Ako zhromažďujeme malware na praktické antivírusové testovanie

Tu v spoločnosti PCMag, keď preskúmame produkty, sme ich vložili do žmýkačky, vykonávali všetky funkcie, aby sme potvrdili, že fungujú a že fungujú hladko. Napríklad v prípade zálohovacích produktov kontrolujeme, či správne zálohujú súbory a uľahčujú obnovu zo zálohy. V prípade produktov na úpravu videa merame faktory, ako je napríklad čas vykresľovania. V prípade virtuálnych súkromných sietí alebo sietí VPN spúšťame testy výkonnosti s kontinentom. To je všetko úplne bezpečné a jednoduché. Čo sa týka antivírusových nástrojov, situácia sa trochu líši, pretože skutočné overenie ich fungovania znamená, že ich musíme podrobiť skutočnému malvéru.

Organizácia Anti-Malware Testing Standards Organization (AMTSO) ponúka kolekciu stránok na kontrolu funkcií, takže si môžete byť istí, že váš antivírus pracuje na odstránení škodlivého softvéru, blokovaní stiahnutí z disku, zabránení phishingovým útokom atď. Neexistuje však žiadny skutočný malware. Zúčastnené antivírusové spoločnosti jednoducho súhlasia s konfiguráciou svojich antivírusových a bezpečnostných balíkov na detekciu simulovaných útokov AMTSO. Nie každá bezpečnostná spoločnosť sa rozhodne zúčastniť.

Laboratóriá na testovanie antivírusových programov na celom svete zavádzajú bezpečnostné nástroje prostredníctvom vyčerpávacích testov a pravidelne oznamujú výsledky. Ak sú pre daný produkt k dispozícii laboratórne výsledky, pri hodnotení tohto produktu dáme týmto skóre vážnu váhu. Ak všetky štyri laboratóriá, ktoré sledujeme, udeľujú najvyššie hodnotenie produktu, je to určite vynikajúca voľba.

Bohužiaľ, sotva štvrtina spoločností, ktoré testujeme, sa zúčastňuje na všetkých štyroch laboratóriách. Ďalšia štvrtina pracuje iba s jedným laboratóriom a 30% sa nezúčastňuje žiadnej zo štyroch. Je zrejmé, že praktické testovanie je nevyhnutnosťou.

Aj keď laboratóriá informovali o všetkých produktoch, ktoré pokrývame, stále vykonávame praktické testy. Verili by ste autorovi od spisovateľa, ktorý nikdy nevyužil skúšobnú jazdu? Nie.

Pozrite sa, ako testujeme antivírusový a bezpečnostný softvér

Odlievanie širokej siete

Len preto, že produkt hlásil: „Hej, zachytil som vzorku škodlivého softvéru!“ neznamená, že to bolo úspešné. V skutočnosti naše testovanie často odhalí prípady, keď antivírusový program zachytil jednu súčasť škodlivého softvéru, ale nechal bežať ďalšiu. Musíme dôkladne analyzovať naše vzorky a všimnúť si zmeny, ktoré v systéme vykonajú, aby sme mohli potvrdiť, že antivírus urobil to, čo tvrdil.

Nezávislé laboratóriá majú tímy vedcov, ktorí sa venujú zberu a analýze najnovších vzoriek. PCMag má len niekoľko bezpečnostných analytikov, ktorí sú zodpovední za oveľa viac ako len zhromažďovanie a analýzu škodlivého softvéru. Môžeme ušetriť čas na analýzu novej sady vzoriek iba raz ročne. Pretože vzorky zostanú v prevádzke niekoľko mesiacov, výrobky testované neskôr môžu mať tú výhodu, že na detekciu tej istej vzorky vo vzorke budú mať viac času. Aby sme sa vyhli akejkoľvek nespravodlivej výhode, začneme vzorkami, ktoré sa objavili pred niekoľkými mesiacmi. Na začatie procesu používame okrem iného denné zdroje dodávané spoločnosťou MRG-Effitas.

Vo virtuálnom počítači, ktorý je pripojený k internetu, ale je izolovaný od lokálnej siete, spustíme jednoduchý nástroj, ktorý prevezme zoznam adries URL a pokúsi sa stiahnuť príslušné vzorky. V mnohých prípadoch už URL samozrejme nie je platná. V tejto fáze chceme 400 až 500 vzoriek, pretože pri zisťovaní množiny vzoriek existuje vážna miera opotrebenia.

Prvý preukaz na získanie vedomia vylučuje súbory, ktoré sú neuveriteľne malé. Čokoľvek s menej ako 100 bajtmi je jednoznačne zlomok sťahovania, ktoré nebolo dokončené.

