Для віртуальних машин, заражених зловмисним програмним забезпеченням, які я використовую для тестування антивірусних продуктів, це визначається кожен раз, коли я починаю новий тест. Я повертаю віртуальну машину до тієї самої початкової точки для кожного тесту, потім встановлюю (або намагаюся встановити) антивірус і кидаю виклик, щоб очистити. Але іноді трапляється щось більше; іноді зловмисне програмне забезпечення запрошує друзів грати.
Часи самотнього хакера, які пишуть віруси лише для чортви, вже давно минули. Сьогодні існує ціла екосистема зловмисних програм, і один процвітаючий компонент цієї екосистеми передбачає подолання ситуацій, коли один кібер-шахрай платить іншому, щоб загрожувати новій загрозі існуючій шкідливій програмі. Ті, кого ми називаємо "крапельницями", навіть не мають шкідливого навантаження; вони просто служать ногою у двері для інших шкідливих програм.
Що це означає для мого тестування? Чим довше заражена система працює до того, як новий антивірус зможе повністю встановитись і запустити сканування, тим більше шансів для існуючого зараження запросити друзів на вечірку. Установка захисту, встановленого на цих системах, іноді потребує днів роботи за допомогою технічної підтримки. Поки вони залишаються зайнятими, так само і зловмисне програмне забезпечення; страшно!
Gameover ZeuS
На конференції Malware 2013 минулого місяця голландський студент-дослідник представив дуже детальний аналіз Gameover ZeuS. Як і інші випадки Trojan ZeuS, ця зловмисна програма має різноманітні функції, але в основному спрямована на крадіжку конфіденційної інформації, як-от облікові дані в Інтернет-банкінгу. Що відрізняється від Gameover ZeuS, це те, що замість централізованої системи управління та управління він використовує розподілену мережу однорангових мереж, що значно складніше відстежувати та викорінювати. Новини мені!
Уявіть моє здивування, коли я нещодавно отримав повідомлення від свого провайдера про те, що виявив трафік Gameover ZeuS з моєї IP-адреси. Ні, я не взяв інфекцію у дослідника. Швидше за все, один з моїх існуючих зразків запросив зовсім нового друга пробувати місце проживання, можливо, під час незвичайного щоденного марафону технічної підтримки, який приділяв йому багато часу.
Роки тому, коли я вперше почав тестувати антивірус за допомогою віртуальних машин, заражених зловмисним програмним забезпеченням, я міг майже розраховувати на те, що популяція шкідливих програм моїх тестових систем залишається стабільною. Поки я не встановлював зразки зловмисного програмного забезпечення, які активно намагаються поширитись по Інтернету, я міг би не стати частиною проблеми. Нотатка від мого провайдера була дзвінками про пробудження. Якщо я встановлю репрезентативну колекцію зразків зловмисного програмного забезпечення, просто немає гарантії, що одна з них не змінить поведінку або не призведе до небезпечного супутника.
Гра закінчена справді
Можливо, я міг би змінити Інтернет-провайдери та уникнути повідомлення, але це не є рішенням. Я не можу по совісті продовжувати практику, яка може завдати шкоди поза моїми віртуальними машинами. Я не можу просто відрізати тестові системи від Інтернету, оскільки багато антивірусних інструментів потребують підключення. І у мене немає ресурсів для копіювання трафіку зловмисного програмного забезпечення в закритому середовищі, як це роблять великі незалежні лабораторії тестування. Мені доведеться кинути практичне тестування зловмисного програмного забезпечення.
З іншого боку, незалежні лабораторії для тестування антивірусів виробляють справді хороші тести. Я, безумовно, більше буду використовувати ці результати. Я все ще перевіряю фільтрацію спаму, захист від фішингу, зловмисне блокування URL-адрес - будь-який тест, який не передбачає потенційного виходу активного зловмисного програмного забезпечення. І я все одно розглядаю всі особливості кожного антивірусу, працюючи над тим, щоб визначити найкращі. Я просто не буду проводити жодних тестів, які потенційно можуть викликати проблеми у зовнішньому світі.
Новий тест нульового дня
Крім того, я додаю новий тест, щоб перевірити, наскільки добре кожен антивірус обробляє блокування завантаження надзвичайно нових загроз. Добрі люди в MRG-Effitas, британській дослідницькій фірмі з безпеки, дали мені доступ до їх величезного потоку в режимі реального часу шкідливих URL-адрес. Використовуючи цей канал, я можу перевірити, як антивірус обробляє сотню найновіших шкідливих файлів. Чи блокує URL-адресу? Заблокувати завантаження? Повністю сумуєте? Я з нетерпінням чекаю повного завершення цього нового тесту.
