Kako prikupljamo zlonamjerni softver za praktično testiranje antivirusa

Ovdje u PCMagu, kada pregledavamo proizvode, stavljamo ih kroz aparat za pranje, primjenjujući sve značajke da potvrdimo da oni rade i rade bez problema. Na primjer, za sigurnosne kopije proizvoda provjeravamo da li ispravno stvaraju sigurnosne kopije datoteka i čine li ih jednostavnim vraćanjem datoteka. Za proizvode za uređivanje video zapisa mjerimo čimbenike kao što su vrijeme prikazivanja. Za virtualne privatne mreže ili VPN-ove pokrećemo testove performansi koji se protežu na kontinentu. To je sve savršeno sigurno i jednostavno. Kad se radi o antivirusnim alatima, stvari postaju malo drukčije, jer ako stvarno provjera radi, znači da ih moramo podvrgnuti pravom zlonamjernom softveru.

Organizacija za ispitivanje standarda protiv zlonamjernog softvera (AMTSO) nudi zbirku stranica za provjeru značajki, tako da možete biti sigurni da vaš antivirus radi na uklanjanju zlonamjernog softvera, blokiranju preuzimanja putem pogona, sprečavanju phishing napada i tako dalje. Međutim, nema stvarnog zlonamjernog softvera. Sudjelujuće antivirusne tvrtke jednostavno pristaju konfigurirati svoje antivirusne i sigurnosne proizvode kako bi otkrile simulirane napade AMTSO-a. I nije svaka zaštitarska tvrtka odlučila sudjelovati.

Laboratoriji za antivirusno testiranje širom svijeta stavljaju sigurnosne alate putem napornih testova, koji povremeno izvještavaju o rezultatima. Kada su za proizvod dostupni rezultati laboratorijskih rezultata, tim ocjenama dajemo ozbiljnu težinu u recenziji tog proizvoda. Ako sva četiri laboratorija koja slijedimo daju najvišu ocjenu proizvoda, to će sigurno biti odličan izbor.

Nažalost, jedva četvrtina tvrtki koje testiramo sudjeluje sa sva četiri laboratorija. Još jedna četvrtina radi sa samo jednim laboratorijom, a potpuno 30 posto ne sudjeluje ni s jednim od četiri. Jasno je da je praktično testiranje nužno.

Čak i ako su laboratoriji izvijestili o svim proizvodima koje pokrivamo, još uvijek bismo obavili praktično testiranje. Želite li vjerovati pregledu automobila piscu koji nikada nije ni uzeo probnu vožnju? Ne.

Pogledajte kako testiramo antivirusni i sigurnosni softver

Lijevanje široke mreže

Samo zato što proizvod kaže: "Hej, uhvatio sam uzorak zlonamjernog softvera!" ne znači da je bila uspješna. Zapravo, naše testiranje često otkriva slučajeve gdje je antivirus uhvatio jednu komponentu zlonamjernog softvera, a dozvolio pokretanje druge. Moramo temeljito analizirati naše uzorke, primjećujući promjene koje unose u sustav kako bismo mogli potvrditi da je antivirus učinio ono što je tvrdio.

Neovisni laboratoriji imaju timove istraživača koji su posvećeni prikupljanju i analiziranju najnovijih uzoraka. PCMag ima samo nekoliko sigurnosnih analitičara koji su odgovorni za mnogo više od pukog prikupljanja i analiziranja zlonamjernog softvera. Možemo samo uštedjeti vrijeme za analizu novog skupa uzoraka jednom godišnje. Budući da će uzorci ostati u uporabi mjesecima, kasnije testirani proizvodi mogu imati više vremena za otkrivanje istog uzorka u wileu. Kako bismo izbjegli nepravednu prednost, započinjemo s uzorcima koji su se pojavili nekoliko mjeseci ranije. Za pokretanje postupka koristimo, između ostalog, svakodnevne feedove koje pruža MRG-Effitas.

U virtualnom stroju, spojenom na internet, ali izoliranom od lokalne mreže, pokrećemo jednostavan uslužni program koji uzima popis URL-ova i pokušava preuzeti odgovarajuće uzorke. U mnogim slučajevima URL, naravno, više ne vrijedi. U ovoj fazi želimo 400 do 500 uzoraka, jer postoji ozbiljna smetnja dok smanjujemo skup uzoraka.

Prvi winnowning pass eliminira datoteke koje su nemoguće male. Sve manje od 100 bajta očito je ulomak preuzimanja koji se nije dovršio.

