Jak shromažďujeme malware pro praktické antivirové testování

Zde v PCMag, když kontrolujeme produkty, jsme je dali skrz žmýkadlo, cvičili jsme všechny funkce, abychom potvrdili, že fungují, a hladce fungují. Například u zálohovacích produktů kontrolujeme, zda správně zálohují soubory a usnadňují obnovu ze zálohy. U produktů pro úpravu videa měříme faktory, jako je doba vykreslování. U virtuálních privátních sítí nebo sítí VPN provádíme testy výkonu na různých kontinentech. To je vše naprosto bezpečné a jednoduché. Věci se trochu liší, pokud jde o antivirové nástroje, protože skutečné ověření, že fungují, znamená, že je musíme podrobit skutečnému malwaru.

Organizace Anti-Malware Testing Standards Organization (AMTSO) nabízí kolekci stránek pro kontrolu funkcí, takže si můžete být jisti, že váš antivirový program pracuje na odstranění škodlivého softwaru, blokování stahování z disku, zabránění phishingovým útokům atd. Neexistuje však žádný skutečný malware. Zúčastněné antivirové společnosti jednoduše souhlasí s konfigurací svých antivirových a bezpečnostních sad produktů pro detekci simulovaných útoků AMTSO. Ne každá bezpečnostní společnost se rozhodne zúčastnit.

Antivirové testovací laboratoře po celém světě uvádějí bezpečnostní nástroje prostřednictvím vyčerpávajících testů a pravidelně vykazují výsledky. Pokud jsou pro daný produkt k dispozici laboratorní výsledky, při hodnocení tohoto produktu dáváme tato skóre vážnou váhu. Pokud všechny čtyři laboratoře, které sledujeme, udělují svému produktu nejvyšší hodnocení, je to určitě vynikající volba.

Bohužel sotva čtvrtina společností, které testujeme, se účastní všech čtyř laboratoří. Další čtvrtina pracuje pouze s jednou laboratoří a 30 procent se neúčastní žádné ze čtyř. Je zřejmé, že praktické testování je nutností.

I když laboratoře informovaly o všech produktech, které pokrýváme, stále budeme provádět praktické testy. Věřili byste recenzi aut od spisovatele, který nikdy nebral zkušební jízdu? Ani náhodou.

Podívejte se, jak testujeme antivirový a bezpečnostní software

Obsazení široké sítě

Jen proto, že produkt hlásí: „Hej, zachytil jsem vzorek malwaru!“ neznamená, že to bylo úspěšné. Ve skutečnosti naše testování často odhaluje případy, kdy antivirus zachytil jednu součást malwaru, ale nechal běžet další. Musíme důkladně analyzovat naše vzorky a zaznamenat změny, které v systému provedou, abychom mohli potvrdit, že antivirus udělal to, co požadoval.

Nezávislé laboratoře mají týmy vědců věnovaných shromažďování a analýze nejnovějších vzorků. PCMag má jen několik bezpečnostních analytiků, kteří jsou zodpovědní za mnohem víc než jen shromažďování a analýzu malwaru. Můžeme ušetřit čas na analýzu nové sady vzorků jednou ročně. Vzhledem k tomu, že vzorky zůstanou v provozu měsíce, mohou mít později testované produkty výhodu delšího času na detekci stejného vzorku ve wile. Abychom se vyhnuli jakékoli nespravedlivé výhodě, začneme vzorky, které se objevily před několika měsíci. K zahájení procesu používáme mimo jiné denní zdroje dodávané společností MRG-Effitas.

Ve virtuálním stroji, který je připojen k internetu, ale izolován od místní sítě, spustíme jednoduchý nástroj, který vezme seznam adres URL a pokusí se stáhnout odpovídající vzorky. V mnoha případech již URL samozřejmě není platná. V této fázi chceme 400 až 500 vzorků, protože při získávání sady vzorků existuje vážná míra opotřebení.

První průkaz winnowing eliminuje soubory, které jsou neuvěřitelně malé. Všechno méně než 100 bajtů je zjevně fragment ze stahování, které nebylo dokončeno.

