image

'82% malware verdwijnt binnen één uur'

dinsdag 6 mei 2014, 09:43 door Redactie, 22 reacties

82% van alle malware die vorig jaar verscheen was binnen één uur alweer verdwenen en 70% van de malware wordt slechts één keer aangetroffen, wat aangeeft dat traditionele virusscanners niet meer in staat zijn om computers voldoende te beschermen. Dat beweert beveiligingsbedrijf FireEye.

Het bedrijf analyseerde in 2012 en 2013 bijna 500.000 malware-exemplaren en ontdekte dat de gemiddelde levensduur van malware zeer kort is. Een ontwikkeling die gevolgen voor de effectiviteit van virusscanners heeft, stelt FireEye. Veel virusscanners moeten de malware eerst detecteren voordat ze er tegen kunnen beschermen. Voordat de malware is ontdekt en er signatures voor de detectie zijn ontwikkeld, getest en onder klanten uitgerold, zijn er uren of zelfs soms dagen verstreken.

"Het huidige anti-virusmodel maakt van iedereen een offerlam", zegt Zheng Bu. Hij merkt op dat virusscanners achter de feiten aanlopen en daardoor eigenlijk niets anders doen dan het najagen van spoken. Volgens Bu hebben anti-virusleveranciers de afgelopen jaren het aantal signature-updates vergroot om zo de detectie te helpen. In veel organisaties is het echter al lastig om beveiligingsupdates op systemen uit te rollen, zeker als het om bijvoorbeeld laptops gaat. Al met al stelt Bu dat traditionele anti-virus dan ook niet meer volstaat.

Image

Reacties (22)
06-05-2014, 10:24 door Anoniem
of het wordt aangepast, wegens constante ontwikkeling en duikt later als nieuw op.

Als je het niet in de 1e dag detecteert, dan kan het vrij lastig worden.
06-05-2014, 10:27 door Anoniem
van opzet af aan is dit de verkeerde weg/insteek geweest ... maar 'we' hebben er wel weer lekker aan verdient.
Nu toch maar eens over hardend-code gaan nadenken ?!
06-05-2014, 10:48 door Anoniem
"82% van alle malware die vorig jaar verscheen was binnen één uur alweer verdwenen en 70% van de malware wordt slechts één keer aangetroffen, wat aangeeft dat traditionele virusscanners niet meer in staat zijn om computers voldoende te beschermen. Dat beweert beveiligingsbedrijf FireEye."

Dat wil niet zeggen dat het niet handig is om deze malware te analyseren t.b.v. detectie. Vaak zijn er immers talloze varianten van hetzelfde bestand, waarbij gebruik gemaakt wordt van code obfuscation.

Hierdoor heb je niet zoveel aan de MD5 hash als signature om andere varianten te detecteren, maar het gedrag is vaak identiek - de nieuwe variant maakt verbinding naar dezelfde kwaadaardige hosts / ip adressen.

Men moet dus niet enkel kijken naar de hashes, maar ook naar de vraag wat de malware nou eigenlijk doet.
06-05-2014, 10:50 door Anoniem
"van opzet af aan is dit de verkeerde weg/insteek geweest ... maar 'we' hebben er wel weer lekker aan verdient."

Da's wel erg kort door de bocht; in het verleden werd er door malware makers ook veel minder aandacht besteed aan obfuscation, en er was daardoor veel minder sprake van de problematiek die in dit artikel wordt omschreven.
06-05-2014, 11:29 door Britec09
Avast! krijgt elke dag updates waar ik heel blij mee ben :)
06-05-2014, 11:30 door Anoniem
Er zijn twee belangrijke soorten malware. Malware om malware te bezorgen, die wordt het meest gedecteerd. En de malware die wordt gebruikt voor een bepaald doel. Die wordt een stuk minder goed gedetecteerd. Het is zaak voor de botnet herders voortdurend te "vernieuwen" zodat de opeenvolgende versies van de malware zoveel mogelijk niet gedetecteerd wordt.

@10:27 Anoniem
Wat is hardend-code?

Malware is niet afhankelijk van exploits.
06-05-2014, 12:25 door Anoniem
Ik denk dat @10:27 Anoniem "hardened-code" bedoelt.
Heel kort door de bocht komt het er op neer dat je dan zorgt voor robuste code. Kwetsbaarheden komen meestal door code die niet robuust genoeg is.
06-05-2014, 13:00 door Anoniem
"Avast! krijgt elke dag updates waar ik heel blij mee ben :)"

" alle malware die vorig jaar verscheen was binnen één uur alweer verdwenen"

Dagelijkse updates zijn dus compleet nutteloos zoals het artikel ook al stelt.

@Britec09 : heb je het artikel wel gelezen?

"Voordat de malware is ontdekt en er signatures voor de detectie zijn ontwikkeld, getest en onder klanten uitgerold, zijn er uren of zelfs soms dagen verstreken."

