Як ми збираємо зловмисне програмне забезпечення для практичного тестування антивірусів

Тут, в PCMag, коли ми переглядаємо продукти, ми переносимо їх через прокрутку, використовуючи всі функції, щоб підтвердити їхню роботу та роботу. Наприклад, для продуктів резервного копіювання ми перевіряємо, чи правильно вони створюють резервні копії файлів, і зробити їх відновлення після резервного копіювання легко. Для продуктів, що редагують відео, ми вимірюємо такі фактори, як час візуалізації. Для віртуальних приватних мереж або VPN ми проводимо тести на ефективність континенту. Це все абсолютно безпечно і просто. Що стосується антивірусних інструментів, то дещо стає дещо іншим, оскільки справді підтвердження їх роботи означає, що ми повинні піддавати їх справжньому зловмисному програмному забезпеченню.

Організація стандартів тестування анти-шкідливих програм (AMTSO) пропонує набір сторінок перевірки функцій, тому ви можете переконатися, що ваш антивірус працює над усуненням зловмисного програмного забезпечення, блокуванням завантажуваних файлів, запобіганням фішинг-атакам тощо. Однак фактичного шкідливого програмного забезпечення не задіяно. Антивірусні компанії, що беруть участь, просто погоджуються налаштувати свої антивірусні та набір продуктів безпеки для виявлення імітованих атак AMTSO. І не кожна охоронна компанія обирає участь.

Лабораторії антивірусного тестування по всьому світу ставлять інструменти безпеки за допомогою виснажливих тестів, періодично повідомляючи про результати. Коли результати доступні для лабораторії, ми надаємо оцінці серйозну вагу в огляді цього продукту. Якщо всі чотири лабораторії, за якими ми стежимо, приносять найвищий рейтинг продукту, це, безумовно, буде відмінним вибором.

На жаль, з усіма чотирма лабораторіями бере участь майже чверть компаній, які ми перевіряємо. Ще чверть працює лише з однією лабораторією, і повністю 30 відсотків не беруть участь ні в одній із чотирьох. Очевидно, що практичне тестування є обов'язковим.

Навіть якби лабораторії повідомили про всі продукти, які ми охоплюємо, ми все одно зробимо практичне тестування. Ви б довірили огляд автомобіля письменнику, який ніколи навіть не брав тест-драйв? Ні.

Дивіться, як ми тестуємо антивірусне та захисне програмне забезпечення

Лиття широкої мережі

Просто тому, що продукт повідомляє: "Ей, я зловив зразок зловмисного програмного забезпечення!" не означає, що він був успішним. Насправді наше тестування часто виявляє випадки, коли антивірус спіймав один компонент зловмисного програмного забезпечення, але дозволяв іншому запускатися. Нам потрібно ретельно проаналізувати наші зразки, зазначивши зміни, які вони вносять у систему, щоб ми могли підтвердити, що антивірус зробив те, що вимагав.

Незалежні лабораторії мають команди дослідників, які займаються збором та аналізом останніх зразків. У PCMag є лише кілька аналітиків безпеки, які відповідають за набагато більше, ніж просто збір та аналіз шкідливих програм. Ми можемо витратити час лише на аналіз нового набору зразків раз на рік. Оскільки зразки залишатимуться у використанні місяцями, тестовані продукти пізніше можуть мати перевагу більше часу для виявлення того ж зразка у гну. Щоб уникнути будь-якої несправедливої ​​переваги, ми починаємо з зразків, які з’явилися на кілька місяців раніше. Ми використовуємо щоденні канали, що надаються MRG-Effitas, серед інших, щоб розпочати процес.

У віртуальній машині, підключеній до Інтернету, але ізольованій від локальної мережі, ми запускаємо просту утиліту, яка бере список URL-адрес і намагається завантажити відповідні зразки. У багатьох випадках URL, звичайно, більше не дійсний. На цьому етапі ми хочемо від 400 до 500 зразків, оскільки існує серйозна швидкість виснаження, коли ми знижуємо набір зразків.

Перший пропуск на виїзд усуває файли, які неможливо мало. Що-небудь менше ніж 100 байт - це явно фрагмент завантаження, яке не завершилося.

