Секретные возможности поискового движка Google позволили обнаружить тысячи зараженных вирусами веб-сайтов. Большинство из этих ресурсов стали жертвами взломщиков и, сами не зная того, заражали системы своих клентов.

 

При помощи специально созданной утилиты исследователи из Websense за последний месяц обнаружили более 2000 сайтов, зараженных червями Bagel и Mytob. Это стало возможным благодаря особенности бинарного поиска Google, который позволяет просматривать информацию, содержащуюся в обычно нечитаемых exe-файлах. seonews.

Ссылка на комментарий
Поделиться на другие сайты

Появилось парочка постоянных сайтов, которые посещается ежедневно, а они безопасные и проверенные.

По оценкам Яндекса, общее число зараженных сайтов не превышает 1%.

Проиндексированные Яндексом страницы сайтов проходят проверку на наличие опасных элементов.

Для обнаружения опасных ресурсов Яндекс использует систему проверки, разработанную на базе технологии компании Sophos®.

 

В итоге впечатление, что миллион вредоносов в день пишутся для исследования скорости реагирования лабораторий различных антивирусных компаний.

Изменено пользователем Cihihen
Ссылка на комментарий
Поделиться на другие сайты

В итоге впечатление, что миллион вредоносов в день пишутся для исследования скорости реагирования лабораторий различных антивирусных компаний.

 

Скорее всего для красивой статистики :)

Ссылка на комментарий
Поделиться на другие сайты

Раньше постоянно, когда лазил по интернету, цеплял вирусы. Сейчас ни одного месяцами... Это не от уменьшения числа вирусов, а от взросления что ли. Появилось парочка постоянных сайтов, которые посещается ежедневно, а они безопасные и проверенные.
У меня так же, но я не думаю что причина этому взросление, по крайней мере не прямая.

 

Не так давно большая часть софта используемого на компе была платной, ну для кого платной, а для кого ломанной (Ну а что вы хотите чтобы подросток 14-16 лет брал и покупал все это?). особенно это касалось всяких игрушек. каждую вторую софтину приходилось ломать. И если не подхватишь заразу в инете, пока ищешь "лом", то большая вероятность что сюрприз ждет тебя "внутри" ключа к софтине. сейчас большая часть софта просто бесплатна. нет необходимости шариться по темным закоулкам интернета. Ну а подхватить заразу на каком нибудь, вполне приличном, сайте, я считаю, крайне мала. Просто посещение подобного ресурса еще гарантирует заражения, нужно чтоб ну ПК были уязвимости, на которые рассчитан зловред.

 

С вирусами борются поисковые системы, им не выгоден "зараженный интернет" отображаемый в поиске, пользователи подсознательно будут избегать поисковик выдающий зараженные ссылки. Еще в 2006 году:
это тоже наверное внесло огромный вклад, только вот не думаю что гугл потерял бы популярность не введя подобную систему. но в любом случае спасибо им за это. Изменено пользователем kos1nus
Ссылка на комментарий
Поделиться на другие сайты

Не так давно большая часть софта используемого на компе была платной, ну для кого платной, а для кого ломанной (Ну а что вы хотите чтобы подросток 14-16 лет брал и покупал все это?).

Если в 14-16 лет человек ворует, то вряд ли психология сильно изменится с возрастом. Оправдания будут другие (зарплата низкая, назло буржуям и т.п.), масштаб воровства может изменится, мелочь будет безопаснее купить на украденные миллионы.

большая вероятность что сюрприз ждет тебя "внутри" ключа к софтине.

Ключи не сложно проверить на сюрпризы даже при помощи онлайновых сервисов, где всегда свежие базы таких сюрпризов.

Ну а подхватить заразу на каком нибудь, вполне приличном, сайте, я считаю, крайне мала.

Злоумышленникам выгоднее всего размещать вредоносный код на популярных сайтах.

По оценкам Яндекса ежедневно в список зараженных сайтов попадают 5-10 популярных ресурсов с индексом цитирования более 1000, несколько раз в месяц вирус обнаруживается на высокорейтинговых сайтах — с индексом цитирования более 10000.

это тоже наверное внесло огромный вклад, только вот не думаю что гугл потерял бы популярность не введя подобную систему.

А введя систему Google приобрел дополнительную популярность, в Яндексе это тоже поняли и с мая 2009 года Яндекс проверяет индексируемые веб-страницы и предупреждает пользователей об опасных сайтах.