Dále izolujeme testovací systém od internetu a jednoduše spustíme každý vzorek. Některé vzorky se nespustí kvůli nekompatibilitě s verzí Windows nebo chybějícím potřebným souborům; boom, jsou pryč. Jiní zobrazují chybové zprávy označující selhání instalace nebo nějaký jiný problém. Naučili jsme se udržovat ty v mixu; škodlivý proces na pozadí často funguje i po údajném selhání.

Dupy a detekce

To, že dva soubory mají různá jména, neznamená, že se liší. Naše schéma sběru obvykle zobrazuje mnoho duplikátů. Naštěstí není třeba porovnávat každou dvojici souborů, aby se zjistilo, zda jsou stejné. Místo toho používáme hašovací funkci, což je druh jednosměrného šifrování. Funkce hash vždy vrací stejný výsledek pro stejný vstup, ale i mírně odlišný vstup přináší divoce odlišné výsledky. Kromě toho neexistuje žádný způsob, jak přejít z hashe zpět k původnímu. Dva soubory, které mají stejný hash, jsou stejné.

K tomuto účelu používáme úctyhodný program HashMyFiles od společnosti NirSoft. Automaticky identifikuje soubory se stejným hashem, takže je snadné se zbavit duplikátů.

Další využití pro hash

VirusTotal vznikl jako webová stránka pro výzkumné pracovníky k sdílení poznámek o malwaru. V současné době je dceřinou společností společnosti Alphabet (mateřská společnost Google) nadále fungující jako clearinghouse.

Kdokoli může odeslat soubor na VirusTotal k analýze. Na webu jsou spuštěny ukázkové antivirové moduly z více než 60 bezpečnostních společností a uvádí, kolik z nich označilo vzorek jako malware. Uloží také hash souboru, takže tuto analýzu nemusí opakovat, pokud se stejný soubor znovu objeví. HashMyFiles má obvykle možnost jediným kliknutím odeslat hash souboru do VirusTotal. Projdeme vzorky, které to zvládly tak daleko, a všimneme si, co VirusTotal říká o každém.

Nejzajímavější jsou samozřejmě ty, které VirusTotal nikdy neviděl. Naopak, pokud 60 ze 60 motorů dá souboru čistý zdravotní stav, je pravděpodobné, že se nejedná o malware. Použití detekčních údajů nám pomáhá uspořádat vzorky od nejpravděpodobnější po nejméně pravděpodobnou.

Všimněte si, že VirusTotal sám jasně uvádí, že by ho nikdo neměl používat namísto skutečného antivirového modulu. Přesto je to velká pomoc při určování nejlepších vyhlídek naší kolekce malwaru.

Běh a sleduj

V tomto okamžiku začíná praktická analýza. Ke spuštění a sledování každého vzorku používáme interní program (chytře pojmenovaný RunAndWatch). Nástroj PCMag s názvem InCtrl (zkratka pro Install Control) snímá registr a souborový systém před a po spuštění malwaru a hlásí, co se změnilo. Vědět, že se něco změnilo, však neprokazuje, že to vzorek malwaru změnil.

Microsoft ProcMon Process Monitor monitoruje všechny činnosti v reálném čase a zaznamenává akce registru a systému souborů (mimo jiné) každým procesem. I s našimi filtry jsou její protokoly obrovské. Pomáhají nám však svázat změny, které hlásí InCtrl5, s procesy, které tyto změny provedly.

Opláchněte a opakujte

Vaření obrovských protokolů z předchozího kroku do něčeho použitelného vyžaduje čas. Pomocí jiného interního programu eliminujeme duplikáty, shromažďujeme záznamy, které se zdají být zajímavé, a vymažeme data, která jasně nesouvisí se vzorkem malwaru. Toto je umění i věda; rychlé rozpoznání nepodstatných položek a zachycení důležitých položek vyžaduje spoustu zkušeností.