Zatim izoliramo testni sustav od interneta i jednostavno pokrenemo svaki uzorak. Neki se uzorci ne pokreću zbog nekompatibilnosti s verzijom Windows ili nedostatka potrebnih datoteka; bum, otišli su. Drugi prikazuju poruku o pogrešci što ukazuje na neuspjeh instalacije ili neki drugi problem. Naučili smo ih držati u miksu; često se zlonamjerni pozadinski postupak nastavlja raditi nakon navodnog pada.

Dupe i otkrivanja

To što dvije datoteke imaju različita imena ne znači da se razlikuju. Naša shema prikupljanja obično sadrži mnogo duplikata. Srećom, nema potrebe uspoređivati ​​svaki par datoteka da biste vidjeli jesu li iste. Umjesto toga, koristimo hash funkciju koja je svojevrsna jednosmjerna enkripcija. Hash funkcija uvijek vraća isti rezultat za isti unos, ali čak i malo drugačiji ulaz daje neuobičajeno različite rezultate. Osim toga, nema načina da se s hash-a vrati na izvorno. Dvije datoteke koje imaju isti hash su iste.

U tu svrhu koristimo časni uslužni program HashMyFiles tvrtke NirSoft. Automatski identificira datoteke s istim hash-om, olakšavajući uklanjanje duplikata.

Još jedna upotreba za hashe

VirusTotal je nastao kao web stranica za istraživače koji dijele bilješke o zlonamjernom softveru. Trenutno podružnica Alphabeta (Googleova matična tvrtka) i dalje djeluje kao klirinška kuća.

Svatko može poslati datoteku VirusTotal na analizu. Na web mjestu se nalazi uzorak prošlosti antivirusnih motora iz više od 60 tvrtki za zaštitu i izvješćuje koliko ih je uzorak označio kao zlonamjerni softver. Također sprema hash datoteke, tako da ne mora ponavljati analizu ako se ista datoteka ponovno pojavi. Zgodno, HashMyFiles ima opciju jednim klikom za slanje hash-a datoteke na VirusTotal. Prolazimo kroz ove uzorke i zabilježimo što VirusTotal kaže o svakom.

Najzanimljivije su, naravno, one koje VirusTotal nikad nije vidio. Suprotno tome, ako 60 od 60 motora datoteci očisti zdravlje, vjerojatno je da nije zlonamjerni softver. Korištenje podataka za otkrivanje pomaže nam u postavljanju uzoraka od najvjerojatnije do najmanje vjerojatne.

Imajte na umu da sam VirusTotal jasno kaže da ga nitko ne bi trebao koristiti umjesto stvarnog antivirusnog mehanizma. Uprkos tome, od velike je pomoći u prepoznavanju najboljih izgleda za našu kolekciju zlonamjernog softvera.

Trčite i gledajte

U ovom trenutku započinje praktična analiza. Koristimo interni program (pametno nazvan RunAndWatch) za pokretanje i gledanje svakog uzorka. Uslužni program PCMag nazvan InCtrl (skraćeno za kontrolu instaliranja) snima snimke registra i datotečnog sustava prije i nakon pokretanja zlonamjernog softvera te izvještava o tome što se promijenilo. Naravno, saznanje da se nešto promijenilo ne dokazuje da je uzorak zlonamjernog softvera promijenio.

Microsoftov ProcMon Process Monitor nadgleda sve aktivnosti u stvarnom vremenu, bilježenje registra i radnji datoteka (između ostalog) svaki postupak. Čak su i kod naših filtera ogromni zapisi. Ali pomažu nam da povežemo promjene koje je InCtrl5 izvijestio s procesima koji su vršili te promjene.

Isperite i ponovite

Umetanje ogromnih trupaca iz prethodnog koraka u nešto korisno zahtijeva vrijeme. Pomoću drugog internog programa uklanjamo duplikate, skupljamo unose koji se čine zanimljivi i brišemo podatke koji očito nisu povezani sa uzorkom zlonamjernog softvera. Ovo je umjetnost i znanost; potrebno je mnogo iskustva za brzo prepoznavanje nebitnih predmeta i bilježenje važnih unosa.

