Was ist eine Antiviren-Kollision im Falle eines falschen positiven, und wie können wir damit umgehen?

Antivirus-Kollision ist ein Fall, in dem eine Signatur, die für eine Malware-Datei oder eine Malware-Familie erstellt wurde, auf den anderen gutartigen Dateien auslöst, die nicht mit Originaldateien verwandt sind, für die die Signatur erstellt wurde. Um es etwas besser zu verstehen, gibt es hier einige Hintergrundinformationen:

Woher kommen Antiviren-Signaturen?

Die Antiviren-Datenbank enthält alle Wildfire-Signaturen, die in den letzten 24 Stunden erstellt wurden. Wildfire-Signaturen werden jeden Tag am Ende der Geschäftszeiten gesammelt, in eine einzige Datenbank verpackt und getestet, um sicherzustellen, dass Sie auf allen unseren Plattformen installiert werden können. Kurz gesagt, das Antiviren-Paket ist eine Sammlung der letzten 24 Stunden von Wildfire-Paketen, für die wir Kontrollen durchgeführt haben, bevor wir es verteilt haben.

Was sind Antiviren-Signaturen?

Antiviren-Signaturen, die von Palo Alto Networks-Software verwendet werden, sind eine Kombination von Bytes, die auf der Datei überlagert werden, während Sie die Firewall durchquert. Wenn diese Bytes mit der Reihenfolge der Bytes in der genannten Datei übereinstimmen, wird die Action-Voreinstellung in den Antiviren-Schutz Profilen ausgelöst.

Wie auf dem Bild unten zu sehen ist, gibt es zwei Arten von Aktionen: Wildfire-Aktion und Aktion; Ersteres wird verwendet, um zu bestimmen, was die Aktion der Firewall sein wird, falls eine Signatur aus der Wildfire-Datenbank übereinstimmt, und Letzteres, Action, wird verwendet, um die Aktion der Firewall zu bestimmen, wenn eine Signatur aus der Antiviren-Datenbank übereinstimmt.

Eine Antiviren-Signatur ist in der Praxis eine statische Zeichenkette, die eine Sammlung von Bytes darstellt, die aus einer bösartigen Datei ausgewählt wurden. Die Auswahl der Bytes hängt von einem Dateityp ab; Signaturen für PE (Portable ausführbar) sind nicht die gleichen wie Signaturen, die für PDF oder MS Office-Dateitypen verwendet werden. Wir nennen dies eine statische Auswahl, da Bytes in der Regel aus der gleichen Position (gleicher Offset) für den gleichen Dateityp entnommen werden.

Es gibt offensichtliche Gründe für die Auswahl bestimmter Bytes für Signaturen, wie zum Beispiel sicherzustellen, dass keine bytes, die allen Dateien gemeinsam sind, in der Signatur enthalten sind-in diesem Fall würden alle Dateien immer unsere Signaturen auslösen. Darüber hinaus wird die Wahl der einzelnen Bytes so durchgeführt, dass polymorphe Malware-Samples mit einer einzigen Signatur eingefangen werden können, so dass, wenn eine Malware automatisch Teile der Datei ändert, die Sie verwendet, unsere Signatur Sie immer noch fangen würde.

Was sind also Kollisionen?

Nun, wie bereits erwähnt, ist eine Signatur eine statische Zeichenkette, die eine Sammlung von Bytes darstellt, die aus einer bösartigen Datei ausgewählt wurden. Manchmal kann sich diese Auswahl mit der Reihenfolge der Bytes in einer gutartigen Datei überschneiden. Das nennen wir eine Unterschriften Kollision. Tatsächlich gibt es nur wenige Vorkommnisse; die Prozentsätze sind minimal, wenn man bedenkt, wie viele Dateien wir täglich sehen und wie viele Unterschriften wir täglich/monatlich/jährlich veröffentlichen. Sie passieren leider immer noch.

Wie gehen Sie mit Kollisionen um?

Für einige Dateitypen können wir Signaturen erweitern, um eine bessere Präzision bei der Überlagerung der Bytes der Signatur zu haben; Das kann Kollisionen oft lösen. Wenn dies nicht möglich ist, treffen wir eine fundierte Entscheidung, die auf den Vorkommnissen der Malware basiert, die Netzwerke/Firewalls durchquert, die sich an Autofocus melden. Wenn wir diese Malware in letzter Zeit oder in letzter Zeit nicht gesehen haben, werden wir die Signatur zugunsten der gutartigen Datei deaktivieren, für die die Signatur ausgelöst wurde. Dies ist eine technische Entscheidung; wir wägen die Vorteile für die Endverbraucher ab-wenn die Malware in letzter Zeit nicht gesehen wurde und die gutartige Datei für die Kontinuität des Geschäfts benötigt wird, würden wir die Signatur zugunsten der gutartigen Datei deaktivieren.

Wenn wir von Business Continuity sagen, ist das keine strikte Linie, die wir hier ziehen, aber wir bewerten Sie auf der Grundlage von Einzelfällen-einige ausgetauschte Geschäftsdateien gelten als gerechtfertigt für die Kontinuität der Unternehmen. Auf der anderen Seite, wenn die kollidierende Datei zum Beispiel ein Flash-basiertes Videospiel ist, könnten wir unsere Signatur behalten, obwohl es eine Kollision auf der gutartigen Datei gibt. Auch wenn Malware, deren Signatur wir deaktiviert haben, wieder aktiv werden sollte, ist es möglich und wahrscheinlich, dass wir die Signatur unabhängig von der Kollision wieder aktivieren würden.

Ein wichtiger Punkt: in seltenen Anlässen wird sowohl die Deaktivierung als auch die Aktivierung der Signatur pro Fall durchgeführt, wobei unsere leitenden Ingenieure die unternehmerische Bedeutung und den Umfang und den Grad der Unterbrechung für den Endverbraucher bewerten und mit die potenziellen Risiken, eine Signatur zu löschen. Solche Entscheidungen werden nicht leichtfertig getroffen und werden mit dem besten Interesse aller unserer Nutzer im Auge getan. 

Bitte beachten Sie, dass Sie, wenn Sie ein Problem mit einer wieder aktivierten Signatur erleben und Kollisions Probleme sehen, aber die Signatur (noch) nicht deaktiviert wurde, diesen Artikel überprüfen, um eine Ausnahme in ihren AV-Profilen zu erstellen: https://Live.paloaltonetworks.com/T5 /Management-articles/how-to-use-Exceptions-to-Block-Threats/Ta-p/66099