Далі ми ізолюємо тестову систему від Інтернету та просто запускаємо кожен зразок. Деякі зразки не запускаються через несумісність з версією Windows або відсутність необхідних файлів; бум, вони пішли. Інші відображають повідомлення про помилку, що вказує на збій установки або якусь іншу проблему. Ми навчилися тримати їх у суміші; часто шкідливий фоновий процес продовжує працювати після передбачуваної аварії.

Дупеї та виявлення

Тільки тому, що два файли мають різні імена, не означає, що вони різні. У нашій схемі збору зазвичай з’являється багато дублікатів. На щастя, не потрібно порівнювати кожну пару файлів, щоб побачити, чи вони однакові. Натомість ми використовуємо хеш-функцію, яка є свого роду однобічним шифруванням. Хеш-функція завжди повертає один і той же результат за один і той же вхід, але навіть трохи інший вхід дає дещо різні результати. Крім того, немає ніякого способу повернутися з хешу до оригіналу. Два файли, які мають однаковий хеш, однакові.

Для цього ми використовуємо поважну утиліту HashMyFiles від NirSoft. Він автоматично ідентифікує файли з тим самим хешем, що дозволяє легко позбутися від дублікатів.

Ще одне використання для хешей

VirusTotal виникла як веб-сайт для дослідників, щоб ділитися нотатками про зловмисне програмне забезпечення. В даний час дочірня компанія Alphabet (материнська компанія Google) продовжує функціонувати як кліринговий дім.

Будь-хто може подати файл на аналіз на VirusTotal. На цьому веб-сайті представлено зразок минулого антивірусного двигуна з більш ніж 60 охоронних компаній та повідомляється, скільки людей позначили цей зразок як зловмисне програмне забезпечення. Він також зберігає хеш файлу, тому не потрібно повторювати цей аналіз, якщо той самий файл з’явиться знову. Зручно, HashMyFiles має опцію одним клацанням миші, щоб надіслати хеш файлу на VirusTotal. Ми пробігаємо зразки, які зробили це так далеко, і відзначаємо, що VirusTotal говорить про кожного.

Звичайно, найцікавіші - це ті, яких VirusTotal ніколи не бачив. І навпаки, якщо 60 з 60 двигунів дають файлу про стан здоров'я, швидше за все, це не шкідливе програмне забезпечення. Використання фігур виявлення допомагає нам привести зразки в порядок від найімовірнішого до найменш ймовірного.

Зауважте, що VirusTotal сам чітко заявляє, що ніхто не повинен використовувати його замість фактичного антивірусного механізму. Незважаючи на це, це велика допомога визначити найкращі перспективи для нашої колекції зловмисних програм.

Бігай і дивись

З цього моменту починається практичний аналіз. Ми використовуємо внутрішню програму (хитро названа RunAndWatch) для запуску та перегляду кожного зразка. Утиліта PCMag під назвою InCtrl (скорочено для встановлення контролю) робить знімки реєстру та файлової системи до та після запуску зловмисного програмного забезпечення, повідомляючи про те, що змінилося. Звичайно, те, що щось змінилося, не підтверджує, що зразок шкідливого програмного забезпечення змінив його.

Монітор процесів ProcMon від Microsoft відстежує всю активність у режимі реального часу, реєструючи Реєстр та дії файлової системи (серед іншого) кожен процес. Навіть з нашими фільтрами його журнали величезні. Але вони допомагають нам пов’язати зміни, про які повідомляв InCtrl5, з процесами, які внесли ці зміни.

Промийте і повторіть

Збивання величезних колод з попереднього кроку в щось корисне вимагає часу. Використовуючи іншу внутрішню програму, ми видаляємо дублікати, збираємо записи, які, здається, представляють інтерес, і видаляємо дані, явно не пов’язані зі зразком зловмисного програмного забезпечення. Це і мистецтво, і наука; для швидкого розпізнавання несуттєвих предметів та отримання важливих записів потрібен великий досвід.