Ďalej izolujeme testovací systém od internetu a jednoducho spustíme každú vzorku. Niektoré vzorky sa nespustia z dôvodu nekompatibility s verziou Windows alebo chýbajúcich potrebných súborov; boom, sú preč. Iné zobrazujú chybové hlásenia, ktoré naznačujú zlyhanie inštalácie alebo iný problém. Naučili sme sa udržať ich v zmesi; škodlivý proces na pozadí často funguje aj po údajnom zlyhaní.

Dupy a detekcie

To, že dva súbory majú rôzne názvy, neznamená, že sa líšia. V našej schéme zhromažďovania sa zvyčajne objavuje veľa duplikátov. Našťastie nie je potrebné porovnávať každý pár súborov, aby sme zistili, či sú rovnaké. Namiesto toho používame hash funkciu, ktorá je akýmsi jednosmerným šifrovaním. Hashova funkcia vždy vracia rovnaký výsledok pre ten istý vstup, ale aj mierne odlišný vstup vedie k veľmi odlišným výsledkom. Okrem toho neexistuje žiadny spôsob, ako ísť z hash späť k originálu. Dva súbory, ktoré majú rovnaký hash, sú rovnaké.

Na tento účel používame úctyhodný program HashMyFiles od spoločnosti NirSoft. Automaticky identifikuje súbory s rovnakým hashom, čo uľahčuje odstránenie duplikátov.

Ďalšie použitie pre hash

VirusTotal vznikol ako webová stránka pre vedcov na zdieľanie poznámok o škodlivom softvéri. V súčasnosti je dcérskou spoločnosťou spoločnosti Alphabet (materská spoločnosť spoločnosti Google) a naďalej funguje ako klíringové stredisko.

Ktokoľvek môže poslať súbor na VirusTotal na analýzu. Na tejto stránke sa spúšťajú ukážkové antivírusové programy od viac ako 60 bezpečnostných spoločností a uvádza sa, koľko označilo vzorku ako malware. Uloží tiež hash súboru, takže ak sa ten istý súbor znova zobrazí, nemusí túto analýzu opakovať. HashMyFiles má zvyčajne možnosť jediným kliknutím odoslať hash súboru do VirusTotal. Prejdeme si ukážky, ktoré sa dostali tak ďaleko, a všimneme si, čo o nich VirusTotal hovorí.

Najzaujímavejšie sú samozrejme tie, ktoré VirusTotal nikdy nevidel. Naopak, ak 60 zo 60 motorov dá súboru čistý zdravotný stav, je pravdepodobné, že to nie je malware. Použitie detekčných údajov nám pomáha usporiadať vzorky od najpravdepodobnejšej po najmenšiu pravdepodobnú.

Upozorňujeme, že samotný VirusTotal jasne uvádza, že ho nikto nemá používať namiesto skutočného antivírusového nástroja. Aj napriek tomu je to veľká pomoc pri identifikácii najlepších perspektív našej kolekcie škodlivého softvéru.

Spustite a sledujte

V tomto okamihu sa začne praktická analýza. Na spustenie a sledovanie každej vzorky používame interný program (šikovne pomenovaný RunAndWatch). Nástroj PCMag s názvom InCtrl (skratka pre Install Control) sníma databázu Registry a súborový systém pred a po spustení škodlivého softvéru a oznámi, čo sa zmenilo. Vedieť, že niečo zmenené, samozrejme nedokazuje, že to vzorka malvéru zmenila.

Microsoft ProcMon Process Monitor monitoruje všetky činnosti v reálnom čase a zaznamenáva akcie registra a systému súborov (okrem iného) každým procesom. Aj pri našich filtroch sú protokoly obrovské. Pomáhajú nám však spojiť zmeny, ktoré nahlásil InCtrl5, s procesmi, ktoré tieto zmeny vykonali.

Opláchnite a opakujte

Varenie obrovských protokolov z predchádzajúceho kroku na niečo použiteľné si vyžaduje čas. Pomocou iného interného programu eliminujeme duplikáty, zhromažďujeme záznamy, ktoré sa zdajú byť zaujímavé, a vymažeme údaje, ktoré jednoznačne nesúvisia so vzorkou škodlivého softvéru. Toto je umenie aj veda; rýchle rozpoznanie nepodstatných položiek a zachytenie dôležitých položiek vyžaduje veľa skúseností.

