Kako zbiramo zlonamerno programsko opremo za praktično testiranje protivirusnih programov

Tu v PCMagu, ko pregledamo izdelke, jih položimo skozi vrtalnik in uporabimo vse funkcije za potrditev, da delujejo, in delujejo brezhibno. Na primer, za izdelke za varnostno kopiranje preverimo, ali pravilno varnostno kopirajo datoteke, in obnovitev varnostne kopije enostavno. Pri izdelkih za urejanje videov merimo dejavnike, kot je čas upodabljanja. Za navidezna zasebna omrežja ali VPN izvajamo preizkuse uspešnosti na celini. To je vse popolnoma varno in preprosto. Kadar gre za protivirusna orodja, se stvari nekoliko razlikujejo, saj resnično preverjanje njihovega delovanja pomeni, da jih moramo podrediti resnični zlonamerni programski opremi.

Organizacija za preizkušanje standardov za preprečevanje zlonamerne programske opreme (AMTSO) ponuja zbirko kontrolnih strani, tako da se lahko prepričate, da vaš protivirusni program deluje na odstranjevanju zlonamerne programske opreme, blokira nalaganje pogonov, preprečuje lažne napade ipd. Vendar dejanska zlonamerna programska oprema ni vključena. Sodelujoča protivirusna podjetja se preprosto strinjajo, da bodo konfigurirala svoje protivirusne izdelke in izdelke za zaščitni paket tako, da zaznajo simulirane napade AMTSO. In ne vsako varnostno podjetje se odloči sodelovati.

Laboratoriji za testiranje protivirusnih programov po vsem svetu postavljajo varnostna orodja s napornimi testi in občasno poročajo o rezultatih. Ko so za izdelek na voljo rezultati laboratorij, dajemo te ocene resno težo v pregledu izdelka. Če vsi štirje laboratoriji, ki jim sledimo, podeljujejo najvišjo oceno izdelka, je zagotovo odlična izbira.

Žal komaj četrtina podjetij, ki jih testiramo, sodeluje z vsemi štirimi laboratoriji. Še ena četrtina dela z enim samim laboratorijem in popolnoma 30 odstotkov jih ne sodeluje pri nobenem od štirih. Jasno je, da je potrebno praktično testiranje.

Tudi če bi laboratoriji poročali o vseh izdelkih, ki jih pokrivamo, bi še vedno opravili sprotno testiranje. Bi zaupali pregled avtomobila pisatelja, ki se nikoli sploh ni udeležil testne vožnje? Ne.

Oglejte si, kako testiramo protivirusno in varnostno programsko opremo

Kasting Wide Net

Samo zato, ker izdelek poroča: "Hej, ujel sem vzorec zlonamerne programske opreme!" ne pomeni, da je bil uspešen. Dejansko naše testiranje pogosto razkriva primere, ko je protivirusni program ujel eno komponento zlonamerne programske opreme, drugi pa pustil zagon. Naše vzorce moramo temeljito analizirati in opaziti njihove spremembe v sistemu, da lahko potrdimo, da je protivirusni program storil vse, kar je zahteval.

Neodvisni laboratoriji imajo skupine raziskovalcev, ki se ukvarjajo z zbiranjem in analizo najnovejših vzorcev. PCMag ima le nekaj varnostnih analitikov, ki so odgovorni za veliko več kot le zbiranje in analiziranje zlonamerne programske opreme. Čas za analizo novega nabora vzorcev si lahko privoščimo le enkrat na leto. Ker bodo vzorci več mesecev ostali v uporabi, imajo lahko izdelki, preizkušeni pozneje, več časa za odkrivanje istega vzorca v wileu. Da se izognemo nepošteni prednosti, začnemo z vzorci, ki so se pojavili nekaj mesecev prej. Za začetek postopka med drugim uporabljamo dnevne vire, ki jih ponuja MRG-Effitas.

V virtualnem stroju, ki je povezan z internetom, vendar izoliran iz lokalnega omrežja, izvajamo preprost pripomoček, ki prevzame seznam URL-jev in poskuša prenesti ustrezne vzorce. V mnogih primerih URL seveda ni več veljaven. V tej fazi hočemo od 400 do 500 vzorcev, ker obstaja resna stopnja izčrpanosti, ko zmanjšujemo niz vzorcev.

Prva pridobitev dovoljenja odpravlja datoteke, ki so nemogoče majhne. Vse, kar je manj kot 100 bajtov, je očitno fragment prenosa, ki se ni zaključil.

