비디오: [íì´í¸ë³´ë]ê°ìí íê²½ì ì¤í ë¦¬ì§ âIP SANâì ì ííë ì´ì (십월 2024)
Palo Alto Networks에 따르면 웹 기반 멀웨어는 이메일 기반 멀웨어보다 기존 보안 방어를 우회하는 것이 더 좋습니다.
Palo Alto Networks는 월요일에 발표 된 Modern Malware Review 보고서에서 발견 된 이메일은 계속해서 맬웨어의 주요 소스 인 반면, 알 수없는 맬웨어의 대부분은 웹 애플리케이션을 통해 밀려납니다. "알려지지 않은 맬웨어"사용자 중 거의 90 %가 웹을 탐색 한 데 비해 전자 메일에서 발생하는 비율은 2 %에 불과합니다.
이 보고서에서 "알 수없는 악성 코드"는 회사의 Wildfire 클라우드 서비스에서 탐지 된 6 개의 "업계 최고의"안티 바이러스 제품이 누락 된 악성 샘플을 의미한다고 Palo Alto Networks는 보고서에서 밝혔다. 연구원들은 회사의 차세대 방화벽을 구축하고 선택적 Wildfire 서비스에 가입 한 1, 000 명 이상의 고객의 데이터를 분석했습니다. WildFire에서 악성 프로그램으로 신고 한 68, 047 개 샘플 중 26, 363 개 샘플 또는 40 %가 안티 바이러스 제품에서 탐지되지 않았습니다.
Palo Alto Networks는 "알려지지 않은 악성 코드는 웹 기반 소스에서 압도적이며, 기존 AV 제품은 전자 메일을 통해 전달되는 악성 코드로부터 훨씬 더 잘 보호됩니다."
감지되지 않은 상태로 유지하기위한 많은 노력
Palo Alto Networks는이 악성 코드의 지능이 보안 툴에 의해 탐지되지 않은 채로 남아 있다고 전했다. 연구원들은 초기 감염 후 오랫동안 "휴면 상태"를 유지하거나 보안 도구를 비활성화하고 운영 체제 프로세스를 중지하는 등 맬웨어를 탐지하지 못하도록 돕는 30 가지 이상의 동작을 관찰했습니다. 실제로 Palo Alto Networks가 관찰 한 맬웨어 활동 및 동작 목록 중 52 %는 보안 회피에 중점을 두 었으며, 15 %는 해킹 및 데이터 도난에 중점을 두었습니다.
다른 공급 업체의 이전 보고서는 안티 바이러스 제품이 사용자를 안전하게 유지하는 데 비효율적이라고 주장하기 위해 알려지지 않은 수많은 맬웨어를 지적했습니다. Palo Alto Networks는이 보고서의 목표는 이러한 샘플을 탐지하지 못하도록 안티 바이러스 제품을 호출하는 것이 아니라 안티 바이러스 제품이 따라 오기를 기다리는 동안 위협을 탐지하는 데 사용될 수있는 맬웨어 샘플의 공통성을 식별하는 것이 었습니다.
알려지지 않은 샘플의 거의 70 %가 실시간 제어 및 차단에 사용될 수있는 "고유 식별자 또는 행동"을 나타냈다 고 Palo Alto Networks는 보고서에서 밝혔다. 동작에는 맬웨어에 의해 생성 된 사용자 지정 트래픽과 맬웨어가 접촉 한 원격 대상이 포함되었습니다. 보고서의 약 33 %가 새로 등록 된 도메인과 동적 DNS를 사용하는 도메인에 연결 한 반면 20 %는 이메일을 보내려고 시도했다. 공격자는 종종 동적 DNS를 사용하여 보안 제품이 블랙리스트에 올 때 쉽게 포기할 수있는 사용자 지정 도메인을 즉시 생성합니다.
또한 공격자는 포트 443에서 암호화되지 않은 트래픽을 보내거나 80 이외의 포트를 사용하여 웹 트래픽을 보내는 것과 같은 비표준 웹 포트를 사용했습니다. FTP는 일반적으로 포트 20과 21을 사용하지만이 보고서는 237 개의 다른 포트를 사용하여 FTP 트래픽을 전송하는 맬웨어를 발견했습니다.
멀웨어 감지 지연
안티 바이러스 공급 업체는 이메일을 통해 탐지 된 알 수없는 맬웨어 샘플에 대한 서명을 제공하는 데 평균 5 일이 걸렸으며 웹 기반 샘플의 경우 거의 20 일이 걸렸습니다. Palo Alto Networks는 FTP가 알려지지 않은 악성 코드의 4 번째 소스 였지만 31 일 후에도 거의 95 %의 샘플이 탐지되지 않았다고 밝혔다. 보고서에 따르면 소셜 미디어를 통해 제공되는 악성 코드에도 안티 바이러스에 의해 탐지되지 않은 변종이 30 일 이상 남아 있습니다.
보고서에 따르면 기존의 AV 솔루션은 전자 메일 외부의 맬웨어를 탐지 할 가능성이 훨씬 낮을뿐 아니라 범위를 파악하는 데 훨씬 오래 걸립니다.
Palo Alto Networks는 샘플 크기의 차이가 안티 바이러스가 맬웨어를 탐지하는 데 얼마나 효과적인 지에 영향을 미쳤다고 말했다. 전자 메일을 통한 위협의 경우 동일한 맬웨어가 많은 대상에 제공되어 바이러스 백신 공급 업체가 파일을 탐지하고 분석 할 가능성이 높아집니다. 반대로 웹 서버는 서버 측 다형성을 사용하여 공격 웹 페이지가로드 될 때마다 악성 파일을 사용자 지정하여 더 많은 수의 고유 한 샘플을 생성하고 샘플을 탐지하기 어렵게 만듭니다. 이메일을 실시간으로 전달할 필요가 없다는 사실은 맬웨어 방지 도구가 파일을 분석하고 검사 할 시간이 있다는 것을 의미합니다. 웹은 "실시간보다 훨씬"실시간으로 보안 파일을 제공하여 악성 파일을 사용자에게 전달하기 전에 "검사 할 시간을 훨씬 적게"줍니다.
"우리는 기업들이 알려진 악성 코드의 변종으로 인한 전체 감염 량을 줄이는 것이 중요하므로 보안 팀이 가장 심각하고 표적이되는 위협에 집중할 수있는 시간을 갖습니다."
