Cum colectăm malware pentru testarea antivirus hands-on

Aici, la PCMag, când analizăm produsele, le trecem prin zgâriere, exercitând toate caracteristicile pentru a confirma că funcționează și funcționează fără probleme. Pentru produsele de rezervă, de exemplu, verificăm dacă fac copie de siguranță a fișierelor și fac ușor restaurarea de la backup. Pentru produsele de editare video, măsurăm factori precum timpul de redare. Pentru rețelele private virtuale sau VPN, rulăm teste de performanță pe continent. Este perfect sigur și simplu. Lucrurile devin puțin diferite atunci când vine vorba de instrumente antivirus, deoarece verificarea cu adevărat a funcționării înseamnă că trebuie să le supunem malware-urilor reale.

Organizația de testare anti-malware (AMTSO) oferă o colecție de pagini de verificare a funcțiilor, astfel încât să vă asigurați că antivirusul dvs. lucrează pentru a elimina malware, a bloca descărcările drive-by, a preveni atacurile de phishing și așa mai departe. Cu toate acestea, nu este implicat malware real . Companiile participante la antivirus acceptă pur și simplu să își configureze produsele antivirus și suite de securitate pentru a detecta atacurile simulate de AMTSO. Și nu orice companie de securitate alege să participe.

Laboratoarele de testare antivirus din întreaga lume pun instrumente de securitate prin teste dărâmătoare, raportând periodic rezultatele. Când rezultatele laboratorului sunt disponibile pentru un produs, acordăm o pondere serioasă acestor scoruri în revizuirea produsului respectiv. Dacă toate cele patru laboratoare pe care le urmăm le acordă cea mai mare evaluare unui produs, este sigur că va fi o alegere excelentă.

Din păcate, aproape un sfert din companiile testate participă cu toate cele patru laboratoare. Un alt sfert lucrează cu un singur laborator și 30% din total nu participă la niciunul dintre cei patru. În mod clar, testarea hands-on este o necesitate.

Chiar dacă laboratoarele raportau la toate produsele pe care le acoperim, am mai face teste practice. Ai avea încredere într-o recenzie auto a unui scriitor care niciodată nu a luat un test drive? Nu.

Vedeți cum testăm antivirus și software de securitate

Turnarea unei largi plase

Doar pentru că produsul raportează „Hei, am prins un eșantion de malware!” nu înseamnă că a avut succes. De fapt, testarea noastră dezvăluie adesea cazuri în care antivirusul a prins o componentă malware, dar a permis rulării altuia. Trebuie să analizăm temeinic eșantioanele noastre, notând modificările aduse sistemului, astfel încât să putem confirma că antivirusul a făcut ceea ce pretindea.

Laboratoarele independente au echipe de cercetători dedicate culegerii și analizării ultimelor probe. PCMag are doar câțiva analiști de securitate, care sunt responsabili pentru mult mai mult decât doar colectarea și analizarea programelor malware. Putem doar să pierdem timpul pentru a analiza un nou set de eșantioane o dată pe an. Întrucât eșantioanele vor rămâne în funcțiune luni întregi, produsele testate mai târziu pot avea avantajul mai mult timp pentru a detecta același eșantion în pământ. Pentru a evita orice avantaj neloial, începem cu probe apărute cu câteva luni mai devreme. Folosim fluxurile zilnice furnizate de MRG-Effitas, printre altele, pentru a începe procesul.

Într-o mașină virtuală, conectată la internet, dar izolată de rețeaua locală, rulăm o utilitate simplă care ia lista adreselor URL și încearcă să descarce mostrele corespunzătoare. În multe cazuri, URL-ul nu mai este valabil, desigur. În această fază, dorim 400 până la 500 de eșantioane, deoarece există o rată serioasă de atritie, pe măsură ce coborâm setul de probe.

Prima trecere de câștig elimină fișierele imposibil de mici. Orice mai puțin de 100 de octeți este clar un fragment dintr-o descărcare care nu a fost finalizată.