Nato preskusni sistem izoliramo iz interneta in preprosto sprožimo vsak vzorec. Nekateri vzorci se ne zaženejo zaradi nezdružljivosti z različico sistema Windows ali odsotnosti potrebnih datotek; bum, več jih ni. Drugi prikazujejo sporočilo o napaki, ki kaže na okvaro namestitve ali kakšno drugo težavo. Naučili smo se držati tiste v mešanici; Pogosto po domnevnem zrušitvi postopek zlonamernega ozadja še naprej deluje.

Objave in zaznave

Ker imata dve datoteki različna imena, še ne pomeni, da sta različni. Naša shema zbiranja običajno vsebuje veliko dvojnikov. Na srečo ni treba primerjati vsakega para datotek, da bi videli, ali sta enaki. Namesto tega uporabljamo hash funkcijo, ki je neke vrste enosmerno šifriranje. Hash funkcija vedno vrne enak rezultat za isti vhod, vendar celo nekoliko drugačen vložek daje divje različne rezultate. Poleg tega ni možnosti, da bi se iz hash-a vrnili na izvirnik. Dve datoteki z enakim hash-om sta enaki.

V ta namen uporabljamo časten pripomoček HashMyFiles podjetja NirSoft. Datoteke samodejno prepoznajo z istim hash-om, kar olajša znebiti dvojnikov.

Druga uporaba za hashe

VirusTotal je nastal kot spletno mesto za raziskovalce, ki si delijo zapiske o zlonamerni programski opremi. Trenutno podružnica Alphabet (Googlova matična družba) še naprej deluje kot klirinška hiša.

Vsakdo lahko pošlje datoteko VirusTotal v analizo. Na spletnem mestu se izvajajo vzorci preteklih protivirusnih sistemov več kot 60 varnostnih podjetij in poroča, koliko jih je vzorec označilo kot zlonamerno programsko opremo. Shrani tudi razpršitev datoteke, zato vam analize ni treba ponoviti, če se ista datoteka ponovno prikaže. HashMyFiles je enostavna možnost, da pošlje hash datoteke v VirusTotal. Prebrskamo po vzorcih, ki so jih dosegli tako daleč, in zabeležimo, kaj VirusTotal pravi o vsakem.

Najbolj zanimive so seveda tiste, ki jih VirusTotal še nikoli ni videl. Nasprotno, če 60 od 60 motorjev da datoteko čisto zdravstveno stanje, je velika verjetnost, da ne gre za zlonamerno programsko opremo. Uporaba podatkov za odkrivanje nam pomaga, da vzorce postavimo v vrstni red od najbolj verjetno do najmanj verjetnega.

Upoštevajte, da VirusTotal sam jasno navaja, da ga nihče ne bi smel uporabljati namesto dejanskega protivirusnega sistema. Kljub temu je to v veliko pomoč pri ugotavljanju najboljših možnosti za našo zbirko zlonamerne programske opreme.

Teči in glej

Na tej točki se začne praktična analiza. Za zagon in gledanje vsakega vzorca uporabljamo interni program (spretno imenovan RunAndWatch). Pripomoček PCMag, imenovan InCtrl (kratko za Namestitev nadzora), posname registra in datotečni sistem pred in po zagonu zlonamerne programske opreme in sporoči, kaj se je spremenilo. Seveda vedenje, da se je nekaj spremenilo, ne pomeni, da je vzorec zlonamerne programske opreme spremenil.

Microsoftov procesor ProcMon Process spremlja vse dejavnosti v realnem času, beleženje registra in dejanja datotečnega sistema (med drugim) pri vsakem postopku. Tudi pri naših filtrih je njegovih dnevnikov ogromno. Pomagajo nam povezati spremembe, o katerih je poročal InCtrl5, s postopki, ki so te spremembe naredili.

Izperite in ponovite

Ogromni hlodi iz prejšnjega koraka v nekaj uporabnega zahtevajo nekaj časa. Z drugim internim programom odstranimo dvojnike, zberemo vnose, ki se zdijo zanimivi, in izbrišemo podatke, ki očitno niso povezani z vzorcem zlonamerne programske opreme. Tako umetnost kot tudi znanost; Potrebno je veliko izkušenj za hitro prepoznavanje nepomembnih predmetov in zajem pomembnih vnosov.

