Was ist eine Signatur-Kollision?

Was ist eine Signatur-Kollision?

Gutartige Beispiele können Signaturen auslösen, die ursprünglich für ein anderes "Malware-Urteil"-Beispiel erstellt wurden. Dies ist darauf zurückzuführen, dass die Benign-Probe genau die gleichen Bytewerte in denselben Byteoffsets enthalten kann wie eine zuvor "Bösartiges Urteil"-Beispiel, für das eine musterbasierte Signatur erstellt wurde. Wenn dies geschieht, wird dies als Signatur-Kollision bezeichnet.

Das böswillige Urteil auf der Probe, die ursprünglich die Signatur produziert kann entweder ein echtes positives sein (eine echte Malware-Datei erhielt ein Malware-Urteil) oder, es kann auch ein falsch positives sein (eine echte gutartige Datei erhielt ein Malware-Urteil). Diese beiden Szenarien bestimmen, ob es sich bei dem Szenario um eine Signaturkollision mit der Signatur eines echten Positivs oder um eine Signaturkollision mit der Signatur eines falsch positiven Ist. Die Lösungsroute für beide Szenarien ist unterschiedlich.

Der erste Schritt besteht darin, sicherzustellen, dass Sie die neuesten Antivirus- und Signaturpakete in Dynamic Updates ausführen und dass der richtige Zeitplan für das WildFire Herunterladen und Installieren konfiguriert ist. Die empfohlenen Aktualisierungshäufigkeiten für dynamische Updates sind stündlich für Antivirus und jede Minute für WildFire (oder Echtzeit, wenn PAN-OS >= 10.0 ausgeführt wird).

Suchen Sie dann in Threat Vault nach der allgemeinen Bedrohung, die ID ausgelöst wird, und finden Sie die sha256-Hashes, die der Signatur zugeordnet sind, und verwenden Sie dann die gefundenen sha256-Hashes, um in VirusTotal zu suchen, um einen Begriff basierend auf der Erkennungsrate zu erhalten, dies wird Ihnen helfen, zu beurteilen, ob diese (Proben, die mit der Signatur verknüpft sind) möglicherweise Falschpositive sind.

Für den Fall einer Signaturkollision mit einem falsch positiven, melden Sie bitte falsches Urteil der Probe, die mit der Signatur verbunden ist (obwohl es unwahrscheinlich ist, dass Sie eine leicht verfügbare Kopie der ursprünglichen Probe haben), wenn die ursprüngliche Probe nicht verfügbar war, um über die Optionen "Falsches Urteil melden" zu melden, fordern Sie die Änderung des Urteils mit Support an.

Bei einer Signaturkollision mit einem echten Positiv empfiehlt es sich, eine Antivirus-Ausnahme zu platzieren. (Referenz "Antivirus-Ausnahmen"). Wenn eine Antivirus-Ausnahme nicht geeignet war (Palo Alto Networks wertet aus, ob es sich bei dem Beispiel um ein umgebungsspezifisches Beispiel handelt oder um eine sehr beliebte Datei, die eine große Anzahl von Kunden betrifft), kann der Fall gemäß den Anweisungen unter Einreichen eines Anti-Virus-False-Positivsan den Palo Alto Networks Support gemeldet werden.