În continuare, izolăm sistemul de testare de internet și lansăm pur și simplu fiecare eșantion. Unele dintre eșantioane nu se lansează din cauza incompatibilității cu versiunea Windows sau a absenței fișierelor necesare; boom, au dispărut. Alții afișează o eroare de mesagerie care indică o defecțiune de instalare sau o altă problemă. Am învățat să îi păstrăm pe cei în amestec; adesea, un proces de fond rău intenționat continuă să funcționeze după presupusul accident.

Dupele și detecții

Doar pentru că două fișiere au nume diferite nu înseamnă că sunt diferite. Schema noastră de colectare apare de obicei multe duplicate. Din fericire, nu este nevoie să comparați fiecare pereche de fișiere pentru a vedea dacă sunt la fel. În schimb, folosim o funcție hash, care este un fel de criptare unidirecțională. Funcția hash întoarce întotdeauna același rezultat pentru aceeași intrare, dar chiar și o intrare ușor diferită dă rezultate sălbatic diferite. În plus, nu există nicio cale de a trece de la hașă înapoi la original. Două fișiere care au același hash sunt aceleași.

Folosim venerabilul utilitar HashMyFiles de la NirSoft în acest scop. Identifică automat fișierele cu același hash, ceea ce face ușor să scapi de duplicate.

O altă utilizare pentru hașe

VirusTotal a apărut ca un site web pentru ca cercetătorii să partajeze note despre malware. În prezent, filială a Alphabet (compania-mamă Google), continuă să funcționeze ca o casă de compensare.

Oricine poate trimite un fișier la VirusTotal pentru analiză. Site-ul rulează eșantionul motoarelor antivirus din mai mult de 60 de companii de securitate și raportează câte persoane au indicat eșantionul drept malware. De asemenea, salvează hash-ul fișierului, deci nu trebuie să repete acea analiză dacă același fișier apare din nou. În mod convenabil, HashMyFiles are o opțiune cu un singur clic pentru a trimite hash-ul unui fișier la VirusTotal. Rulăm prin eșantioanele care au ajuns până acum și observăm ce spune VirusTotal despre fiecare.

Cele mai interesante, desigur, sunt cele pe care VirusTotal nu le-a văzut niciodată. În schimb, dacă 60 din 60 de motoare oferă unui fișier o factură curată a sănătății, șansele sunt bune, nu este malware. Utilizarea cifrelor de detectare ne ajută să punem probele în ordine de la cel mai probabil la cel mai puțin probabil.

Rețineți că VirusTotal în sine afirmă clar că nimeni nu ar trebui să-l folosească în locul unui motor antivirus real. Chiar și așa, este un mare ajutor în identificarea celor mai bune perspective pentru colectarea noastră de malware.

Fugi și urmărește

În acest moment, începe analiza practică. Folosim un program intern (denumit în mod inteligent RunAndWatch) pentru a rula și urmări fiecare probă. Un utilitar PCMag numit InCtrl (scurt pentru Instalarea controlului) surprinde registrul și sistemul de fișiere înainte și după lansarea programelor malware, raportând ce s-a schimbat. Desigur, știind că ceva s-a schimbat nu dovedește că proba malware a schimbat-o.

Programul ProcMon Microsoft Monitor monitorizează toate activitățile în timp real, înregistrând acțiunile Registrului și ale sistemului de fișiere (printre altele) de fiecare proces. Chiar și cu filtrele noastre, jurnalele sale sunt uriașe. Dar ne ajută să legăm modificările raportate de InCtrl5 la procesele care au făcut aceste modificări.

Clătiți și repetați

Fierberea jurnalelor uriașe de la pasul anterior în ceva utilizabil necesită timp. Folosind un alt program intern, eliminăm duplicatele, adunăm înregistrări care par a fi de interes și ștergem date care nu au legătură cu eșantionul malware. Aceasta este o artă, precum și o știință; este nevoie de multă experiență pentru a recunoaște rapid articolele neesențiale și a surprinde intrări de importanță.

