Malware verspreiden door bedorven documenten bijvoegen naar e-mails is een van de oudste trucs in het boek. Het is niet alleen een theoretisch risico - echte aanvallers gebruik kwaadaardige documenten om de hele tijd doelen te infecteren. Dus naast zijn inspanningen op het gebied van antispam en phishing, breidde Gmail zijn malwaredetectiemogelijkheden eind vorig jaar uit met meer op maat gemaakte documentmonitoring. Goed nieuws, het werkt.

Op de RSA-beveiligingsconferentie in San Francisco op dinsdag, zal Google's beveiligings- en antimisbruikonderzoekleider Elie Bursztein bevindingen presenteren over hoe de nieuwe deep-learning scanner voor documenten het doet ten opzichte van de 300 miljard bijlagen die het elke week moet verwerken. Het is een uitdaging om het verschil te zien tussen legitieme documenten in al hun oneindige variaties en documenten die specifiek zijn gemanipuleerd om iets gevaarlijks te verbergen. Google zegt dat 63 procent van de kwaadaardige documenten die het elke dag blokkeert, anders zijn dan de documenten die de dag ervoor door hun systemen werden gemarkeerd. Maar dit is precies het type patroonherkenningsprobleem waarbij deep learning nuttig kan zijn.

Momenteel is 56 procent van de malwarebedreigingen tegen Gmail-gebruikers afkomstig van Microsoft Office-documenten en 2 procent van pdf's. In de maanden dat het actief is, heeft de nieuwe scanner de dagelijkse detectie van schadelijke Office-documenten met 10 procent verhoogd.

'Tien procent is belangrijk', zei Bursztein tegen WIRED. "We proberen de kloof zo veel mogelijk te dichten. We willen machine learning overal en waar mogelijk toevoegen waar het zinvol is. Machine learning doet soms verbazingwekkende dingen, maar soms wordt het overhyped. We proberen het als een extraatje te gebruiken. laag in plaats van de enige laag. We denken dat dat veel beter werkt. "

De documentanalysator zoekt naar veelvoorkomende rode vlaggen, controleert bestanden op componenten die mogelijk opzettelijk zijn verduisterd en voert andere controles uit, zoals het onderzoeken van macro's - de tool in Microsoft Word-documenten die opdrachten in een reeks aaneenschakelt en vaak wordt gebruikt bij aanvallen. De hoeveelheid kwaadaardige documenten die aanvallers verzenden, varieert sterk van dag tot dag. Bursztein zegt dat de documentscanner sinds de implementatie bijzonder goed is in het markeren van verdachte documenten die in bursts zijn verzonden door kwaadwillende botnets of via andere massadistributiemethoden. Hij was ook verrast om te ontdekken hoe effectief de scanner is bij het analyseren Microsoft Excel-documenten, een ingewikkeld bestandsformaat dat moeilijk te beoordelen kan zijn.

Hoewel een detectieverhoging van 10 procent misschien niet veel klinkt, is het een enorme verbetering op de schaal waaraan Google werkt, en elke winst is productief gezien het feit dat de dreiging van kwaadaardige documenten over de hele wereld een reëel probleem is. Bursztein zegt dat bedrijven en non-profitorganisaties drie keer meer kans hebben om door kwaadaardige documenten te worden aangevallen dan andere organisaties, en dat overheidsinstanties vijf keer meer kans hebben. Sommige industrieën zullen ook eerder het doelwit zijn dan andere. Nutsbedrijven voor transport en kritieke infrastructuur hebben bijvoorbeeld een veel hoger risico dan de onderwijssector.

De prevalentie van kwaadaardige documentaanvallen varieert over de hele wereld, maar voor aanvallers is de aanpak altijd een optie. Bursztein wijst erop dat kits voor het maken van kwaadaardige documenten en het op maat maken ervan om antivirusscanners te ontwijken, direct beschikbaar zijn in online criminele fora, in prijs variërend van ongeveer $ 400 tot $ 5,000.

Terwijl de scanner meer kwaadaardige documenten vangt dan ooit, zullen Bursztein en zijn collega's deze blijven verfijnen in de hoop een nog groter deel van de malware te blokkeren die wereldwijd naar Gmail-accounts wordt verzonden.

"Malware is iets dat we deden na spam en phishing, omdat malware een beetje moeilijker is", zegt hij. "We hebben de malware zelf niet in een e-mail; de documenten zijn alles wat we op dat moment hebben. Maar we willen altijd onze detectiemogelijkheden verbeteren en met kwaadaardige documenten hebben we degene gekozen waar we de meeste impact kunnen hebben op onze gebruikers . "

Wanneer een complete hack gewoon een schurkenstaten-download van Word-documenten is, nemen gebruikers alle extra bescherming die ze kunnen krijgen.