Um número significante de novos tipos de malware não é detectado por programas antivírus - e algumas das ameaças permanecem ocultas por mais de um mês, disseram analistas da empresa de segurança Palo Alto Networks.
Baseando-se em três meses de dados de 1.000 de seus próprios clientes, a Palo Alto descobriu que o seu sistema detector de malware - chamado Wildfire - identificou 68.047 novos malwares, sendo que 40% deles (26.363) não foram bloqueados por seis programas antivírus "líderes de mercado" (mas que não tiveram seus nomes revelados).
Cerca de 90% das amostras detectadas chegaram via web, com programas tendo uma média de 20 dias para adicionar as ameaças aos seus sistemas de detecção. Um pequeno número de ameaças entregue via mídia social e FTP não foi detectado por mais de 31 dias.
A taxa de detecção de ameaças foi melhor para e-mails: apenas 2% delas foram repassadas para clientes e foi registrado cinco dias de espera, em média, para proteção.
Este é um assunto muito cobrado por fornecedores de antivírus, desse modo seremos bem claros quanto ao que a análise "Modern Review Malware" (.pdf) pode estar nos dizendo e o que não pode.
O Wildfire é basicamente um sistema de firewall em que binários desconhecidos são repassados para a nuvem para ver o que eles e o tráfego que geram estão tentando fazer - o último elemento é o que permite ao Wildfire detectar ameaças que antivírus não podem, ao menos em teoria.
Parte deste projeto não está muito longe do que empresas de antivírus que utilizam impressões digitais em nuvem também fazem, embora no caso de Palo Alto, o bloqueio subsequente de qualquer malware descoberto seja feito no nível do firewall e não pelo cliente.
De acordo com a Palo Alto, o problema inerente com malware web é o seu polimorfismo - basicamente o fato de que um servidor pode recodificar a carga (payload) para fazê-la parecer original, ou um "malware on demand". Por outro lado, malware de e-mails é estático e enviado em grandes quantidades - o que o torna mais visível.
O que o relatório não documenta (e não fomos capazes de confirmar) é se os programas antivírus também estavam sendo usados com algum tipo de sistema de impressão digital na web - que se caso estivessem, poderia ter impulsionado seu sucesso na detecção.
Com base nos programas usados, antivírus deixam de detectar ameaças em uma escala preocupante.
Como uma fabricante de firewalls baseados em aplicações high-end, a Palo Alto não está argumentando que esses antivírus sejam tão inúteis que a detecção deva ser colocada dentro da própria rede. Esta abordagem vai de encontro ao seu marketing, mas não sem alguma lógica.
A Palo Alto isolou 100 comportamentos que identificaram as mais de 26 mil ameaças desconhecidas, que de repente se tornaram aparentes. Isso incluiu a geração de tráfego TCP / UDP desconhecido (30%), visitar um domínio não registrado (24%), envio de e-mails (20%), além de uma variedade de outros comportamentos pouco ortodoxos incluindo conectar a um servidor DNS novo, download de arquivos com extensões incorretas, e visitar domínios recém-registrados.
Conclusão: antivírus tradicionais não tem uma esperança de localizar malware, porque eles são projetados para procurar arquivos, não tráfego.
Comentários