Někdy po tomto procesu filtrování nezůstalo už nic, což znamená, že ať už to bylo cokoli, náš jednoduchý analytický systém to minul. Pokud vzorek projde tímto krokem, prochází dalším interním filtrem. Ten se blíže podívá na duplikáty a začne uvádět data protokolu do formátu používaného konečným nástrojem, který kontroluje stopy malwaru během testování.

Úpravy na poslední chvíli

Vyvrcholením tohoto procesu je náš program NuSpyCheck (pojmenovaný před věky, kdy byl rozšířen spyware). Se všemi zpracovanými vzorky spustíme NuSpyCheck na čistém testovacím systému. Poměrně často zjistíme, že některé z toho, co jsme považovali za stopy malwaru, se v systému již vyskytují. V takovém případě přepneme program NuSpyCheck do režimu úprav a odstraníme je.

Je tu ještě jeden slogan a je to důležitý. Obnovením virtuálního počítače na čistý snímek mezi testy spustíme každý vzorek, necháme ho běžet do konce a zkontrolujeme systém pomocí NuSpyCheck. Znovu zde existují vždy stopy, které se během sběru dat zjevně objevovaly, ale nezobrazovaly se v testovací době, možná proto, že byly dočasné. Mnoho vzorků malwaru navíc používá náhodně generované názvy souborů a složek, které se pokaždé liší. Pro tyto polymorfní stopy přidáme poznámku popisující vzor, ​​například „spustitelný název s osmi číslicemi“.

Několik dalších vzorků opouští pole v této závěrečné fázi, protože se všemi oholenými datovými body nebylo co měřit. Ty, které zůstanou, se stanou další sadou vzorků malwaru. Z původních 400 na 500 adres URL obvykle končí asi 30.

Výjimka Ransomware

Systémový ransomware, jako je notoricky známý Petya, šifruje váš pevný disk, takže počítač je nepoužitelný, dokud nezaplatíte výkupné. Častější typy šifrování souborů ransomware šifrují vaše soubory na pozadí. Když udělali špinavý skutek, objevili velkou poptávku po výkupném. Nepotřebujeme nástroj, abychom zjistili, že antivirový program některý z nich zmeškal; malware je sám o sobě jasný.

Mnoho bezpečnostních produktů přidává další vrstvy ochrany ransomwaru, kromě základních antivirových modulů. To dává smysl. Pokud váš antivirový program chybí útok na trojské koně, pravděpodobně jej vyčistí za několik dní poté, co dostane nové podpisy. Pokud ale chybí ransomware, máte štěstí. Pokud je to možné, zakážeme základní antivirové komponenty a otestujeme, zda samotný systém ochrany ransomware může udržovat vaše soubory a počítač v bezpečí.

Co tyto vzorky nejsou

Velké laboratoře pro testování antivirů mohou používat mnoho tisíc souborů pro testování rozpoznávání statických souborů a mnoho stovek pro dynamické testování (což znamená, že spouštějí vzorky a sledují, co antivirus dělá). Nesnažíme se o to. Naše 30-liché vzorky nám umožní zjistit, jak antivirové kliky útočí, a když nemáme žádné výsledky z laboratoří, musíme se na co obrátit.

Snažíme se zajistit kombinaci mnoha druhů malwaru, včetně ransomwaru, trojských koní, virů a dalších. Zahrnujeme také některé potenciálně nežádoucí aplikace (PUA), v případě potřeby nezapomeňte v testovaném produktu zapnout detekci PUA.

Některé škodlivé aplikace detekují, když běží ve virtuálním počítači, a zdržují se nepříjemné činnosti. To je v pořádku; prostě je nepoužíváme. Nějaké hodiny nebo dny před aktivací. Ještě jednou je nepoužíváme.

Doufáme, že tento nahlédnutí do zákulisí našeho praktického testování ochrany proti malwaru vám poskytlo určitý přehled o tom, jak daleko půjdeme zažít antivirovou ochranu v akci. Jak již bylo řečeno, nemáme oddaný tým antivirových výzkumníků, jakým fungují velké laboratoře, ale přinášíme vám příkopy, které vám nahlásí, že nikde jinde nenajdete.