보안 감시 무기화 ​​된 바이러스 백신 : 좋은 소프트웨어가 나쁜 일을하는 경우

무기화 ​​된 바이러스 백신 : 좋은 소프트웨어가 나쁜 일을하는 경우

비디오: 어린이 ì•ˆì „êµ¬ì— ìº í”¼ì¸ì˜ìƒ ì¸ì²œì§€ë°©ê²½ì°°ì² (12 월 2024)

비디오: 어린이 ì•ˆì „êµ¬ì— ìº í”¼ì¸ì˜ìƒ ì¸ì²œì§€ë°©ê²½ì°°ì² (12 월 2024)
Anonim

Black Hat 컨퍼런스는 올 여름 7, 000 명 이상의 참석자를 끌어 모았으며 25, 000 명이 봄에 RSA 컨퍼런스에 참석했습니다. 대조적으로, 악성 및 원치 않는 소프트웨어에 관한 제 8 차 국제 회의 참석은 수천이 아니라 수십 건으로 측정됩니다. 모든 참석자 사이에 직접적이고 솔직한 상호 작용을 허용하는 분위기에서 최신 보안 연구를 제공하는 것을 목표로합니다. 올해의 컨퍼런스 (Malware 2013)는 Microsoft Malware Protection Center의 Dennis Batchelder가 기조 연설을 시작하여 맬웨어 방지 산업이 직면 한 어려운 문제를 지적했습니다.

프레젠테이션 중에 Batchelder 씨에게 많은 독립적 인 테스트에서 Microsoft Security Essentials의 점수가 가장 높거나 가장 가까운 이유에 대해 어떤 생각을했는지 물어 봤습니다. 많은 실험실에서 다른 제품과 비교할 때 기준으로 취급 할 정도로 낮았습니다. 이 기사의 맨 위에있는 사진에서 그는 Microsoft 바이러스 백신 팀 구성원이 그 질문에 대해 어떻게 느끼지 않는지를 모방하고 있습니다.

Batchelder는 이것이 Microsoft가 원하는 방식이라고 설명했습니다. 보안 공급 업체가 기본 제공 기능에 어떤 가치를 더할 수 있는지 입증하는 것이 좋습니다. 또한 Microsoft 데이터에 따르면 MSE와 Windows Defender 덕분에 Windows 사용자 중 21 %가 40 % 이상 감소한 것으로 나타났습니다. 물론 Microsoft가 해당 기준을 높일 수있을 때마다 타사 공급 업체가 반드시 기준을 충족하거나 초과해야합니다.

나쁜 놈들이 도망 가지 않아

Batchelder는 세 가지 주요 영역, 즉 전체 산업 문제, 규모 문제 및 테스트 문제의 세 가지 주요 영역에서 중요한 과제를 지적했습니다. 이 매혹적인 이야기에서 실제로 충격을받은 한 가지 점은 범죄 신디케이트가 안티 바이러스 도구를 속여서 더러운 작업을 수행하는 방법에 대한 그의 설명이었습니다.

Batchelder는 표준 안티 바이러스 모델은 나쁜 사람들이 도망쳐 숨어 있다고 가정한다고 설명했습니다. "우리는 그것들을 더 좋고 더 나은 방법으로 찾으려고 노력한다"고 그는 말했다. "로컬 클라이언트 또는 클라우드에 '차단!' 또는 위협을 감지하고 치료를 시도합니다. " 그러나 그들은 더 이상 도망 가지 않습니다. 그들은 공격하고 있습니다.

안티 바이러스 공급 업체는 설치된 기본 및 평판 분석에서 샘플을 공유하고 원격 분석을 사용하여 위협을 탐지합니다. 그러나 최근이 모델이 항상 작동하지는 않습니다. Batchelder는 "그 데이터를 신뢰할 수 없다면 어떻게 될까요?"라고 물었습니다. "나쁜 사람들이 당신의 시스템을 직접 공격한다면 어떨까요?"

그는 Microsoft가 "시스템을 대상으로하는 제작 된 파일, 다른 공급 업체의 탐지와 유사한 제작 된 파일"을 발견했다고보고했습니다. 한 벤더가이를 알려진 위협으로 선택하면 다른 벤더에게 전달하여 조작 된 파일의 가치를 인위적으로 높입니다. Batchelder는 "구멍을 찾고 샘플을 제작하며 문제를 일으킨다. 원격 측정을 통해 유행과 나이를 위조 할 수있다"고 말했다.

우리 모두 함께 일할 수는 없습니까?

그렇다면 왜 범죄 신디케이트가 안티 바이러스 회사에 잘못된 정보를 제공하는 것을 방해합니까? 그 목적은 대상 운영 체제에 필요한 유효한 파일과 일치하는 약한 바이러스 백신 서명을 도입하는 것입니다. 공격이 성공하면 하나 이상의 바이러스 백신 공급 업체가 대상 PC에서 무고한 파일을 검역하여 호스트 운영 체제를 비활성화 할 수 있습니다.

이 유형의 공격은 교활합니다. 안티 바이러스 벤더가 공유하는 데이터 스트림에 가짜 탐지 기능을 삽입함으로써 범죄자들은 ​​결코 눈이나 손을 대지 않은 시스템을 손상시킬 수 있습니다. 부작용으로 공급 업체간에 샘플을 공유하는 속도가 느려질 수 있습니다. 다른 공급 업체가 통과 한 탐지가 유효하다고 가정 할 수없는 경우 연구원과 함께 다시 확인하는 데 시간을 소비해야합니다.

크고 새로운 문제

Batchelder는 샘플 공유를 통해 매월 약 10, 000 개의 "중독"파일을 받고 있다고보고했습니다. Microsoft의 안티 바이러스 제품 사용자의 자체 원격 측정의 약 10 %가 이러한 파일로 구성되어 있습니다.

이것은 나에게 새로운 것이지만 놀라운 일이 아닙니다. 멀웨어 범죄 신디케이트에는 수많은 리소스가 있으며, 이러한 리소스 중 일부를 적의 탐지를 방해하는 데 사용할 수 있습니다. 기회를 얻음에 따라 이러한 유형의 "무기화 된 바이러스 백신"에 대해 다른 공급 업체에 퀴즈를 제기 할 것입니다.

무기화 ​​된 바이러스 백신 : 좋은 소프트웨어가 나쁜 일을하는 경우