וִידֵאוֹ: ©∆©˙˚ˆ∆©¨¥©¨¥√•¶ª§∞∂´®¶ƒ†•§¶¥©¨ø˙∆ˆπ˚µƒ˙†¶∫§ ´˜®¨¥∞∆ç©√∂µ§®´ƒ†ç≈¥¶∂˙¨∫√ ©•˜µˆ§∞ (אוֹקְטוֹבֶּר 2024)
עבור מכונות וירטואליות שמופיעות בתוכנה זדונית בהן אני משתמש בבדיקת מוצרי אנטי-וירוס, זה déjà vu בכל פעם שאני מתחיל בדיקה חדשה. אני מחזיר את המכונה הווירטואלית לאותה נקודת התחלה בדיוק לכל בדיקה, ואז מתקין (או מנסה להתקין) את האנטי-וירוס ומאתגר אותו לנקות. אבל לפעמים קורה משהו נוסף; לפעמים התוכנה הזדונית מזמינה חברים לשחק.
ימיו של ההאקר הבודד שכותב וירוסים רק למען האמת, חלפו מזמן. כיום קיימת מערכת אקולוגית שלמה של תוכנות זדוניות, ורכיב משגשג במערכת האקולוגית ההיא כולל כרוך בנסיעה, מצבים שבהם נוכל סייבר אחד משלם לאחר כדי להציב איום חדש על תוכנות זדוניות קיימות. לאלה שאנחנו מכנים "טפטפות" אין אפילו עומס זדוני; הם פשוט משמשים ככף רגל בדלת לתוכנות זדוניות אחרות .
מה זה אומר לבדיקה שלי? ככל שמערכת שורצת תיפתח עוד לפני שתוכל להתקין אנטי-וירוס חדש ולהפעיל סריקה, כך יש סיכוי רב יותר שההתפשטות הקיימת תזמין חברים למסיבה. קבלת הגנה המותקנת במערכות אלה לוקח לעיתים עבודה של ימים על ידי תמיכה טכנית. בזמן שהם נשארים עסוקים, כך גם התוכנה הזדונית; מפחיד!
Gameover ZeuS
בכנס Malware 2013 בחודש שעבר הציג סטודנט למחקר הולנדי ניתוח מפורט מאוד של Gameover ZeuS. כמו מקרים אחרים של ה- ZeuS Trojan, לרשת זדוניות זו יש מגוון של פונקציות אך בעיקר מכוונת לגנוב מידע רגיש כמו תעודות בנקאות מקוונות. מה ששונה ב- Gameover ZeuS הוא שבמקום במערכת פיקוד ובקרה מרכזית, היא משתמשת ברשת עמיתים לעמית מבוזרת, מה שמקשה הרבה יותר על מעקב ומיגור. חדשות לי!
דמיין את הפתעתי, אם כן, כאשר לאחרונה קיבלתי הודעה מהספק שירותי האינטרנט שלי שאמרו שהם גילו את התנועה של Gameover ZeuS שמגיעה מכתובת ה- IP שלי. לא, לא לקחתי זיהום מהחוקר. במקום זאת, אחת הדוגמאות הקיימות שלי הזמינה חבר חדש לגמרי להתגורר בו, אולי במהלך מרתון תמיכה טכני יוצא דופן לאורך ימים שהעניק לו זמן רב.
לפני שנים, כשהתחלתי לראשונה לבדוק אנטי-וירוס באמצעות מכונות וירטואליות חיות עם תוכנות זדוניות, יכולתי למדי לסמוך על כך שאוכלוסיית התוכנות הזדוניות של מערכות הבדיקה שלי תישאר יציבה. כל עוד לא התקנתי דגימות זדוניות המנסות באופן אקטיבי להתפשט דרך האינטרנט, הייתי יכול להימנע מלהפוך לחלק מהבעיה. הפתק של ספק שירותי האינטרנט שלי היה שיחת השכמה. אם אני מתקין אוסף מייצג של דגימות זדוניות, אין שום ערובה שאחת מהן לא תשנה התנהגות, או שתביא בן לוויה מסוכן.
אכן המשחק נגמר
ניתן להעלות על הדעת שיכולתי לשנות ספקי שירותי אינטרנט ולהימנע מהודעה, אך זה לא פיתרון. אני לא יכול במצפון טוב להמשיך בתרגול שעלול לגרום נזק מחוץ למכונות הווירטואליות שלי. אני לא יכול פשוט לנתק את מערכות הבדיקה מהאינטרנט, מכיוון שרבים מכלי האנטי-וירוס דורשים חיבור. ואין לי את המשאבים לשכפל את התנועה של תוכנות זדוניות בסביבה סגורה, כמו במעבדות הבדיקה הגדולות והעצמאיות. אני אצטרך להשליך את בדיקות ה- malware-live-malware.
בצד החיצוני, מעבדות בדיקות האנטי-וירוס העצמאיות מייצרות כמה בדיקות ממש טובות בימינו. בהחלט אשתמש יותר בתוצאות האלה. אני עדיין אבדוק סינון דואר זבל, הגנת דיוג, חסימת כתובות זדוניות - כל בדיקה שאינה כרוכה בשחרור תוכנות זדוניות פעילות. ואמשיך לחפור בכל תכונה של כל אנטי-וירוס, ואפעל לזהות את הטובים ביותר. פשוט לא אקיים שום בדיקות שעלולות לגרום לבעיות בעולם החיצון.
מבחן אפס-יום חדש
בנוסף, אני מוסיף מבחן חדש כדי לבדוק עד כמה כל אנטי-וירוס מתמודד עם חסימת הורדת איומים חדשים במיוחד. האנשים הטובים ב- MRG-Effitas, חברת מחקר אבטחה בריטית, נתנו לי גישה למזין העצום שלהם בזמן אמת של כתובות URL זדוניות. באמצעות עדכון זה אני יכול לבדוק כיצד אנטי-וירוס מטפל במאה קבצים זדוניים מאוד בערך. האם זה חוסם את כתובת האתר? חסום את ההורדה? מתגעגע לזה לחלוטין? אני מצפה לקבל את המבחן החדש במלואו.
