Vidéo: Effacer et détecter les virus sans antivirus | Nettoyer son PC (Novembre 2024)
Selon Palo Alto Networks, les logiciels malveillants basés sur le Web contournent mieux les défenses de sécurité traditionnelles que les logiciels malveillants transmis par courrier électronique.
Bien que le courrier électronique continue d’être la principale source de programmes malveillants, la grande majorité des programmes malveillants inconnus sont transmis via des applications Web, a révélé Palo Alto Networks dans son rapport publié lundi par Modern Malware Review. Près de 90% des utilisateurs de "programmes malveillants inconnus" rencontrés venaient de la navigation sur le Web, contre seulement 2% du courrier électronique.
Dans ce rapport, "logiciels malveillants inconnus" fait référence à des échantillons malveillants détectés par le service cloud Wildfire de la société que six produits antivirus "leaders" du secteur ont manqués, a déclaré Palo Alto Networks dans son rapport. Les chercheurs ont analysé les données de plus de 1 000 clients qui ont déployé le pare-feu de nouvelle génération de la société et souscrit au service optionnel Wildfire. Parmi les 68 047 échantillons signalés par WildFire comme logiciels malveillants, 26 363 échantillons, soit 40%, n'ont pas été détectés par les produits antivirus.
"Un volume écrasant de logiciels malveillants inconnus provient de sources Web, et les produits audiovisuels traditionnels sont bien mieux protégés contre les logiciels malveillants transmis par courrier électronique", a déclaré Palo Alto Networks.
Beaucoup d'efforts pour rester non détectés
Selon Palo Alto Networks, l'intelligence du logiciel malveillant est en grande partie consacrée à rester non détecté par les outils de sécurité. Les chercheurs ont observé plus de 30 comportements visant à aider les logiciels malveillants à éviter leur détection, notamment le fait de les "mettre en veille" longtemps après l'infection initiale, ce qui désactivait les outils de sécurité et les processus du système d'exploitation. En fait, parmi les activités et les comportements liés aux programmes malveillants observés par Palo Alto Networks, 52% se concentraient sur le non-respect de la sécurité, contre 15% sur le piratage informatique et le vol de données, indique le rapport.
Des rapports antérieurs d'autres fournisseurs avaient souligné le grand nombre de logiciels malveillants inconnus, affirmant que les produits antivirus étaient inefficaces pour protéger les utilisateurs. Palo Alto Networks a déclaré que l'objectif du rapport n'était pas d'appeler les produits antivirus pour ne pas détecter ces échantillons, mais d'identifier les points communs dans les échantillons de programmes malveillants pouvant être utilisés pour détecter les menaces tout en attendant que les produits antivirus se rattrapent.
Près de 70% des échantillons inconnus présentaient des "identifiants ou comportements distincts" pouvant être utilisés pour le contrôle et le blocage en temps réel, a révélé Palo Alto Networks dans son rapport. Les comportements comprennent le trafic personnalisé généré par le logiciel malveillant ainsi que les destinations distantes contactées par le logiciel malveillant. Selon le rapport, environ 33% des échantillons se connectaient à des domaines nouvellement enregistrés et utilisant un DNS dynamique, tandis que 20% ont tenté d'envoyer des courriers électroniques. Les pirates utilisent fréquemment le DNS dynamique pour générer des domaines personnalisés à la volée qui peuvent facilement être abandonnés lorsque des produits de sécurité commencent à le mettre sur liste noire.
Les pirates ont également utilisé des ports Web non standard, tels que l'envoi de trafic non chiffré sur le port 443 ou l'utilisation de ports autres que 80 pour envoyer du trafic Web. FTP utilise généralement les ports 20 et 21, mais le rapport a identifié un programme malveillant utilisant 237 autres ports pour envoyer du trafic FTP.
Retards dans la détection des logiciels malveillants
Les fournisseurs d'antivirus ont mis en moyenne cinq jours pour fournir des signatures pour les échantillons de logiciels malveillants inconnus détectés par courrier électronique, contre près de 20 jours pour les échantillons basés sur le Web. FTP était la quatrième source de logiciels malveillants inconnus, mais près de 95% des échantillons sont restés non détectés après 31 jours, a révélé Palo Alto Networks. Les logiciels malveillants diffusés sur les réseaux sociaux comportaient également des variantes qui n'ont pas été détectées par l'antivirus pendant 30 jours ou plus, indique le rapport.
"Non seulement les solutions audiovisuelles traditionnelles sont beaucoup moins susceptibles de détecter les logiciels malveillants en dehors du courrier électronique, mais il faut également beaucoup plus de temps pour obtenir une couverture", indique le rapport.
Les différences de taille de l'échantillon ont affecté l'efficacité de l'antivirus dans la détection des logiciels malveillants, a déclaré Palo Alto Networks. Pour les menaces véhiculées par courrier électronique, le même programme malveillant est souvent transmis à de nombreuses cibles, ce qui augmente les chances que le fournisseur d'antivirus détecte et analyse le fichier. En revanche, les serveurs Web utilisent un polymorphisme côté serveur pour personnaliser le fichier malveillant chaque fois que la page Web d'attaque est chargée, créant ainsi un plus grand nombre d'échantillons uniques et rendant les échantillons plus difficiles à détecter. Le fait que le courrier électronique n'a pas besoin d'être livré en temps réel signifie que les outils anti-malware ont le temps d'analyser et d'inspecter les fichiers. Le Web est "beaucoup plus temps réel" et donne aux outils de sécurité "beaucoup moins de temps pour inspecter" les fichiers malveillants avant de les transmettre à l'utilisateur.
"Nous pensons qu'il est essentiel pour les entreprises de réduire le volume global d'infections provenant de variantes de programmes malveillants connus, afin que les équipes de sécurité aient le temps de se concentrer sur les menaces les plus graves et les plus ciblées", indique le rapport.