Dat houd dus in dat tegen de tijd dat je virusscanner een dagelijkse update binnen krijg het virus in de meeste gevallen al dagen niet meer bestaat
06-05-2014, 15:07 door Anoniem
Ik zelf gebruik AdwCleaner (http://fanste.nl/?p=10458) en MalwareBytes (http://fanste.nl/?p=10415) om de malware te verwijderen. Dat werkt erg goed.
06-05-2014, 15:33 door Mysterio
Door Anoniem: Ik zelf gebruik AdwCleaner (http://fanste.nl/?p=10458) en MalwareBytes (http://fanste.nl/?p=10415) om de malware te verwijderen. Dat werkt erg goed.
Dat is leuk, maar als je de malware moet verwijderen ben je al te laat.

Wat je ziet is dat malware zelden echt nieuw is. Meestal betreft het bestaande malware die net een tikkeltje is aangepast zodat de meeste (of de bedoelde) scanners ze niet oppikt. Dat is natuurlijk vervelend, maar in feite veranderd er weinig aan de malware zelf. Er wordt zelden een nieuwe infectiemethode gebruikt. Of er nu 1 of 100.000 malwarevarianten hetzelfde lek misbruiken maakt niet uit wanneer je software gebruikt die juist dit soort lekken ondervangt, zoals bijvoorbeeld EMET.

Gericht geschreven malware hou je eigenlijk niet tegen. Als een malwareschrijver doelgericht gaat schrijven op jouw configuratie ga je hoogstwaarschijnlijk toch een keer nat. Het gaat erom dat je de risico's realistisch inschat en je dus wapent tegen de enorme hoeveelheid malware die voorhanden is.
06-05-2014, 15:55 door Anoniem
Ik gebruik McAfee Internet Security ( elke dag na 18.00 uur één update) en aanvullend Malwarebytes Anti-Malware (Premium versie) met gisteren 13 updates in totaal.

Kan het nog veiliger!?
06-05-2014, 16:06 door Anoniem
Door Mysterio: Het gaat erom dat je de risico's realistisch inschat en je dus wapent tegen de enorme hoeveelheid malware die voorhanden is.
Dusss UNIX met IP-tables ?! ;)
06-05-2014, 16:35 door Anoniem
hardened code, prima dat had veel eerder moeten gebeuren.
Dat wil zeggen dat de software, inclusief het Operating Systeem, alleen die zaken doet en toelaat waarvoor het bedoeld is. Geen extra o zo makkelijke of van de "coole" en meer van dat soort aanduidingen als "krachtige functies".

Eén klein probleempje: Al die code die in elkaar gezet is zonder goede validatie van de invoer om de tijd en het budget maar te halen. Wat moet je daar mee?
06-05-2014, 16:42 door Anoniem
Waar kan ik dat EMET downloaden en zal dit niet gaan conflicteren met mn security-software (Norton 360/Kaspersky Pure 3.0) ,of andere gangbare software? Ik heb een windows vista 32 bits pc.
06-05-2014, 17:42 door Anoniem
Door Anoniem: Ik denk dat @10:27 Anoniem "hardened-code" bedoelt.
Heel kort door de bocht komt het er op neer dat je dan zorgt voor robuste code. Kwetsbaarheden komen meestal door code die niet robuust genoeg is.

Betere code is prima, maar dat zorgt er niet voor dat malware verdwijnt of zelfs verminderd. Nog steeds wordt de meeste malware uitgevoerd met toestemming van en door de gebruiker. Social engineering is een veel belangrijkere factor in malware distributie dan exploits.

De zero-days waar iedereen zoveel over praat treft je slechts aan bij targeted attacks, d.w.z. een handvol tot een paar honderd gebruikers. Dat is op de schaal der dingen helemaal niets, dus laat je daardoor geen probleem aanpraten.
06-05-2014, 19:00 door Anoniem
Door Anoniem: Ik gebruik McAfee Internet Security ( elke dag na 18.00 uur één update) en aanvullend Malwarebytes Anti-Malware (Premium versie) met gisteren 13 updates in totaal.

Kan het nog veiliger!?
Ja dat kan zeker veiliger.McAfee is helaas een niet al te beste security,hoewel ze nu weer beter scoren in diverse antivirus-tests zijn ze nog steeds een vd minderen. Bovendien heeft McAfee een vrij zware systeembelasting op je pc,het kan letterlijk je pc helemaal tot stilstand brengen.Ik heb een paar jaar geleden McAfee gebruikt (was voor-geinstalleerd op mn pc's) en die liet veel malware door (rootkits,trojans,exploits). Dat ontdekte ik pas toen er allerlei rare dingen gebeurden en ik online virusscanners op mn pc liet kijken,vooral TrendMicro HouseCall ontdekte veel malware op mn pc die McAfee over het hoofd had gezien.Met 1 update per dag kom je er bij McAfee bekaaid vanaf,mijn Norton krijgt elk kwartier updates binnen,en Kaspersky op mn andere pc die krijgt ook vele updates per dag binnen.Bovendien is de McAfee firewall ook niet al te best.Van alle bekende security-suites hebben Comodo en Kaspersky de beste firewall.
06-05-2014, 23:08 door [Account Verwijderd]
[Verwijderd]
06-05-2014, 23:11 door [Account Verwijderd]
[Verwijderd]
07-05-2014, 03:27 door Anoniem
"Met 1 update per dag kom je er bij McAfee bekaaid vanaf,mijn Norton krijgt elk kwartier updates binnen,en Kaspersky op mn andere pc die krijgt ook vele updates per dag binnen."

