在许多IT安全商店,管理者依靠开源工具来跟上恶意软件坏家伙继续扔。一个行业最喜欢的是Sourcefire的母公司Snort IDS工具和ClamAV。
高级主管马特Watchinski Sourcefire VRT,给社会一个幕后看看脆弱性的研究团队,如何描绘了一个最近的研究关于图片的恶意软件和应用程序落进这网站。
方案:让我们开始与脆弱性研究小组所做的描述。
的Sourcefire VRT是一群网络安全专家全天工作发现,评估和应对最新的流行的黑客行为,入侵企图恶意软件和漏洞。一些最知名的安全专家,包括ClamAV团队和作者的几个标准安全参考书,是Sourcefire VRT。
支持团队的大量资源开源Snort和ClamAV社区,使其最大的组织,致力于网络安全行业的进步。VRT发展和维护官方规则集的Snort.org。每个规则是开发和测试使用相同的严格标准Sourcefire VRT用途的客户。VRT还保留许多平台的共享对象规则分布的二进制格式。
描述了恶意软件和漏洞团队发现了最近几个月。最新的研究有什么不同吗?
Watchinski:作为一个开源供应商,我们引进4每天演出的恶意二进制。单从ClamAV日志我们看到一天30000块的恶意软件,这是传统的95%,其余可采。我们继续看到很多大的恶意软件的家庭宙斯和僵尸僵尸网络。
坏人改变他们的每天的东西很快。我们处理50 - 60一天表明样品。我们面临的挑战是跟上自己的实时更新。
ClamAV Sourcefire收购了几年前。你能讨论关于ClamAV融入更广泛的Sourcefire阿森纳?
Watchinski:我们最近宣布合作提供一个免费的windows版本的ClamAV使用Immunet的基于云的集体免疫技术,用户的网络连接在一起的朋友在实时识别新的威胁,提供即时保护整个产品的用户基础。这是云的美丽可以帮助大家快速处理数据。用户不需要做更新他们的盒子,不必担心上传签名。实时更新发生。
你之前提到的,你找到30 - 40一天有趣的缺陷。你能告诉我们什么呢?
Watchinski:歌剧缺陷是在上周与远程代码看起来可采。我们验证。我们也看到了一些有针对性的pdf格式文件在过去的两个星期。这是一个多级攻击去的具体人数在一些组织中,专门针对那些人做什么。
Adobe在漏洞采取大量的热量的晚了。你看到的是什么?
Watchinski:我们经常看着Adobe。最主要的我们看到的是很多攻击包的闪避能力。恶意软件是为了逃避检测。它是由分析更加困难。我们将会看到更多的;更复杂的shell代码。Adobe这个东西是一个大目标。公司很难确定shell代码是做什么,什么样的数据被偷了。
你的团队有多大,如何设置?
Watchinski: VRT有三个团队,包括ClamAV团队,Snort团队和部门信息管理的数据来自开源社区。很多人在社区在推特上与我们交流。他们也用Snort.org论坛和邮件列表和开发人员列表。我们回到他们和分享我们的发现,通常在一对一的基础上。他们寄给我们的东西,我们把它拆开,看看它只是一个奇怪的网络异常或一个真正的威胁。所有在VRT告诉我们有20名员工。
这个故事,“内部Sourcefire脆弱性研究团队”最初发表的方案 。