Realtime apps en FTP zijn voorkeursdoelen van malware
Palo Alto Networks, leverancier van firewalls, publiceert de Modern Malware Review, een analyse van nieuwe malware die actieve bedrijfsnetwerken aanvalt.
Het onderzoek laat zien dat traditionele antivirussoftware het overgrote deel van malware dat netwerken via realtime applicaties als webbrowsing aanvalt, niet herkent. De Modern Malware Review is het eerste onderzoeksrapport dat het gedrag van onbekende malware gedurende de volledige levenscyclus onderzoekt. Die begint wanneer de malware het netwerk binnendringt. Vervolgens is gekeken naar het gedrag op de geïnfecteerde apparatuur en naar het uitgaande verkeer dat de malware genereert.
Belangrijke conclusies van het rapport zijn:
94 procent van de niet-ontdekte malware op netwerken kwam binnen via webbrowsing of webproxies;
zeventig procent van de malware liet identifiers achter in zijn verkeer of payload die voor beveiligingsteams bruikbaar waren voor detectie;
veertig procent van ogenschijnlijk unieke malware was in feite een opnieuw verpakte versie van dezelfde code;
FTP is een zeer effectieve methode om malware op een netwerk te plaatsen. 95 percent van de malware die via FTP binnenkwam, bleef door antivirusoplossingen meer dan dertig dagen onopgemerkt;
moderne malware is heel goed in staat om zich onopgemerkt te nestelen op een host device. De review beschrijft dertig verschillende technieken om de beveiliging te omzeilen. Meer dan de helft van alle malware richt zich sterk op het onopgemerkt blijven op het netwerk.
“Het is niet langer voldoende om de malware die de traditionele beveiliging omzeilt, te detecteren. Bedrijven mogen een completere oplossing van hun leveranciers verwachten”, zegt Wade Williamson, senior researchanalist bij Palo Alto Networks. “Dat is ook iets wat de Modern Malware Review signaleert – het analyseren van onopgemerkte malware in actieve netwerken heeft het mogelijk gemaakt om IT-securityteams te voorzien van praktische informatie voor het reduceren van bedreigingen die ze anders wellicht hadden gemist.”
De review biedt ook beleidsadvies dat security-managers helpt bij een betere bescherming van hun netwerken tegen malwareaanvallen. Een voorbeeld is de kennis dat een meerderheid van de malwarevarianten op dezelfde code zijn, zoals het Zeus-botnet. Hierdoor kunnen beveiligingsteams verschillende indicatoren gebruiken voor het identificeren van malware en policies ontwikkelen, die deze aanvallen automatisch afslaan.
“Security-managers worden dagelijks gebombardeerd met meldingen over de nieuwste malwarebedreigingen. Het handmatig onderzoeken van elke bedreiging om een antwoord te vinden, leidt voor elk team tot overbelasting”, zegt Phil Cummings, security-beheerder bij Health Information Technology Services in Nova Scotia. “Rapporten zoals de Modern Malware Review van Palo Alto Networks bieden concrete data en praktische aanbevelingen die mijn werk makkelijker maken.”
De Modern Malware Review analyseerde malware die Palo Alto Networks tussen oktober en december 2012 verzamelde via zijn WildFire-malwareanalyseservice. Het rapport beschrijft 26.000 verschillende malwarevarianten die niet waren opgemerkt door antivirusoplossingen.
Het rapport is beschikbaar op: http://www.paloaltonetworks.com/mmr