Ссылка на комментарий
Поделиться на другие сайты

Если в 14-16 лет человек ворует, то вряд ли психология сильно изменится с возрастом. Оправдания будут другие (зарплата низкая, назло буржуям и т.п.),
Еще одна мудрая глупость от Cihihen'a, но что бы не развивать срач я проигнорирую ее. Пойди напиши на меня в компетентные органы, я ведь публично признался в воровстве, а по твоей теории а я сейчас продолжаю воровать.

 

Злоумышленникам выгоднее всего размещать вредоносный код на популярных сайтах.
Спасибо кэп!

 

По оценкам Яндекса ежедневно в список зараженных сайтов попадают 5-10 популярных ресурсов с индексом цитирования более 1000, несколько раз в месяц вирус обнаруживается на высокорейтинговых сайтах — с индексом цитирования более 10000.
Раз в месяц вирус обнаруживается в таком "прекрасном сайте" как "Вконтакте".
Ссылка на комментарий
Поделиться на другие сайты

Раз в месяц вирус обнаруживается в таком "прекрасном сайте" как "Вконтакте".

Ага, особенно в рекламе слева)

Помню как-то одним из первых подхватил оттуда блокер под видом "халявных голосов", но тогда легче было с ними бороться - сделал экстренное выключение, включаешь компьютер и нет баннера+система чистая)

Ссылка на комментарий
Поделиться на другие сайты

Пойди напиши на меня в компетентные органы, я ведь публично признался в воровстве,

Да хоть в убийстве Кеннеди. Но если докажут потом, то это будет как явка с повинной, которая смягчает вину и увеличивает наказание.

а по твоей теории а я сейчас продолжаю воровать.

А что в вашей психологии изменилось? В 14 лет денег нет - ворую, студент денег нет...

уже заезженная тема но все же - я бедный студент. откуда мне взять деньги взять? пойти работать? угу, и все это время работать на софт с музыкой? а у меня еще помимо софта есть другие потребности - с девушкой куда нибудь сходить, подарок другу на день рожденье купить. а я еще я хочу машину . . . старенькую, которой лет 10 и стоит которая будет 50-70к. жалко ли мне денег на софт с музыкой? хм, конечно не жалко . . . их просто нету.
PS лично я никогда и не скрывал что я "пират" . . . да и никто никогда не скрывал этого вообше то. а если кто то говорит что все покупает, не верьте ему. даже в это теме есть такой случай)))
Изменено пользователем Cihihen
  • Не согласен 1
Ссылка на комментарий
Поделиться на другие сайты

По оценкам Яндекса, общее число зараженных сайтов не превышает 1%.

Проиндексированные Яндексом страницы сайтов проходят проверку на наличие опасных элементов.

Для обнаружения опасных ресурсов Яндекс использует систему проверки, разработанную на базе технологии компании Sophos®.

 

В итоге впечатление, что миллион вредоносов в день пишутся для исследования скорости реагирования лабораторий различных антивирусных компаний.

И это не более чем впечатление. Давайте посчитаем вместе... пусть у нас имеется 10 миллионов сайтов (их куда больше, но берем мало-мальски популярные). 1% от них составит 100 тыс, и если на каждый из сайтов в день зайдет хотя-бы один человек - получим минимум 100 тыс. попыток заражения. А так как на многие сайты заходит далеко не один человек, то эта цифра быстро возрастет до миллионов заражений в сутки. Прибавим к этому великое множество зараженных флешек, сетевых и IM червяков (которым посещение заразного сайта не требуется) и т.п.. В итоге легко видеть, что получим десятки (если не сотни) миллионов вирусных инцидентов в сутки - и там как повезет, или что-то заблокирует малварь (сработает антивирус, Firewall, HIPS, грамотно настроенные привилегии, фильтры в браузере), или не повезет - и юзер будет заражен. В том-же 911 сейчас бывает от 150 новых заявок в день и 1500 в пике (в среднем 250-300 в сутки).

Теперь берем жизненный цикл создания малвари:

1. зловредописатель придумывает концепцию и алгоритм (т.е. какую цель он преследует, создавая зловреда). Обычно современная концепция так или иначе предполагает получение прибыли (от рассылки спама, DDOS, кражи неких данных, махинаций с электронными платежами ...)

