Antivirus “next-gen”: Virustotal non è sempre un buon indicatore del tasso di rilevamento di malware

by The Daily Geek 75 views0

Virustotal è stato per anni uno strumento affidabile per chiunque abbia a che fare con i malware a livello professionale. La piattaforma consente di caricare rapidamente un file o utilizzare un valore hash per verificare se i motori di scansione degli antivirus già rilevano i malware più attuali. Allo stesso modo, Virustotal viene anche utilizzato dai media per verificare se esiste una protezione antivirus efficace contro eventuali campagne malware in circolazione.

Tuttavia, e soprattutto quando ci si confronta con attacchi repentini e di breve durata, il servizio presenta spesso un quadro inesatto: nei primi giorni della diffusione di nuovi software dannosi – come nel caso della campagna ransomware ai danni dei dipartimenti delle risorse umane con GandCrab – il malware viene rilevato dai programmi antivirus della maggior parte delle società di sicurezza attraverso tecnologie di rilevamento euristico e tramite confronto dei valori hash dei file con i servizi cloud dei rispettivi produttori. Virustotal mostra però solo il “classico” riconoscimento dei malware, basato sulle firme. Detto questo, “Virus Total è un buon indicatore generale del tasso di rilevamento dei malware, ma è inadatto a determinare se un malware in circolazione proprio in questo momento sia identificato o meno”, afferma Ralf Benzmüller, Executive Speaker dei G DATA Security Labs.

Mentre quindi la panoramica Virustotal – prendendo ad esempio la campagna GandCrab – indicava anche che solo pochi produttori erano in grado di riconoscere i campioni forniti come dannosi, G DATA e certamente altri produttori sono stati in grado di prevenire con successo le infezioni. “Grazie alla nostra tecnologia Filecloud e ad altre tecnologie NGAV (next generation Antivirus), rispondiamo rapidamente alle nuove campagne malware. In alcuni dei casi più recenti ad esempio abbiamo bloccato l’11,6% dei tentativi di infezione solo con questi strumenti”, afferma Thomas Siebert, responsabile delle tecnologie di protezione di G DATA.

Software antivirus: da tempo più che solo semplici signature

L’industria antivirus ha vissuto un’enorme evoluzione negli ultimi 20 anni. Poiché i campioni di malware vengono modificati a ritmi sempre più serrati per evitarne il rilevamento, quasi tutti i produttori si affidano a componenti antivirus di prossima generazione. “Noi impieghiamo il Filecloud precedentemente menzionato per bloccare eventuali campioni sospetti molto più velocemente che tramite meri aggiornamenti delle firme, ma Filecloud è solo una parte del nostro sistema di apprendimento automatico” commenta Siebert. Ne fa parte anche la tecnologia anti-ransomware sviluppata da G DATA, che protegge gli utenti in modo affidabile contro la cifratura del disco rigido. Per l’utenza privata, questo componente è attivato di fabbrica, i clienti aziendali invece ne possono beneficiare – se lo desiderano – attivando manualmente la funzione inclusa nelle suite Business G DATA. “Una scelta che non possiamo che raccomandare”, conclude Siebert.

Questa tecnologia monitora in background se vengono attivati comandi sospetti come una cifratura di massa dei file senza alcun ordine preciso da parte dell’utente. “Oltre ad essere un ottimo strumento per la protezione degli utenti, la tecnologia anti-ransomware rappresenta per noi un sistema di allarme precoce”, afferma Sana. “Ci consente infatti di bloccare a priori eventuali azioni di danneggiamento da parte di software non riconosciuti e di guadagnare tempo per condurre le analisi necessarie a fornire un’ampia protezione per tutti gli utenti.”

Rilevamento euristico del malware

Anche il G DATA Behavior Blocker – ovvero la difesa contro il malware basata sul comportamento dello stesso – rientra nell’area delle tecnologie di prossima generazione. Qui, azioni sospette possono essere bloccate in base a indicatori specifici. Questo tipo di rilevamento euristico dei malware identifica la creazione non autorizzata di nuove voci di avvio automatico o l’alterazione sospetta di stringhe nel registro di sistema di Windows, la moltiplicazione di file .exe o .dll nella directory system32 o la modifica dei file di host. Un processo con cui in passato, ad esempio, venivano eseguiti attacchi ai servizi di online banking. Quando alcuni di questi comportamenti si palesano, si innesca il rilevamento.

“Per assicurare la massima capacità di rilevamento, i G DATA SecurityLabs elaborano diverse centinaia di migliaia di campioni al giorno, inclusa l’esecuzione automatica dei campioni tramite un ampio cluster di sistemi di analisi (“sandbox”). Le caratteristiche rilevate sono archiviate sotto forma di svariati milioni di nuovi nodi e connessioni tra i nodi in una enorme banca dati grafica”, spiega Siebert. In questo modo è possibile determinare quali caratteristiche in quale combinazione e ponderazione danno luogo all’identificazione del malware. Un’attività a cui contribuiscono anche i processi di apprendimento automatico.

In tal senso, gli utenti privati come aziendali che fruiscono di soluzioni antivirus di nuova generazione, possono sentirsi ben protetti anche contro nuove famiglie di malware, a dispetto di quanto può essere segnalato in primo acchito su Virustotal.

(

Lascia un commento

Your email address will not be published.

Puoi usare i seguenti tag e attributi HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>