Niekedy po tomto procese filtrovania nezostane už nič, čo znamená, že nech už urobila vzorku, náš jednoduchý systém analýzy to nevynechal. Ak vzorka prejde týmto krokom, prechádza ďalším interným filtrom. Tento podrobnejšie hľadá duplikáty a začne ukladať údaje denníka do formátu používaného konečným nástrojom, ktorý kontroluje prítomnosť škodlivého softvéru počas testovania.

Úpravy na poslednú chvíľu

Vyvrcholením tohto procesu je náš program NuSpyCheck (pomenovaný už dávno, keď bol rozšírený spyware). Pri spracovaní všetkých vzoriek spustíme program NuSpyCheck na čistom testovacom systéme. Pomerne často zistíme, že niektoré z toho, čo sme považovali za stopy malvéru, sa v systéme už vyskytujú. V takom prípade prepneme program NuSpyCheck do režimu úprav a odstránime ich.

Je tu ešte jeden slogan a je to dôležitý. Obnovením virtuálneho počítača medzi jednotlivými skúškami urobíme čistú snímku, spustíme každú vzorku, necháme ju bežať do konca a skontrolujeme systém pomocou programu NuSpyCheck. Aj tu stále existujú stopy, ktoré sa javili počas zberu údajov, ale nezobrazujú sa v testovacej dobe, pravdepodobne preto, že boli dočasné. Mnoho vzoriek škodlivého softvéru navyše používa náhodne generované názvy súborov a priečinkov, ktoré sa zakaždým líšia. Pre tieto polymorfné stopy pridávame poznámku popisujúcu vzor, ​​napríklad „spustiteľný názov s ôsmimi číslicami“.

Niekoľko ďalších vzoriek opúšťa pole v tejto konečnej fáze, pretože pri všetkých oholeniach dátových bodov nezostalo nič na meranie. Tie, ktoré zostanú, sa stanú ďalšou sadou vzoriek škodlivého softvéru. Z pôvodných 400 na 500 URL zvyčajne skončíme s približne 30.

Výnimka Ransomware

Systémový ransomware systému, ako je notoricky známy Petya, šifruje váš pevný disk, takže počítač je nepoužiteľný, kým nezaplatíte výkupné. Bežnejšie typy šifrovania súborov ransomware šifrujú vaše súbory na pozadí. Keď urobia špinavý skutok, objavia veľký dopyt po výkupnom. Nepotrebujeme pomocný program na zistenie, že antivírusový program jeden z nich nevynechal; malware sa stáva jasným.

Mnoho bezpečnostných produktov pridáva ďalšie vrstvy ochrany ransomware nad rámec základných antivírusových programov. To dáva zmysel. Ak váš antivírus zmešká útok trójskych koní, pravdepodobne ho vyčistí o niekoľko dní potom, čo dostane nové podpisy. Ale ak vám chýba ransomware, máte šťastie. Ak je to možné, zakážeme základné antivírusové komponenty a otestujeme, či samotný systém ochrany pomocou ransomware dokáže uchovať vaše súbory a počítač v bezpečí.

Čo tieto vzorky nie sú

Veľké laboratóriá na testovanie antivírusových programov môžu na testovanie rozpoznávania statických súborov použiť tisíce súborov a mnoho stoviek na dynamické testovanie (čo znamená, že spúšťajú vzorky a sledujú, čo antivírus robí). Nesnažíme sa o to. Naše 30-nepárne vzorky nám umožňujú zistiť, ako antivírusové úchytky útočia, a keď nemáme žiadne výsledky z laboratórií, musíme sa na niečo spoľahnúť.

Snažíme sa zabezpečiť kombináciu mnohých druhov škodlivého softvéru vrátane ransomwaru, trójskych koní, vírusov a ďalších. Zahrnujeme aj niektoré potenciálne nežiaduce aplikácie (PUA), v prípade potreby nezabudnite zapnúť detekciu PUA v testovanom produkte.

Niektoré škodlivé aplikácie zisťujú, keď bežia vo virtuálnom počítači, a zdržia sa nepríjemnej činnosti. To je v poriadku; jednoducho ich nepoužívame. Niektorí čakajú hodiny alebo dni, kým sa aktivujú. Opäť ich jednoducho nepoužívame.

Dúfame, že tento nahliadnutie do zákulisia pri našom praktickom testovaní ochrany pred malvérom vám poskytlo určitý prehľad o tom, ako ďaleko pôjdeme zažiť antivírusovú ochranu v akcii. Ako už bolo uvedené, nemáme špecializovaný tím antivírusových výskumníkov tak, ako to robia veľké laboratóriá, ale prinášame vám správy v zákopoch, ktoré nikde inde nenájdete.