Los programas antivirus podrían no solo escanear todos los archivos a medida que se crean, en lugar de usarlos en el escaneo de acceso. ¿No sería este tipo de enfoque mucho más oscuro?
Los programas antivirus podrían no solo escanear todos los archivos a medida que se crean, en lugar de usarlos en el escaneo de acceso. ¿No sería este tipo de enfoque mucho más oscuro?
No, el análisis de virus solo en el momento de la creación no es seguro por varios motivos:
Es posible que el sistema antivirus no se cargue cuando se crea el archivo:
También hay escenarios más complicados. Por ejemplo: Obtienes una carga útil encriptada (que contiene el virus). A / V no puede detectar esto porque no puede descifrarlo. Mucho más tarde, tienes un segundo archivo que llega. Este archivo no es técnicamente malicioso, pero descifra el primer archivo, que luego se ejecuta e infecta su sistema. Este es un truco cada vez más común para evitar la detección tanto en A / V tradicional como en cajas de arena de malware como < a href="https://www.fireeye.com/solutions/small-and-midsize-business.html"> FireEye .
Un sistema que copia los archivos y los comprueba con un servicio actualizado de reputación de archivos solo tendría que analizar los hashes desconocidos. Los sistemas de almacenamiento en la nube como Cisco AMP hacen esto.
Aún tendría que escanear durante las lecturas siempre que la fuente no sea de confianza: almacenamiento extraíble, unidades de red, etc.
En principio, si siempre escanea archivos en la creación / modificación, sería seguro leer los archivos locales sin escanear. Aunque no conozco ningún software AV de escritorio que tenga ese comportamiento. Sería una mejora de rendimiento, no por seguridad, ya que tiene (más o menos) los mismos puntos ciegos en cualquier caso.
De hecho, he visto este comportamiento en sistemas reales: algunos servidores de archivos realizan escaneos AV solo en las escrituras. En ese caso, el escaneo no es para proteger el servidor, sino para proteger a los clientes que acceden a los recursos compartidos, en caso de que su AV de escritorio no detecte algo. Las ventajas de rendimiento pueden ser importantes aquí, por lo que parece un movimiento bastante inteligente.
Sí, eso sería muy seguro. Todavía dejará pasar algunas cosas malas, ya que todavía está basado en firmas, pero la mayor preocupación es que pondría a cualquier sistema de rodillas.
Para mi trabajo, analizo el análisis forense de las computadoras infectadas y entro y salgo de MFT y USN Journal a LOT . Los archivos y las exclusiones mutuas se crean, modifican y eliminan constantemente de todas las partes del sistema operativo. Ejecutar cada objeto individual a través de un motor AV cada microsegundo de cada día es una idea terrible.
Ese enfoque podría de alguna manera abrir otro vector de ataque. Si puede ejecutar el código malicioso sin estar en el disco primero, ejecútelo desde un medio extraíble (donde el código infectado ya existe y, por lo tanto, no se verificará) o ejecute un archivo aparentemente dañino. Para propagar el virus solo tendría que crear un archivo vacío y luego actualizarlo con un código malicioso que permitirá su ejecución futura (ejecutar en el arranque, ejecutar en la solicitud del usuario, ejecutar en un evento como arranque, etc).
El virus probablemente comenzaría a propagarse en dos etapas. Primero como un archivo aparentemente bueno (1. tipo de host transportado), con el código malicioso oculto por el cifrado / lo que sea). Y que El virus crearía el archivo y después de actualizarlo con el código malicioso (2. Copia de virus).
Este enfoque / técnica en el escaneo AV fallará en el caso de infecciones con menos archivos, amenazas basadas en el comportamiento, infectores de archivos, secuestradores y puertas traseras, etc.
Y, de hecho, la importancia de la detección de amenazas basada en firmas es cada vez menor debido a las sofisticadas tecnologías involucradas en la creación, el análisis y la detección de amenazas, así como el retraso entre la detección de amenazas y la entrega de firmas.
Aunque los archivos escaneados cuando se crean mejoran otras técnicas de detección, esto tiene una tasa de éxito muy baja como técnica independiente.
Lea otras preguntas en las etiquetas antivirus