¿Qué es una colisión de firmas?

¿Qué es una colisión de firmas?

Las muestras benignas pueden desencadenar firmas que se han creado originalmente para un ejemplo de "veredicto de malware" diferente. Esto se debe al hecho de que la muestra Benign puede contener exactamente los mismos valores de bytes en los mismos desplazamientos de bytes que un ejemplo anterior de "veredicto malintencionado" para el que se produjo una firma basada en patrones. Cuando esto ocurre, esto se conoce como una colisión de firma.

El veredicto malicioso en la muestra que produjo originalmente la firma puede ser un verdadero positivo (un verdadero archivo de malware recibió un veredicto de malware) o, también puede ser un falso positivo (un verdadero archivo benigno recibió un veredicto de malware). Estos dos escenarios determinan si el escenario es el de una colisión de firmas con la firma de un verdadero positivo, o una colisión de firma con la firma de un falso positivo. La ruta de resolución para cualquiera de los escenarios es diferente.

El primer paso es asegurarse de que está ejecutando los paquetes antivirus y de firma más recientes WildFire en actualizaciones dinámicas y de que está configurada la programación adecuada para descargar e instalar. Las frecuencias de comprobación de actualización de actualización dinámica recomendadas son cada hora para Antivirus y Cada minuto para WildFire (o tiempo real si se ejecuta PAN-OS >= 10.0).

A continuación, busque en Threat Vault la amenaza universal que se ID está desencadenando y busque los hashes sha256 asociados a la firma y, a continuación, utilice los hashes sha256 encontrados para buscar en VirusTotal para obtener alguna noción basada en la tasa de detección, esto le ayudará a medir si estos (ejemplos vinculados a la firma) pueden o no ser falsos positivos.

Para el caso de una colisión de firma con un falso positivo, informe del veredicto incorrecto de la muestra asociada a la firma, (aunque puede ser poco probable que tenga una copia disponible de la muestra original), si la muestra original no estaba disponible para informar a través de las opciones de "informe de veredicto incorrecto", solicite el cambio de veredicto con soporte.

Para el caso de una colisión de firma con un verdadero positivo, la recomendación es colocar una excepción Antivirus. (Referencia "Excepciones antivirus"). Si una excepción antivirus no era adecuada (Palo Alto Networks evalúa si el ejemplo es un ejemplo específico del entorno o un archivo ampliamente popular que afecta a un gran número de clientes), el caso se puede notificar al soporte de redes de Palo Alto siguiendo las instrucciones de Cómo enviar un falso positivo antivirus.