'Virusscanners missen helft nieuwe malware'
Nieuwe malware wordt op de dag dat het voor het eerst verschijnt door slechts 51% van de virusscanners herkend. Dat stellen onderzoekers van Lastline Labs. Een jaar lang verzamelden de onderzoekers allerlei malware-exemplaren, om die vervolgens op VirusTotal.com te testen.
Deze website van Google gebruikt tientallen virusscanners die geüploade bestanden scannen. De website fungeert vooral als second opinion en is volgens de makers niet geschikt voor het testen en beoordelen van virusscanners. Zo gebruikt VirusTotal de commandline-versie van de virusscanners, die kan verschillen van de desktopversie waar de meeste consumenten mee werken.
Onderzoek
Toch besloot Lastline Labs de effectiviteit van 47 virusscanners met VirusTotal te beoordelen. Op de eerste dag dat er een nieuw malware-exemplaar verscheen werd dit door 51% van de scanners opgemerkt. Als geen van de virusscanners de malware op de eerste dag detecteerde, duurde het gemiddeld twee dagen voordat de malware door één scanner werd opgemerkt. Na twee weken steeg het aantal detecties naar 61%.
Gedurende de 365 dagen dat het onderzoek werd uitgevoerd had geen enkele virusscanner een 'perfecte dag', waarbij het alle nieuwe malware-exemplaren detecteerde. Verder bleek dat er na een jaar nog steeds exemplaren zijn die door 10% van de virusscanners nog steeds niet worden herkend.
en...
"The focus of this test is to determine how fast the anti-virus scanners catch up with new malware."
Zoals al zo vaak is gezegd en zelfs door dit "onderzoeks lab wordt bevestigd, kan VirusTotal niet als vergelijkings-tool worden gebruikt.
"How not to use VT: VirusTotal uses a group of very heterogeneous engines. AV products may implement roughly equivalent functionality in enormously different ways, and VT doesn’t exercise all the layers of functionality that may be present in a modern security product. VirusTotal uses command-line versions: that also affects execution context, which may mean that a product fails to detect something it would detect in a more realistic context. It uses the parameters that AV vendors indicate: if you think of this as a (pseudo)test, then consider that you’re testing vendor philosophy in terms of default configurations, not objective performance. Some products are targeted for the gateway: gateway products are likely to be configured according to very different presumptions to those that govern desktop product configuration."
Met alleen de (Linux) commandline scanner die op VirusTotal wordt gebruikt, is het niet te zeggen of de complete Security Suite met vele andere modules, de dreiging wel of niet stopt. En niemand werkt alleen met een commandline scanner.
Helaas blijven (her)publicaties van dit soort "onderzoeken" op sites zoals deze ervoor zorgen dat er altijd weer mensen zijn die het toch proberen om het nieuws te halen... En door deze (her)publicaties lukt hen dat aardig :-(
Lees eens: http://go.eset.com/us/resources/white-papers/cfet2011_multiscanning_paper.pdf, wat mede is geschreven door Julio Canto van VirusTotal...
Zelf heb ik hier al eens een wat langer stuk over geschreven: http://www.welivesecurity.com/2012/12/04/why-anti-virus-is-not-a-waste-of-money/
In http://go.eset.com/us/resources/white-papers/cfet2011_multiscanning_paper.pdf lees ik:
Nu is het denkbaar dat, naast patterns voor statische detectie (door commandlinescanners), AV producten ook patterns en/of code voor dynamische detectie distribueren, en dat dit bij sommige producten veel sneller gebeurt dan het distribueren van statische patronen zoals gebruikt door VT. In dat geval zou het gepubliceerde onderzoek een ander resultaat hebben opgeleverd indien volledige Security Suites waren getest.
Ik zegt niet dat je geen antivirus moet gebruiken, maar zelfs als dergelijke Security Suites zouden bestaan, blijft het bestrijden van malware een kat-en-muis spel en de keuze van de Secuity Suite een soort Russische roulette...
En juist daarom kan je VirusTotal niet gebruiken voor dit soort "onderzoeken" omdat het appels met peren vergelijken is.
Produkt A detecteert iets nieuws met de anti-virus scanner, produkt B detecteert dezelfde dreiging met een IPS/IDS module. In een VirusTotal overzicht zal Produkt A het wel detecteren en produkt B onterecht niet. En dan nog zegt dat niets over Produkt A. Bij een netwerk worm waarbij de code nooit op de harddisk geschreven wordt (oa CodeRed, Sasser, etc), dan lijkt het boij VirusTotal of Produkt A het detecteert, maar al wat ze detecteren is een geheugen fragment dat als bestand is weggeschreven. Het kan zo zijn dat Produkt A deze worm in het echt helemaal niet detecteert omdat de technologie daarvoor ontbreekt.
Nieuwe dreiging worden vaak op andere generieke manieren tegengehouden. Daarna worden ze toegevoegd aan de scanners om een naam aan de dreiging te geven omdat de mensen nu eenmaal graag iets willen benoemen,
Security specialisten missen wat dat betreft steeds de boot omdat ze zich binnen hun beperkte kringetje manoevreren.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
