Нийл Рубенкинг от PCMag съобщава за една от последните техники на киберпрестъпниците в борбата им срещу компаниите, работещи в областта на информационната и интернет защита. Рубенкинг е присъствал на 8-та "Международна конференция по въпросите на зловредния и нежелан софтуер" (
Conference on Malicious and Unwanted Software), на която честта да открие събитието е била дадена на Денис Батчелдър, който завежда отдела Malware Protection Center към Microsoft.Батчелдър е говорил за днешните предизвикателства пред антималуер индустрията: общи проблеми, проблеми с оценката на заплахите и проблеми с тестирането. Освен основните неща, той говори и за успехите на киберпрестъпните групи в опитите им да заблудят и объркат антивирусните разработчици и техните продукти.Батчелдър, разказва, че по стандартния антивирусен модел "лошите" се крият и бягат. "Клиентът на местно ниво или облакът казват "Блокирай го!" или засичаме заплаха и се опитваме да оправим нещата", обяснява Батчелдър. "Но те вече не бягат от нас, те атакуват".Къде е проблема? За да улеснят работата си и подобрят възможностите на своите продукти, антивирусните разработчици обменят помежду си файлове и проби от зловредни програми, използват телеметричните възможности на своите продукти (данните събирани от потребителя с помощта на приложението), за да придобият една обща картина на проблемите и на базата, на която да могат да подобрят неща в своите продукти или да продължат да работят в области, в които са силни. Но явно нещата се променят. "Ами, ако не може да имаш вяра на информацията (която достига до теб)? Ами, ако лошите атакуват директно ресурсите ни?", пита Батчелдър. Той споделя, че от Microsoft са засекли множество на брой, специално изготвени и модифицирани файлове, които са пристигат в лабораториите им и са изготвени така че да изглеждат като засичани от друга антивирусна лаборатория. "Веднъж след като го е признал един антивирусен разработчик за заплаха, те го предават на другите (антивирусни разработчици), което по изкуствен начин повишава "стойността" на дадения преработен файл. Те намират дупка, изготвят образец и създават проблеми", обяснява Батчелдър. "Те могат и да се намесят в работата на телеметрията и достоверността на данните получени от нея, да фалшифицира възрастта на файла или честота му на разпространение", добавя той. Целта ли? Целта е антивирусната програма да излезе със слаба (вирусна) сигнатура, в която също така ще присъства информация, насочена към валиден файл, който е важен за стабилното функциониране на операционната система. Ако атаката е успешна, програмите на един или няколко антивирусни разработчика ще започват да вкарват невинния файл в "карантината" на пострадалите компютри, като по този начин "осакатяват" операционната система. Методите на атакуващата страна са особено находчиви, пише Рунинкинг. "Чрез "доставянето" на файлове - погрешно засичани за зловредни - те могат да разрушат системи, които не са си помисляли, че ще зърнат даже. Също така, това може да наруши процеса по трансфера на образци между антивирусните разработчици. Ако не може да си сигурен в достоверността на засичането на въпросния файл за зловреден, ще е нужно да му отделиш време и да го разгледате заедно с колегите ти", пише той.Батчелдър обяснява също така, че те получават по около 100 000 подобни "отровени" файлове месечно, именно през системата за обмен на образци между антивирусните разработчици. Той споделя, че дяла, който държат подобни файлове в телеметрията (от хората, които ползват продуктите на Microsoft) е едва 0.1%, а това всъщност е много..