2. реализует концепцию - в результате создается малварь, она тестируется, предпринимаются меры по защите от детекта малвари

3. производится распространение малвари - в итоте начинаются заражения ПК. За счет тотальной интернетизации распространение может идти очень быстро

4. малварь отлавливается и попадает в вирлабы (за счет "облаков" это бывает быстро) и в итоге начинает детектироваться - причем не важно, локально сигнатурно или путем тех-же облаков

5. зловредописатель видит, что его детище стали детектировать и распространение замедлилось, и зараженные ПК стали вылечиваться - и идет преход на п.п. 1 или 2

 

Сейчас вся эта цепочка может прокручиваться очень быстро - и зловредописатель может "штамповать" новые разновидности зверей десятками в день, пытаясь бороться с детектами. Причем цепочка может и не замыкаться - написали например злодеи вымогателя, распространенили, какие-то деньги "отбили" и все - зловреда на свалку, делается новый.

И как следствие, если ранее вирлабы реагировали на каждое обращение (ибо их было немного), то сейчас штучные обращение превлащаются в лавину.

А дальше моя "мысль вслух": за счет облаков возможна элементарная проверка - что это, некая популярная малварь, или что-то штучное и экзотическое, которого ни у кого на реальных ПК нет. И можно или все силы отдавать в первую очередь на борьбу с чем-то новым и популярным, а не с неизвестной экзотикой (она конечно тоже будет обработана, но вопрос именно о том, что лучше делать аналитику - быстренько сделать качественную эвристику на новую форму опасной малвари, и спасти миллионы ПК ... или потратить тоже время на изучение штучного перепакованного вручную семпла, к тому-же детектируемого ...)

Изменено пользователем Zaitsev Oleg
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Мне думается Cihihen просто жаждит получить ЦП за флуд. Товарищи модераторы почему бы не удовлетворить желание пользователя?

 

 

А так как на многие сайты заходит далеко не один человек, то эта цифра быстро возрастет до миллионов заражений в сутки. Прибавим к этому великое множество зараженных флешек, сетевых и IM червяков (которым посещение заразного сайта не требуется) и т.п..
Ну сам факт посещения зараженного сайта еще не гарантирует заражения. Изменено пользователем kos1nus
Ссылка на комментарий
Поделиться на другие сайты

В том-же 911 сейчас бывает от 150 новых заявок в день и 1500 в пике (в среднем 250-300 в сутки).

В сеть выходят миллионы пользователей и 250 - 300 заявок, а вредоносов выпускают миллион в день. Реально получается из миллиона вредоносов достигают цели ничтожные доли процента, заражения происходят в основном при нажатии фальшивой рекламы и добровольным согласием на установку таких же фальшивых кодеков и антивирусов. Исходя из этих цифр и складывается мнение.

Это мое личное мнение основанное на том, что при серфинге в интернете годами вирусов на компьютер не залетало, по крайней мере проверки разными продуктами подтверждают это.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • VladNotTheVampire
      От VladNotTheVampire
      Поймал судя по всему майнер. Откуда - идей нет. Как понял - нагружает систему на максимум,  температура проца улетает в 90 - 100 градусов, сразу после запуска ОС. Пара игр не запускалась, через 10-15 минут запускались, без каких-либо действий для починки. При открытии диспетчера задач - вирус прячется и уходит в инактив. Поставил DrWeb - он обнаруживает его, выдает следующее:
       
      Ручками найти не удалось.
      Прогнал ПК через Kaspersky Virus Removal Tool, Dr.Web CureIt!, ESET Online Scanner, HitmanPro 3.8 и AdwCleaner. Проверку выполнял в безопасном режиме с флажком на Сеть. Результата не дало.
      CollectionLog-2024.12.02-13.47.zip
    • qvotop
      От qvotop
      Здравствуйте. Неделю назад заметил такую проблему, что, когда открываю кс2, падает скорость интернета. В кс2 я нахожусь в лобби, то есть практически не нагружаю сеть. Я замерил скорость интернета в соседней комнате при закрытой кс2 - 42мбит/с. При открытой - 20мбит/с. Если я её сверну (а не закрою), измерю скорость интернета, то скорость будет 42мбит/с. А если разверну, то скорость придёт в норму (42мбит/с), но ненадолго, через какое время точно сказать не могу, но то что она через время опять падает факт (потому что при игре в кс2 у другого человека в соседней комнате плохо грузит интернет, хотя в той сессии игры, при которой у человека был плохой интернет, я точно сворачивал и разворачивал игру( я это пишу к тому, что сворачивание не лечит проблему)). Я проверял нагрузку на сеть через диспетчер задач и монитор ресурсов при такой аномалии, но нигде скачков интернета не было. Прогонял пк через антивирус, он нашёл какой-то Trojan.Win64.Agent.qwlfvi. Эта штука появилась после того, как я скачивал от человека, которому доверял, уникализатор фотографий и как раз вроде после этого началась вот такая фигня. Ещё до завершения проверки я через антивирус удалил этот объект, но плашка о том, что один объект не обработан ещё висит (и ссылка идёт на тот объект, который я уже удалил). Я бы сюда прикрепил этот архив с уникализатором, но он весит 94 мб, а тут максимум 5мб 

