Сегодня просматривал статистику Wildfire и стало интересно по каким приложениям ходит неизвестный вредоносный код (zero-day) и как часто. На картинке приведена статистика по приложениям и частоте атак через это приложение. В первом столбце имя приложения. Во втором столбце указано сколько дней в году в этом приложении выдели zero-day. В третьем столбце — число сессий этого приложения или по сути число семплов в год. Статистика взята за весь 2018 год с января по декабрь.

Интересно, что есть приложения, по которым вредоносный код ходит редко, — например, приложение SOAP, но там его видят каждый день. Есть где каждый день и в больших объемах. Я на своем опыте вижу, что самые частые приложения для проверки в песочницах — SMTP и web-browsing. Остальные приложения, как правило, игнорируются. Скорее всего атаки и проходят как раз там, где их не ждут.

image
Облачная песочница Wildfire доступна из любого уголка Интернет, в нее можно отправить файлы на проверку с любого межсетевого экрана или любого хоста или даже проверить через веб интерфейс вручную.
Интересно, что база сигнатур Wildfire обновляется всеми участниками каждую минуту, соответственно все, кто подписался на сервис обновлений zero-day могут забирать свежие сигнатуры каждую минуту и блокировать у себя в сети или на рабочей станции свеженайденные другими участниками сообщества zero-day своевременно.

Комментарии (3)


  1. teecat
    06.02.2019 10:28

    В данном случае наверно рассматривается по каким портам и протоколам ходит вредоносный код. Если же говорить конкретно о приложениях, то использование уязвимостей хоть и на слуху (Ванна Край!) но редкость. Рулит социальная инженерия и трояны. Если не считать вышеупомянутого Ванна Края, то из массового в позапрошлом году, если память не изменяет, было использование уязвимости в Outlook. Насколько помню в Китае. Причина проста — основная часть злоумышленников — пионеры, способные лишь на использование купленного/спионеренного с просторов сети ПО
    Если же говорить о используемых форматах приложений, то в принципе может быть все что угодно — вплоть до картинок. Для примера в последних обновлениях нашей песочницы мы добавили разбор SLK, IQY, PUB, ACCDB, SCT и PS1. Мягко говоря не всем известные форматы — но тоже могут быть использованы
    А за статистику спасибо!


    1. ksiva Автор
      06.02.2019 10:51

      Приложение и порт я разделяю все таки. Приложение может ходить по нестандартному порту (тот же ftp или http), приложение может ходить по динамическому порту (bittorent, skype) и так далее. Более подробно я тут рассказывал.
      То что вы смотрите на кучу форматов хорошо. Также надеюсь, что вы смотрите в кучу приложений тоже.


      1. teecat
        06.02.2019 11:23

        Да куда только не смотрим. Антивирус же в первую очередь универсальный разархиватор всего и вся (даже был разархиватор на основе антивируса)
        Статистику вашу разослал народу — что надо блокировать в первую очередь, если не нужно. Передаю спасибо