stvetro Jul 17 2018 at 12:04

Страх и ненависть Threat Intelligence или 8 практических советов по работе с TI

7 min

9.1K

Солар corporate blogInformation Security*Project management*

+23

Comments 8

Sie Jul 17 2018 at 13:56

Изображение в топе вызывает отвращение. А в целом статья интересная. Спасибо

teecat Jul 17 2018 at 17:25

большая часть вредоносного ПО уже давно полиморфна

Хотелось бы подтверждения данного утверждения
Перепаковывается — да. Но это одно и тоже вредоносное ПО

stvetro Jul 17 2018 at 20:22

В качестве доказательства позвольте процитировать коллег из антивирусного цеха:

Malware and PUAs have become overwhelmingly polymorphic, and over 97% of all malware instances during 2015 were observed on a single endpoint device each.

Вредоносные программы и PUA стали в подавляющем большинстве полиморфными, и более 97% всех экземпляров вредоносных программ в течение 2015 года наблюдались только на одном конечном устройстве.

У других антивирусных вендоров наверняка такие же цифры, но этот отчет попался первым.

msuhanov Jul 17 2018 at 22:16

В этом отчете, похоже, полиморфным называется все, что хоть как-то изменяется:

Nearly all malware and potentially unwanted application (PUA) delivery uses polymorphism—either at the server level, where every executable generated is a unique variant, or the threat itself is polymorphic, making it unique to the recipient.

teecat Jul 18 2018 at 08:54

Для интереса проверил наши новости. Полиморфные вирусы есть, но мало. Скажем про новостям с начала года в топе-пять только Win32.Virut.5 (личики его). Все остальное трояны. А они по определению никого не заражают, а значит и не изменяются.
Дорого это написать качественный полиморф — а выловят его на анализ мгновенно. Поэтому идут дешевым путем — перешифровывают. И это обеспечивает необходимо-малое время жизни трояна — он успевает атаковать за время, меньшее времени обновления средства защиты

Кстати самая старая новость о Win32.Virut.5 — 2007 год!

stvetro Jul 18 2018 at 11:06

Не только в этом отчете. Многие вендоры сейчас определяют полиморфное вредоносное ПО схожим образом, например:

Polymorphic malware is a type of malware that constantly changes its identifiable features in order to evade detection. Many of the common forms of malware can be polymorphic, including viruses, worms, bots, trojans, or keyloggers. Polymorphic techniques involve frequently changing identifiable characteristics like file names and types or encryption keys to make the malware unrecognizable to many detection techniques.

msuhanov Jul 18 2018 at 11:57

Многие вендоры сейчас определяют полиморфное вредоносное ПО схожим образом

Ага, а еще чуть ли не каждый ИБ-вендор производит что-то «следующего поколения».

pansa Jul 20 2018 at 07:41

Вступление — прекрасно! Ну разве нет?