      CollectionLog-2024.08.02-20.39.zip
    • KL FC Bot
      От KL FC Bot
      Требования, которые онлайн-сервисы предъявляют при проверке своих пользователей, — будь то длина пароля, обязательное указание номера телефона или необходимость биометрической проверки с подмигиванием, зачастую регулируются индустриальными стандартами. Одним из важнейших документов в этой сфере является NIST SP 800-63, Digital Identity Guidelines, разработанный Национальным институтом стандартов и технологий США. Требования этого стандарта обязательны для выполнения всеми государственными органами страны и всеми их подрядчиками, но на практике это означает, что их выполняют все крупнейшие IT-компании и действие требований ощущается далеко за пределами США.
      Даже организациям, которые не обязаны выполнять требования NIST SP 800-63, стоит глубоко ознакомиться с его обновленными требованиями, поскольку они зачастую берутся за основу регуляторами в других странах и индустриях. Более того, свежий документ, прошедший четыре раунда публичных правок с индустриальными экспертами, отражает современный взгляд на процессы идентификации и аутентификации, включая требования к безопасности и конфиденциальности, и с учетом возможного распределенного (федеративного) подхода к этим процессам. Стандарт практичен и учитывает человеческий фактор — то, как пользователи реагируют на те или иные требования к аутентификации.
      В новой редакции стандарта формализованы понятия и описаны требования к:
      passkeys (в стандарте названы syncable authenticators); аутентификации, устойчивой к фишингу; пользовательским хранилищам паролей и доступов — кошелькам (attribute bundles); регулярной реаутентификации; сессионным токенам. Итак, как нужно аутентифицировать пользователей в 2024 году?
      Аутентификация по паролю
      Стандарт описывает три уровня гарантий (Authentication Assurance Level, AAL), где AAL1 соответствует самым слабым ограничениям и минимальной уверенности в том, что входящий в систему пользователь — тот, за кого себя выдает. Уровень AAL3 дает самые сильные гарантии и требует более строгой аутентификации. Только на уровне AAL1 допустим единственный фактор аутентификации, например просто пароль.
       
      View the full article
    • Остафьево
      От Остафьево
      Подскажите пожалуйста как подключить компьютеры под управление нового сервера администрирования (Security Center 15) при условии что доступа к старому нет.
    • KL FC Bot
      От KL FC Bot
      Недавно нам удалось повысить точность обнаружения целевого фишинга и атак при помощи компрометации деловой переписки (BEC) путем добавления одной маленькой и, в общем-то, банальной проверки. Если письмо по какой-то причине вызывает у нашего почтового движка подозрение, мы сверяем домен из технического заголовка From с доменом из поля Reply-To. Смешно, но эта простая проверка позволяет отсеять значительную часть достаточно сложных атак. В этом посте рассказываем, почему это работает.
      Как выявляют сложные почтовые атаки
      Операторы целевых почтовых атак традиционно прикладывают значительные усилия для маскировки своих писем под легитимные. Это не те ребята, которые прикладывают к письму файл, где детектируется троян, да и фишинговые ссылки они стараются скрыть под несколькими слоями хитроумных уловок. Поэтому защитные решения, способные выявлять письма с такими атаками, редко выносят вердикт на основании какого-то одного критерия — чаще всего они выявляют совокупность подозрительных признаков. Сверка полей From и Reply-To — это еще один из таких критериев.
       
      View the full article
×
×
  • Создать...