Modern Malware Review от Palo Alto Networks: Современные вредоносные программы предпочитают FTP и приложения в реальном времени

Ключевые результаты исследования:

• 94% полностью не детектируемых образцов вредоносного ПО доставляется через веб-браузеры или через веб-прокси.

• 70% вредоносов оставляют идентификаторы при исполнении или передаче данных, которые можно использовать для детектирования.

• 40% на первый взгляд уникальных вредоносных программ на самом деле являются версий одного и того же кода.

• Самым эффективным методом для внедрения вредоносного ПО в сеть аналитики признали FTP. 95% вредоносных программ проникают в сеть через FTP и остаются незамеченными антивирусными программами более чем 30 дней.

• Было выявлено 30 различных методов уклонения от систем безопасности и более половины всех методов были нацелены на то, чтобы вредоносы оставались незамеченными.

«Недостаточно просто обнаружить вредоносное ПО, которое способно уклоняться от традиционных средств защиты. Корпоративным предприятиям следует требовать более комплексного подхода по предотвращению заражения от производителей используемых ими средств, - считает старший аналитик Palo Alto Networks Уэйд Уильямсон. - Это как раз то, о чем сообщается в Modern Malware Review. Анализ незамеченных традиционными средствами защиты вредоносных программ в реальных сетях позволил нам вооружить ИТ-службы безопасности необходимой и полезной информацией в отношении угроз, которые они могли бы пропустить».

В обзоре есть рекомендации, которые помогут службам безопасности лучше защитить свои сети от распространения вредоносного ПО и сетевых атак. Зная, что большинство вредоносных программ – это просто локализованные и переупакованные версии одного и того же кода (например, Zeus botnet), службы безопасности могут использовать различные показатели для его детектирования и автоматического блокирования.

«Службы безопасности ежедневно получают огромное количество предупреждений о последних вредоносах и анализ вручную каждой угрозы с целью создания правильной блокирующей политики сделал бы невозможной нормальную работу администраторов ИБ, - заявил администратор безопасности Health Information Technology Services of Nova Scotia Фил Каммингс. - Такие отчеты как Modern Malware Review от Palo Alto Networks, основанные на реальных данных, дают действенные рекомендации по созданию политики безопасности, которые значительно облегчают мою работу».

Отчет Modern Malware Review основан на данных, собранных в октябре-декабре 2012 г. с помощью сервиса WildFire. Было обнаружено 26 тыс. различных образцов новых сетевых вредоносов, ранее неизвестных ни одному антивирусному продукту на рынке.