Ponekad nakon ovog postupka filtriranja ne ostane ništa, što znači da bez obzira na uzorke, naš jednostavni sustav analize je to propustio. Ako uzorak prijeđe ovaj korak, prolazi kroz još jedan interni filtar. Ovaj detaljnije pregledava duplikate i započinje stavljanje podataka zapisnika u oblik koji koristi posljednji alat, onaj koji tijekom testiranja provjerava ima li tragova zlonamjernog softvera.

Prilagodbe u posljednjoj minuti

Vrhunac ovog procesa je naš NuSpyCheck alat (nazvan prije vremena kada je špijunski softver bio rasprostranjeniji). Sa svim obrađenim uzorcima, pokrećemo NuSpyCheck na čistom testnom sustavu. Često ćemo pronaći da se neki od, za koje smo mislili, da su tragovi zlonamjernog softvera, već postoje u sustavu. U tom slučaju, NuSpyCheck prebacimo u način uređivanja i uklonimo ih.

Ima još jedan slog, i to važan. Ponovno postavljanje virtualnog stroja na čisti snimak između testova, pokrećemo svaki uzorak, pustimo da se pokrene do kraja i provjerimo sustav pomoću NuSpyCheck. I ovdje se uvijek pojavljuju tragovi koji su se pojavili tijekom prikupljanja podataka, ali ne pojavljuju se u vrijeme ispitivanja, možda zato što su bili privremeni. Pored toga, mnogi uzorci zlonamjernog softvera koriste nasumično generirana imena za datoteke i mape, različita svaki put. Za te polimorfne tragove dodavamo bilješku koja opisuje uzorak, poput "izvršnog imena s osam znamenki".

Još nekoliko uzoraka napušta polje u ovoj završnoj fazi, jer sa svim brijanjem podataka nisu preostali ništa za mjerenje. Oni koji ostanu postaju sljedeći skup uzoraka zlonamjernog softvera. Od izvornih 400 do 500 URL-ova obično završimo s oko 30.

Izuzetak Ransomwarea

Otkupni softver za ormar s sustavom poput zloglasne Petye šifrira vaš tvrdi disk, čineći računalo neupotrebljivim dok ne platite otkupninu. Češći tipovi ransomwarea za šifriranje datoteka kriptiraju vaše datoteke u pozadini. Kad su učinili prljavo djelo, pojavili su veliku potražnju za otkupninu. Ne treba nam alat za otkrivanje da je antivirus propustio jedan od njih; zlonamjerni softver postaje jasan.

Mnogi sigurnosni proizvodi dodaju dodatne slojeve zaštite protiv razaranja, izvan osnovnih antivirusnih programa. To ima smisla. Ako vaš antivirus propusti trojanski napad, vjerojatno će ga očistiti za nekoliko dana nakon što dobije nove potpise. Ali ako vam nedostaje ransomware, nemate sreće. Kad je to moguće, onemogućujemo osnovne antivirusne komponente i testiramo može li sustav zaštite od ransomwarea zaštititi vaše datoteke i računalo.

Što ovi uzorci nisu

Veliki laboratoriji za testiranje antivirusa mogu upotrebljavati tisuće datoteka za testiranje statičkog prepoznavanja datoteka, a stotine za dinamičko testiranje (što znači da pokreću uzorke i vide što antivirus čini). Ne pokušavamo za to. Naši 30-ak slučajnih uzoraka omogućuje nam da osjetimo kako antivirus postupa s napadima, a kad iz laboratorija nemamo rezultata, moramo se vratiti na nešto.

Trudimo se osigurati kombinaciju mnogih vrsta zlonamjernog softvera, uključujući ransomware, trojance, viruse i još mnogo toga. Uključujemo i neke potencijalno neželjene aplikacije (PUA), pa obavezno uključite otkrivanje PUA u testiranom proizvodu, ako je potrebno.

Neke aplikacije za zlonamjerni softver otkrivaju kada rade u virtualnom stroju i suzdržavaju se od gadnih aktivnosti. To je u redu; jednostavno ih ne koristimo. Neki čekaju satima ili danima prije aktiviranja. Još jednom, jednostavno ih ne koristimo.

Nadamo se da će vam ovaj pogled iza kulisa na našem praktičnom testiranju zaštite od zlonamjernog softvera dati uvid u to koliko ćemo daleko morati doživjeti antivirusnu zaštitu. Kao što je napomenuto, mi nemamo posvećen tim istraživača antivirusa kao što to rade veliki laboratoriji, ali mi vam donosimo izvještaje koji se nalaze u rovovima i koje nećete pronaći nigdje drugdje.