Door Anoniem: Door Bitwiper: Voor de detectie van de zero-day malware, wat in de definitie van AV-Test onbekende, nieuwe malware is, werd er een gemiddelde score van 98,9 procent gehaald.
Is er iemand die dit soort (vermoedelijk gesponsorde) leugens serieus neemt?
Kan je me duidelijk maken waar de leugen precies zit?
Ja. Het is
ONBESTAANBAAR dat zulke hoge scores worden gehaald bij malware
op het moment dat jij die als bijlage in jouw mailbox ontvangt, downloadt via een link waar jij op klikt, die door reeds gestarte malware wordt gedownload, of die via een gehackte (of ronduit foute) website wordt gepushed (exploit) of die jij vrijwillig downloadt (nepmelding dat je Flash-player o.i.d. moet updaten, of cracks e.d.).
De reden daarvoor is simpel: cybercriminelen zijn niet gek. Zij weten dat als hun malware meteen door de meeste virusscanners wordt gedetecteerd, hun slachtofferaantal (en dus de winst) laag zal zijn. Daarom maken ze hun malware, telkens opnieuw (soms meerdere keren per dag), niet-detecteerbaar voor de meeste virusscanners voordat ze deze "loslaten".
Er zijn noob-cybercriminelen die virustotal.com gebruiken om te testen door hoeveel virusscanners hun malware wordt gedeteerteerd. Dat is stom, want virustotal deelt geüploade bestanden met alle antivirusboeren en andere onderzoekers (zie bijv. deze PDF file van IBM security:
https://www.ibm.com/downloads/cas/O3W1LZAZ, bron:
https://www.zdnet.com/article/hackers-looking-into-injecting-card-stealing-code-on-routers-rather-than-websites/).
Er zijn echter ook (betaalde) virustotal-achtige diensten van en voor cybercriminelen, die zeggen gegevens niet te zullen delen (of dat zo is, moet je maar afwachten). De wat meer vermogende malware-ontwikkelaars hebben ongetwijfeld zelf een stel computers en/of VM's draaien, elk met volledig up-to-date virusscanner.
Daar komt bij dat het ontwijken van detectie helemaal niet moeilijk is: het kwaadaardige deel wordt versleuteld en de sleutel wordt ergens in het bestand verstopt. Detectie kan dan op twee manieren:
1) De antivirus software moet de malware in een sandbox gaan uitvoeren om te detecteren of deze iets keaadaardigs gaat doen. Dit is een kat-en-muisspel: een virusscanner mag natuurlijk niet te lang doen over het scannen, dus dat kunnen de makers oprekken. Bovendien is het vaak mogelijk voor de malware, zodra deze in een sandbox wordt uitgevoerd, dat deze ontdekt dat zij niet "vrij" op de PC draait (maar in een sandbox of vm), en zich dan anders gedraagt. Antivirussoftware verliest deze race voortdurend (immers, de criminelen prutsen net zo lang tot er geen of weinig detectie meer plaatsvindt).
2) Iemand vertrouwt het niet en uploadt de malware naar virustotal of zijn antivirusboer. Ook komt het voor dat antivirussoftware verdachte bestanden (die nog niet als malware worden herkend) ongevraagd uploadt naar het antivirusbedrijf voor nader onderzoek (uitvoeren in speciale testomgevingen of handmatig onderzoeken). Nadat is vastgesteld dat het om malware gaat, worden er "definities" voor gemaakt (en soms is een engine-update nodig). Die definities moeten worden getest (ze mogen geen false positives opleveren op systeembestanden, want dat leidt tot boze klanten). Daarna duurt het nog enige tijd voordat jouw virusscanner is voorzien van die nieuwe definities, waarna
dit specifieke exemplaar van deze malware zal worden herkend. Hier kan, afhankelijk van de antivirusboer en plaatselijke feestdagen, zomaar een werkdag overheen gaan (in mijn ervaring was Kaspersky vaak relatief snel, denk aan uren, en leek McAfee gesloten op zon- en feestdagen).
Zodra de malwaremakers zien dat te veel virusscanners (naar hun zin) hun versie detecteren, maken ze een nieuwe versie die weer niet of nauwelijks wordt gedetecteerd.
Door Anoniem: Je haalt aan dat er gemiddeld 98,9% van de in de test gebruikte zero-day malware herkend is. Kunnen die exemplaren die jij aanhaalt niet onder de 1,1% vallen die niet herkend wordt, of helemaal niet voorkomen in die 368 "zero day"-exemplaren die ze gebruikt hebben?
In theorie zou je gelijk kunnen hebben, maar nagenoeg alle verse malware die mijn collega's in het veld en ik analyseren, wordt aanvankelijk door enkele of geheel geen virusscanners herkend. En in nagenoeg alle gevallen zie je dat, als je de malware later (halve dag, hele dag, enkele dagen) aanbiedt aan virustotal, dat het aantal scanners toeneemt dat de malware herkent.
Ik heb hier vaak onderbouwing voor geleverd, Google naar:
site:security.nl bitwiper virustotalVoorbeeld:
https://www.security.nl/posting/526658/Falen+van+AV+industrie.
Maar je hoeft
mij niet te geloven; hou sites als
https://isc.sans.edu/ en
https://www.bleepingcomputer.com/ in de gaten; zodra daar een hash van verse malware wordt gepubliceerd, copy/paste je die hash naar
https://www.virustotal.com/gui/home/search en herhaal dat een aantal keren met een halve of hele dag ertussen. Merk ook op dat sommige virusscanners (ook veelgebruikte zoals Symantec en Trend Micro) sommige malware-exemplaren NOOIT herkennen (
dat is meestal niet zo erg; zodra veel scanners een exemplaar detecteren, zal dat vaak niet opnieuw worden ingezet - tenzij bij een targeted attack als de aanvaller weet dat jij net
die virusscanner gebruikt).
Door Anoniem: Dat je voorbeelden kan geven van malware die lang niet door alle scanners herkend wordt bewijst in mijn ogen niet dat AV-test liegt. Ze claimen namelijk helemaal niet dat 100% van de nieuwe malware herkend wordt, 98,9% is minder dan 100%.
Sure, maar het is ook wel eens "gemiddeld 100%" geweest, zie
https://www.security.nl/posting/525382/Test%3A+18+anti-viruspakketten+voor+Windows+10+vergeleken (en lees de onderste reactie daarop, en check enkele van de virustotal links voor detectie
op dit moment van genoemde malware-exemplaren).
Door Anoniem: Maar misschien mis ik iets. Kan je uitleggen waarom je voorbeelden een leugen aantonen?
Ik hoop dat ik je heb overtuigd. Dit soort tests zijn alleen in het belang van makers en verkopers van antimalware-produkten, en zeker niet van hun klanten. Die klanten wordt namelijk de leugen opgedrongen dat een virusscanner voldoende beschermt (1,1% risico is wellicht verwaarloosbaar), ze geen aanvullende maatregelen hoeven te nemen en straffeloos overal op kunnen klikken.