Іноді після цього фільтруючого процесу нічого не залишається, це означає, що що б не зробив зразок, наша проста система аналізу пропустила його. Якщо зразок пройде цей крок, він проходить ще один власний фільтр. Цей детальніше вивчає дублікати та починає вводити дані журналу у формат, використовуваний підсумковим інструментом, який перевіряє наявність слідів шкідливого програмного забезпечення під час тестування.

Коригування в останню хвилину

Кульмінацією цього процесу є наша утиліта NuSpyCheck (названа століттями, коли шпигунське програмне забезпечення було більш поширеним). З усіма обробленими зразками ми запускаємо NuSpyCheck на чистій тестовій системі. Досить часто ми виявимо, що деякі з тих, що ми вважали, сліди зловмисного програмного забезпечення виявляються вже в системі. У такому випадку ми переводимо NuSpyCheck в режим редагування і видаляємо їх.

Є ще один слоган, і він важливий. Скинувши віртуальну машину на чистий знімок між тестами, ми запускаємо кожен зразок, запускаємо його до завершення і перевіряємо систему за допомогою NuSpyCheck. Тут знову є завжди такі сліди, які, здається, з’являються під час збору даних, але не з’являються в тестовий час, можливо, тому, що вони були тимчасовими. Крім того, багато зразків зловмисного програмного забезпечення використовують випадкові згенеровані імена для файлів і папок, щоразу різні. До цих поліморфних слідів ми додаємо примітку, що описує візерунок, наприклад, "ім'я, що виконується, з восьми цифр".

Ще кілька зразків залишають поле на цій завершальній фазі, тому що з усією відсічкою точок даних нічого не залишалося для вимірювання. Ті, що залишилися, стають наступним набором зразків шкідливих програм. Від початкових 400 до 500 URL-адрес ми зазвичай закінчуємо близько 30.

Виняток Ransomware

Вимога програмного забезпечення для шахрайства, як горезвісна Petya, шифрує ваш жорсткий диск, роблячи комп'ютер непридатним, поки ви не заплатите викуп. Більш поширені типи викупових програм для шифрування файлів шифрують ваші файли у фоновому режимі. Коли вони зробили брудну справу, вони з'явилися великим попитом на викуп. Нам не потрібна утиліта, щоб виявити, що антивірус пропустив один із них; зловмисне програмне забезпечення стає зрозумілим.

Багато захисних продуктів додають додаткові шари захисту від вимушеного програмного забезпечення, окрім основних антивірусних систем. Що має сенс. Якщо ваш антивірус пропустить троянську атаку, він, ймовірно, видалить його через кілька днів після отримання нових підписів. Але якщо в ньому пропущено викупне програмне забезпечення, вам не пощастить. Коли це можливо, ми вимикаємо основні компоненти антивірусу і перевіряємо, чи лише система захисту від сканування може захищати ваші файли та комп'ютер.

Що ці зразки не є

Великі лабораторії для тестування антивірусів можуть використовувати багато тисяч файлів для тестування статичного розпізнавання файлів, а також багато сотень для динамічного тестування (тобто вони запускають зразки і бачать, що робить антивірус). Ми цього не намагаємось. Наші 30-ти непарних зразків дозволяють нам зрозуміти, як антивірус обробляє атаку, і коли у нас немає результатів з лабораторій, нам є на що відмовитися.

Ми намагаємось забезпечити поєднання багатьох видів зловмисних програм, включаючи викупне програмне забезпечення, трояни, віруси тощо. Ми також включаємо деякі потенційно небажані програми (PUA), обов’язково включивши виявлення PUA в тестованому продукті, якщо це необхідно.

Деякі програми зловмисного програмного забезпечення виявляють, коли вони працюють у віртуальній машині, і утримуються від неприємних дій. Це добре; ми просто не використовуємо їх. Деякі години чекають годин або днів до активації. Знову ми просто не використовуємо їх.

Ми сподіваємось, що цей погляд за лаштунками на нашому практичному тестуванні захисту від зловмисного програмного забезпечення дав вам деяке розуміння того, наскільки далеко ми пройдемо, щоб відчути антивірусний захист у дії. Як зазначалося, у нас немає відданої команди антивірусних дослідників, як це роблять у великих лабораторіях, але ми пропонуємо вам повідомлення про те, що ви не знайдете більше ніде.