web-dev-qa-db-ja.com

ゼロデイマルウェアに対してAVをどのようにテストしますか?

最近、マルウェア対策ソフトウェアに関する記事をいくつか読んだところ、目を引くのがゼロデイ攻撃を検出できることでした。

要するに、マルウェア対策/ウイルス対策業界は、ゼロデイ脅威に対して自社のソフトウェアをどのようにテストするのでしょうか? AV Xがシステムをゼロデイウイルスの93%から保護していると誰かが主張することはできますか?

3
StupidOne

まず、事実上すべてのAV企業にはいくつかの「フライトラップ」または「ハニーポット」があります。フライトラップは、マルウェアを「キャッチ」するために存在する、インターネットアクセスとゼロ保護を備えたデスクトップコンピューターのネットワークです。コンピューター上のボットスクリプトは、危険なサイトを探してWebをクロールし、私たちの通常の人々にドリルダウンされる安全なブラウジングのためのすべてのルールを破ります。その結果、それらはほとんどコンピューターウイルスのシャーレになります。

これらのフライトラップは、セキュリティの専門家に2つの価値のある目的を果たします。まず、これらのボックスはこれまで見られなかった新しいマルウェアをキャッチし、ゼロデイ脅威が存在することを専門家に通知します。第2に、新しいものを分離したら、それを完全に分離された「クリーン」なフライトラップに導入し、多数の監視ツールを使用して、その動作を監視できます。それがどのように複製されるか、どのプロトコルとポートを使用するか、どのファイルを変更するか、どのような悪影響を与えるかを確認してください。一般に、AV加入者をこの新しい脅威から保護するために彼らが知る必要があるすべてのこと。彼らはまた、AVソフトウェアで保護されたコンピューターにそれを導入し、それがどれほどうまくいくかを見ることができます。 AVが検出および防止できないウイルスの処理はすべて、ウイルス定義ファイルまたはヒューリスティックアルゴリズムを調整してこの既知の脅威を追加することにより、具体的に調べることができます。

さらに、AVの専門家は何年もこの場所にいます。数十年も。ニュース記事には、Confickr、Storm、Stuxnetなどのワームが報告されていますが、これらは注目に値する年間2〜3年です。 数千毎年、新しいウイルスの数は報告されていません。なぜなら、それらは本当に、AV関係者がすでに知っていることの単なる再ハッシュに過ぎないからです。 Techbrunchが言ったように、ほとんどのAVには、特定の既知のウイルスを探すことに加えて、ヒューリスティック検出アルゴリズムが階層化されています。明白なターゲット(カーネル、デバイスドライバー、ネットワークアダプター、I/Oフック)であるコンピューターの領域があり、それらに到達しようとするよく知られた方法があります。 AVアルゴリズムは、保護されたシステムを継続的にスキャンして、これらの一般的なレッドフラグを探します。それらの何千もの新しいが未オリジナルのウイルスがヒューリスティック検出をトリップし、AVがソースに問い合わせ、情報を収集し、悪意のある影響を受けた可能性があるものを隔離し、この新しい潜在的なマルウェアを報告するために家に電話します。このヒューリスティックアルゴリズムは、基本的に、世界中のすべてのAV保護コンピューターを、AVを作成する会社の巨大なフライトラップに変えます。現実の世界で発生している感染を確認するよりも、何を防御する必要があるかを確認するためのより良い方法は何ですか?

4
KeithS