Včasih po tem postopku filtriranja ne ostane ničesar, kar pomeni, da je naš preprost analizni sistem, karkoli je naredil vzorec, zgrešil. Če vzorec prestopi ta korak, gre skozi še en notranji filter. Ta natančneje poišče dvojnike in začne postavljati podatke dnevnika v obliko, ki jo uporablja končno orodje, tisto, ki med testiranjem preveri sledi zlonamerne programske opreme.

Prilagoditve v zadnjem trenutku

Vrhunec tega procesa je naš pripomoček NuSpyCheck (imenovan pred leti, ko je bila vohunska programska oprema bolj razširjena). Z vsemi obdelanimi vzorci zaženemo NuSpyCheck na čistem testnem sistemu. Dokaj pogosto bomo ugotovili, da se nekateri, za katere smo mislili, da so sledovi zlonamerne programske opreme, že kažejo v sistemu. V tem primeru preklopimo NuSpyCheck v način urejanja in jih odstranimo.

Obstaja še en slog, in to pomemben. Ponastavitev virtualnega stroja na čisti posnetek med preskusi zaženemo vsak vzorec, pustimo, da se zažene do konca, in sistem preverimo z NuSpyCheck. Tudi tukaj se vedno najdejo sledovi, ki se zdijo med zajemom podatkov, vendar se v preskusnem času ne pojavijo, morda zato, ker so bili začasni. Poleg tega mnogi vzorci zlonamerne programske opreme uporabljajo naključno ustvarjena imena datotek in map, ki se vsakič razlikujejo. Tem polimorfnim sledi dodamo opombo, ki opisuje vzorec, kot je "izvedljivo ime z osem števk."

Še nekaj vzorcev zapušča polje v tej zadnji fazi, saj z vsemi britjem podatkovnih točk ni bilo preostalo drugega za merjenje. Tisti, ki ostanejo, postanejo naslednji niz vzorcev zlonamerne programske opreme. Od prvotnih 400 do 500 URL-jev se običajno zaključi s približno 30.

Izjema Ransomware

Odkupna programska oprema z omarico sistema, kot je zloglasna Petya, šifrira vaš trdi disk, zaradi česar je računalnik neuporaben, dokler ne plačate odkupnine. Pogostejše vrste odkrivanja datotek šifrirajo datoteke v ozadju. Ko opravijo umazano dejanje, se pojavijo velike zahteve po odkupnini. Ne potrebujemo pripomočka za odkrivanje, da je protivirusni virus zgrešil enega od teh; zlonamerna programska oprema postane navadna.

Številni varnostni izdelki poleg osnovnih protivirusnih sistemov dodajajo dodatne plasti zaščite pred odkupi. To ima smisel. Če vaš protivirusni virus pogreši trojanski napad, ga bo verjetno odpravil čez nekaj dni, ko bo dobil nove podpise. Če pa pogreša odkupno programsko opremo, nimate sreče. Kadar je mogoče, onemogočimo osnovne protivirusne komponente in preverimo, ali lahko samo zaščitni sistem ransomware ohranja vaše datoteke in računalnik varen.

Kaj teh vzorcev ni

Veliki laboratoriji za testiranje protivirusnih programov lahko uporabijo več tisoč datotek za testiranje statičnega prepoznavanja datotek in številne stotine za dinamično testiranje (kar pomeni, da zaženejo vzorce in vidijo, kaj počne antivirus). Ne poskušamo za to. Naši 30-ak vzorci nam dajejo občutek, kako protivirusno sredstvo ravna z napadi, in ko iz laboratorij nimamo rezultatov, se moramo spet zateči.

Trudimo se zagotoviti kombinacijo številnih vrst zlonamerne programske opreme, vključno z ransomware, trojanski virusi, virusi in še več. Vključujemo tudi nekaj potencialno nezaželenih aplikacij (PUA), pri čemer ne pozabite vključiti zaznavanja PUA v preskusnem izdelku, če je potrebno.

Nekatere aplikacije zlonamerne programske opreme zaznajo, ko delujejo v virtualnem stroju in se vzdržijo grde dejavnosti. To je vredu; preprosto jih ne uporabljamo. Nekateri čakajo ure ali dni, preden se aktivirajo. Še enkrat, preprosto jih ne uporabljamo.

Upamo, da vam bo ta pokušina pri preizkušanju zaščite pred zlonamerno programsko opremo dala nekaj vpogleda, kako daleč bomo doživeli protivirusno zaščito. Kot rečeno, nimamo predane skupine protivirusnih raziskovalcev, kot to počnejo veliki laboratoriji, vendar vam prinašamo poročila, ki jih ne boste našli nikjer drugje.