¿Qué es una colisión antivirus en el caso de un falso positivo, y cómo podemos lidiar con él?

La colisión antivirus es un caso en el que una firma creada para un archivo de malware, o una familia de malware, desencadena en los otros archivos benignos, no relacionados con los archivos originales para los que se creó la firma. Para entenderlo un poco mejor, he aquí una cierta información de fondo:

¿de dónde provienen las firmas antivirus?

La base de datos antivirus contiene todas y cada una de las firmas de incendios forestales que se crearon en las 24 horas anteriores. Las firmas de Wildfire se recolectan al cierre de las horas de trabajo todos los días, se empaquetan en una única base de datos y se prueban para asegurar que sean instalables en todas nuestras plataformas. En Resumen, el paquete antivirus es una colección de las últimas 24 horas de paquetes de incendios forestales para los cuales realizamos cheques antes de distribuirlo.

¿Qué son las firmas antivirus?

Las firmas antivirus utilizadas por el software Palo Alto Networks son una combinación de bytes superpuestos en el archivo mientras atraviesa el firewall. Si esos bytes coinciden con el orden de los bytes en el archivo mencionado, se activará la acción preestablecida en los perfiles de protección antivirus.

Como se ve en la imagen de abajo, hay dos tipos de acciones: acción y acción de los incendios forestales; el primero se utiliza para determinar cuál será la acción del cortafuegos en el caso de que se empareje una firma de la base de datos Wildfire, y esta última acción se utiliza para determinar la acción del cortafuegos si una firma coincide con la base de datos antivirus.

Una firma antivirus, en la práctica, es una cadena estática que representa una colección de bytes seleccionados de un archivo malintencionado. La selección de bytes depende de un tipo de archivo; las firmas para PE (ejecutable portátil) no son las mismas que las firmas utilizadas para los tipos de archivo PDF o MS Office. Llamamos a esto una selección estática, porque los octetos se toman generalmente de la misma posición (el mismo desvío) para el mismo tipo de archivo.

Hay razones obvias para seleccionar bytes específicos para firmas, como asegurarse de que no se incluyen bytes comunes a todos los archivos en la firma-en ese caso, todos los archivos siempre activarían nuestras firmas. Además de eso, la elección de bytes particulares se hace de modo que las muestras polimórficos de malware se pueden capturar con una sola firma, por lo que si un malware cambia automáticamente partes del archivo que utiliza, nuestra firma todavía lo captura.

Entonces, ¿qué son las colisiones?

Bueno, como se mencionó, una firma es una cadena estática que representa una colección de bytes seleccionados de un archivo malicioso. A veces, esta selección puede solaparse con el orden de bytes en un archivo benigno. Eso es lo que llamamos una colisión firma. En realidad, hay pocas ocurrencias; los porcentajes son mínimos considerando el número de archivos que vemos diariamente y cuántas firmas publicamos diariamente/mensualmente/cada año. Todavía suceden, desafortunadamente.

¿Cómo lidiar con las colisiones?

Para algunos tipos de archivo, podemos expandir las firmas para tener una mejor precisión en la superposición de los bytes de la firma; Esto a menudo puede resolver colisiones. Cuando esto no es posible, hacemos una decisión educada basándonos en las ocurrencias del malware que atraviesa redes/firewalls que se reportan al enfoque automático. Si no hemos visto ese malware recientemente o últimamente, deshabilitaremos la firma a favor del archivo benigno para el que se activó la firma. Esta es una decisión de ingeniería; Estamos ponderando el beneficio para los usuarios finales-si el malware no se ha visto recientemente, y el archivo benigno es necesario para la continuidad del negocio, se deshabilitaría la firma en favor del archivo benigno.

Cuando decimos continuidad del negocio, esa no es una línea estricta que dibujamos aquí, pero la evaluamos en cada caso--algunos archivos de negocios intercambiados califican como justificados para la continuidad del negocio. Por otro lado, si el archivo de colisión es, por ejemplo, algún juego de vídeo basado en Flash, podríamos mantener nuestra firma a pesar de que tiene una colisión en el archivo benigno. Además, si el malware cuya firma hemos desactivado debe volver a activarse, es posible y probable que volveríamos a habilitar la firma independientemente de la colisión.

Una cosa más importante a tener en cuenta: mientras que se hace en raras ocasiones, tanto la inhabilitación y la habilitación de la firma se hace en cada caso, donde nuestros ingenieros Senior evaluar la importancia del negocio y el alcance y el grado de interrupción para el usuario final, comparándolo con los riesgos potenciales de eliminar una firma. Estas decisiones no se hacen a la ligera y se hacen con el mejor interés de todos nuestros usuarios en mente. 

Tenga en cuenta que si está experimentando un problema con una firma rehabilitada y está viendo problemas de colisión, pero la firma no ha sido deshabilitada, revise este artículo para crear una excepción en sus perfiles AV: https://Live.paloaltonetworks.com/T5 /Management-articles/How-to-use-Exceptions-to-Block-Threats/TA-p/66099