Uneori, după acest proces de filtrare, nu a mai rămas nimic, ceea ce înseamnă că, indiferent ce a făcut eșantionul, sistemul nostru simplu de analiză a ratat-o. Dacă un eșantion depășește acest pas, trece prin încă un filtru intern. Acesta analizează mai atent duplicatele și începe să introducă datele de jurnal într-un format folosit de instrumentul final, cel care verifică urmele de malware în timpul testării.

Reglaje de ultimă oră

Punctul culminant al acestui proces este utilitarul nostru NuSpyCheck (numit în urmă cu spionul mai răspândit). Cu toate probele procesate, rulăm NuSpyCheck pe un sistem de test curat. Destul de des, vom descoperi că unele dintre ceea ce credeam că sunt urme de malware se dovedesc a fi deja prezente în sistem. În acest caz, turnăm NuSpyCheck în modul de editare și le eliminăm.

Mai există încă un slog și este unul important. Resetând mașina virtuală la o instantanee curată între teste, lansăm fiecare eșantion, îl lăsăm să ruleze până la finalizare și verificăm sistemul cu NuSpyCheck. Aici, din nou, există întotdeauna câteva urme care păreau să apară în timpul captării datelor, dar care nu apar la momentul testării, poate pentru că erau temporare. În plus, multe probe malware folosesc nume generate aleatoriu pentru fișiere și foldere, diferite de fiecare dată. Pentru acele urme polimorfe, adăugăm o notă care descrie modelul, cum ar fi „numele executabil cu opt cifre”.

Alte câteva probe părăsesc câmpul în această fază finală, deoarece cu toate bărbieritul punctelor de date nu a mai rămas nimic de măsurat. Cele care rămân devin următorul set de probe malware. De la 400 până la 500 de adrese URL originale, obișnuim să obținem aproximativ 30.

Excepția Ransomware

Ransomware-locker de sistem, cum ar fi celebrul Petya, criptează hard disk-ul, ceea ce face computerul inutilizabil până când plătiți răscumpărarea. Tipurile de ransomware de criptare a fișierelor mai frecvente criptează fișierele în fundal. Când au săvârșit fapta murdară, apar o cerere mare de răscumpărare. Nu avem nevoie de utilitate pentru a detecta că antivirus a ratat una dintre acestea; programul malware devine clar.

Multe produse de securitate adaugă straturi suplimentare de protecție ransomware, dincolo de motoarele antivirus de bază. Are sens. Dacă antivirusul tău ratează un atac troian, probabil că îl va șterge în câteva zile după ce va primi semnături noi. Dar dacă îi lipsește ransomware-ul, ești fără noroc. Când este posibil, dezactivăm componentele antivirus de bază și testăm dacă singurul sistem de protecție ransomware vă poate păstra fișierele și computerul în siguranță.

Ce nu sunt aceste probe

Marile laboratoare de testare antivirus pot utiliza multe mii de fișiere pentru testarea statică a recunoașterii fișierelor și multe sute pentru testarea dinamică (ceea ce înseamnă că lansează eșantioanele și văd ce face antivirusul). Nu încercăm pentru asta. Eșantioanele noastre de 30 de ani ne lasă să ne gândim la modul în care antivirusul se ocupă de atac și, atunci când nu avem rezultate din laboratoare, avem ceva de căzut.

Încercăm să asigurăm un amestec de mai multe tipuri de malware, inclusiv ransomware, troieni, viruși și multe altele. De asemenea, includem câteva aplicații potențial nedorite (PUA), asigurându-ne că activăm detectarea PUA în produsul testat, dacă este necesar.

Unele aplicații malware detectează când rulează într-o mașină virtuală și se abțin de la o activitate urâtă. E in regula; pur și simplu nu le folosim. Unele așteaptă ore sau zile înainte de activare. Încă o dată, nu le folosim.

Sperăm că acest aspect din spatele scenei de la testarea noastră de protecție împotriva malware-ului v-a oferit câteva informații despre cât de departe vom ajunge să experimentăm protecția antivirus în acțiune. După cum am menționat, nu avem o echipă dedicată de cercetători antivirus așa cum fac laboratoarele mari, dar vă aducem raporturi în tranșe pe care nu le veți găsi în altă parte.