防病毒软件比网络威胁软件更能检测电子邮件恶意软件

据Palo Alto Networks称，基于Web的恶意软件比基于电子邮件的恶意软件更能绕过传统的安全防御措施。

电子邮件仍然是恶意软件的主要来源，但Palo Alto Networks在周一发布的《现代恶意软件评论》报告中发现，绝大多数未知恶意软件都是通过Web应用程序推送的。 遇到的“未知恶意软件”用户中，近90％来自浏览Web，而电子邮件只有2％。

Palo Alto Networks在报告中说，该报告中的“未知恶意软件”是指由该公司的Wildfire云服务检测到的恶意样本，错过了六种“行业领先”的防病毒产品。 研究人员分析了1000多个客户的数据，这些客户部署了公司的下一代防火墙并订阅了可选的Wildfire服务。 在WildFire标记为恶意软件的68, 047个样本中，防病毒产品未检测到26, 363个样本，占40％。

Palo Alto Networks说：“大量未知的恶意软件来自基于Web的来源，而传统的AV产品在抵御通过电子邮件传递的恶意软件方面要好得多。”

努力不被发现

Palo Alto Networks发现，该恶意软件的“重要协议”致力于使安全工具无法检测到这些恶意软件。 研究人员观察到了30多种致力于帮助恶意软件避免检测的行为，例如，在初始感染后使恶意软件长时间处于“睡眠”状态，从而禁用了安全工具和操作系统进程。 报告发现，事实上，在Palo Alto Networks观察到的恶意软件活动和行为列表中，有52％的人专注于逃避安全性，而15％的人专注于黑客和数据盗窃。

其他供应商先前的报告指出，大量未知恶意软件认为防病毒产品不能有效地保持用户安全。 帕洛阿尔托网络公司（Palo Alto Networks）表示，该报告的目的不是要召集未检测到这些样本的防病毒产品，而是要确定恶意软件样本中的共性，以便在等待反病毒产品赶上时用于检测威胁。

Palo Alto Networks在其报告中发现，将近70％的未知样本表现出“明显的标识符或行为”，可用于实时控制和阻止。 行为包括由恶意软件生成的自定义流量以及与恶意软件联系的远程目标。 报告发现，大约33％的样本正在连接到新注册的域以及使用动态DNS的域，而20％的尝试发送电子邮件。 攻击者经常使用动态DNS来动态生成自定义域，当安全产品开始将其列入黑名单时，这些域很容易被放弃。

攻击者还使用非标准的Web端口，例如在端口443上发送非加密流量，或使用80以外的端口发送Web流量。 FTP通常使用端口20和21，但是该报告使用其他237个端口发现恶意软件来发送FTP流量。

延迟检测恶意软件

防病毒供应商平均需要五天才能为通过电子邮件检测到的未知恶意软件样本提供签名，而基于Web的恶意软件样本则需要将近二十天的时间。 FTP是未知恶意软件的第四大来源，但是Palo Alto Networks发现，在31天后仍有近95％的样本未被发现。 报告发现，通过社交媒体传播的恶意软件也存在变种，这些变种在30天或更长时间内仍未被防病毒软件检测到。

报告发现：“不仅传统的视音频解决方案在电子邮件之外检测恶意软件的可能性大大降低，而且获取报道所需的时间也更长。”

Palo Alto Networks说，样本数量的差异影响了防病毒软件检测恶意软件的效率。 对于电子邮件传播的威胁，同一恶意软件通常会被传递到许多目标，这使防病毒供应商更有可能检测并分析该文件。 相反，每次加载攻击网页时，Web服务器都使用服务器端多态性来自定义恶意文件，从而创建了大量独特的样本，并使样本难以检测。 电子邮件也不需要实时传递这一事实意味着反恶意软件工具有时间分析和检查文件。 Web具有更高的实时性，并且在安全工具被传送给用户之前，为安全工具提供了“更少的时间来检查”恶意文件。

报告说：“我们认为，对于企业而言，减少已知恶意软件变种的总体感染数量至关重要，因此安全团队有时间专注于最严重和针对性最大的威胁。”