Vandaar dat ik dus ook aanvullend Malwarebytes gebruik met meerdere updates per dag.
Waarom McAfee trouwens met maar één update per dag komt is mij een raadsel?

"Bovendien is de McAfee firewall ook niet al te best."

Wat is daar dan mis mee?
07-05-2014, 09:22 door Anoniem
Ik zag in één van de reacties een opmerking dat het niet mogelijk is om kwetsbaarheden te voorkomen want "We zijn maar mensen en mensen maken fouten". Het is inderdaad waar dat 100% security niet bestaat. Het gaat om het verlagen van risico's. Als je praat over het maken van veilige software betekent dit dat je als programmeur gebruik maakt van secure programming technieken, en ook de software grondig test op security. In de praktijk gebeurt dit niet of nauwelijks. Bij de opleidingen voor programmeurs wordt nog steeds geen aandacht besteed aan "secure coding". Wij komen regelmatig programmeurs tegen die nog nooit van OWASP hebben gehoord! Ook hoorden we dat er wel regelmatig gastcolleges worden georganiseerd waarin wordt uitgelegd hoe je kunt hacken. Dus: we leren bouwvakkers niet om veilige huizen te bouwen, maar wél hoe ze kunnen inbreken. Het probleem aanpakken begint bij de basis: Schrijf veilige code. Programmeurs die dit NU doen zijn straks de heersers. Veranderende wetgeving gaat namelijk zeer hoge eisen stellen aan de security- en privacy van gebruikte ICT systemen. Software MOET straks daarom dus wel veilig zijn, op risico van torenhoge boetes.
Programmeurs zullen straks dus echt veilige software moeten leveren, en niet denken dat hun applicaties er alleen maar mooi uit moeten zien. Wij voeren projecten uit om kwetsbaarheden uit websoftware te halen. De resultaten spreken boekdelen. 80% van de webapplicaties heeft meerdere serieuze kwetsbaarheden. Met vriendelijke groet, Rob Koch
07-05-2014, 10:56 door Mysterio
Door Anoniem: (..) Dus: we leren bouwvakkers niet om veilige huizen te bouwen, maar wél hoe ze kunnen inbreken. Het probleem aanpakken begint bij de basis: Schrijf veilige code. Programmeurs die dit NU doen zijn straks de heersers. Veranderende wetgeving gaat namelijk zeer hoge eisen stellen aan de security- en privacy van gebruikte ICT systemen. Software MOET straks daarom dus wel veilig zijn, op risico van torenhoge boetes.
Programmeurs zullen straks dus echt veilige software moeten leveren, en niet denken dat hun applicaties er alleen maar mooi uit moeten zien. Wij voeren projecten uit om kwetsbaarheden uit websoftware te halen. De resultaten spreken boekdelen. 80% van de webapplicaties heeft meerdere serieuze kwetsbaarheden. Met vriendelijke groet, Rob Koch
Programmeurs zijn de bouwers. Het is te kort door de bocht om de verantwoordelijkheid voor veilige code daar neer te leggen. De opdrachtgevers bepalen immers de prioriteiten en het budget. Als programmeur heb je de taak om aan te geven dat er op het gebied van veiligheid nog wat te halen valt, echter is het de opdrachtgever die uiteindelijk bepaalt wat goed is en wat niet.

Bij enorme projecten zoals een (deel van een) OS ben je natuurlijk als programmeur één van de velen en draag je overall nauwelijks verantwoordelijkheid voor de veiligheid van het geheel. Het is niet realistisch om te verwachten van de bouwers dat ze de helikopterview van het hele project bewaken. Daar heb je de projectleiders e.d. voor.

Je hebt het over het afleveren van veilige software. Echter is veilig zo betrekkelijk! Wat nu veilig is, is morgen een open deur. Ik ben trouwens benieuwd naar je 80% referentie.
07-05-2014, 10:59 door Mysterio
Door Anoniem:
Door Mysterio: Het gaat erom dat je de risico's realistisch inschat en je dus wapent tegen de enorme hoeveelheid malware die voorhanden is.
Dusss UNIX met IP-tables ?! ;)
Realistisch... UNIX is echt een brug te ver. -sorry-
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.