Как събираме злонамерен софтуер за практически антивирусни тестове

Тук в PCMag, когато преглеждаме продуктите, ги прекарваме през машината, използвайки всички функции, за да потвърдим, че те работят и работят безпроблемно. Например за продукти за архивиране проверяваме дали те правилно архивират файловете и правят лесно възстановяването от архивиране. За продуктите за редактиране на видео измерваме фактори като време за изобразяване. За виртуални частни мрежи или VPN мрежи провеждаме тестове за ефективност на континент. Това е всичко напълно безопасно и просто. Нещата стават малко по-различни, когато става дума за антивирусни инструменти, защото наистина потвърждаването, че работят, означава, че трябва да ги подлагаме на истински зловреден софтуер.

Организацията за стандарти за тестване на анти-зловреден софтуер (AMTSO) предлага колекция от страници за проверка на функциите, така че можете да се уверите, че антивирусът ви работи за премахване на злонамерен софтуер, блокиране на изтегляния на драйвери, предотвратяване на фишинг атаки и т.н. Въпреки това, няма действителен зловреден софтуер. Участващите антивирусни компании просто се съгласяват да конфигурират своите антивирусни и защитни пакети, за да открият симулираните атаки на AMTSO. И не всяка охранителна компания избира да участва.

Лабораториите за тестване на антивирусни продукти по света поставят инструменти за сигурност чрез изтощителни тестове, периодично отчитащи резултати. Когато са налични лабораторни резултати за даден продукт, ние даваме на тези резултати сериозна тежест в прегледа на този продукт. Ако и четирите лаборатории, които следваме, дават най-високата си оценка на даден продукт, това със сигурност ще бъде отличен избор.

За съжаление, едва четвърт от компаниите, които тестваме, участват с четирите лаборатории. Друго тримесечие работи само с една лаборатория и напълно 30 процента не участват в нито една от четирите. Ясно е, че практическото тестване е задължително.

Дори ако лабораториите отчитат всички продукти, които покриваме, все пак ще направим практически тестове. Бихте ли се доверили на преглед на автомобил от писател, който никога дори не е взел пробно шофиране? Не.

Вижте как тестваме антивирусен и защитен софтуер

Леене на широка мрежа

Само защото продуктът съобщава: „Ей, хванах проба за злонамерен софтуер!“ не означава, че е било успешно. Всъщност тестовете ни често разкриват случаи, когато антивирусът хвана един компонент на зловреден софтуер, но позволи на друг да се стартира. Трябва да анализираме старателно нашите проби, като отбележим промените, които те правят в системата, за да можем да потвърдим, че антивирусът направи това, за което твърди.

Независимите лаборатории разполагат с екипи от изследователи, посветени на събиране и анализ на най-новите образци. PCMag има само няколко анализатори за сигурност, които отговарят за много повече от просто събиране и анализ на зловреден софтуер. Можем да отделим време само за анализ на нов набор от проби веднъж годишно. Тъй като пробите ще останат в употреба в продължение на месеци, тестваните по-късно продукти може да имат предимството на повече време за откриване на същата проба във вила. За да избегнем нечестно предимство, започваме с мостри, появили се няколко месеца по-рано. Използваме ежедневните емисии, предоставени от MRG-Effitas, наред с други, за да започнем процеса.

Във виртуална машина, свързана с интернет, но изолирана от локалната мрежа, изпълняваме обикновена програма, която взема списъка с URL адреси и се опитва да изтегли съответните образци. В много случаи URL адресът вече не е валиден, разбира се. На този етап ние искаме 400 до 500 проби, тъй като има сериозна степен на изнемощяване, тъй като ние намаляваме набора от проби.

Първият пропуск за елиминиране на елиминира файлове, които са невъзможно малки. Всичко, което е по-малко от 100 байта, очевидно е фрагмент от изтегляне, което не завърши.

След това изолираме тестовата система от интернет и просто стартираме всяка проба. Някои от извадките не стартират поради несъвместимост с версията на Windows или липса на необходими файлове; бум, те няма. Други показват съобщение за грешка, което показва грешка в инсталацията или някакъв друг проблем. Научихме се да държим тези в микса; често злонамереният фонов процес продължава да работи след предполагаемата катастрофа.

Дупета и открития

Само защото два файла имат различни имена, не означава, че са различни. Нашата схема за събиране обикновено показва много копия. За щастие, няма нужда да сравнявате всеки чифт файлове, за да видите дали са еднакви. Вместо това ние използваме хеш функция, която е един вид еднопосочно криптиране. Хеш функцията винаги връща един и същ резултат за един и същ вход, но дори и малко по-различен вход дава динамично различни резултати. Освен това няма начин да се върнете от хеша обратно към оригинала. Два файла, които имат един и същ хеш, са еднакви.

За целта използваме почтената програма HashMyFiles от NirSoft. Той автоматично идентифицира файлове със същия хеш, като прави лесно да се отървете от дубликати.

Друга употреба за хеши

VirusTotal произхожда като уебсайт за изследователи, за да споделят бележки за злонамерен софтуер. Понастоящем дъщерно дружество на Alphabet (компанията-майка на Google) тя продължава да функционира като клирингова къща.

Всеки може да изпрати файл на VirusTotal за анализ. Сайтът управлява извадката от минали антивирусни двигатели от повече от 60 компании за сигурност и съобщава колко са маркирали извадката като зловреден софтуер. Той също така записва хеша на файла, така че не е нужно да повтаря този анализ, ако същият файл се появи отново. Удобно е, че HashMyFiles има опция с едно кликване, за да изпрати хеш на файл до VirusTotal. Преминаваме през пробите, които са го направили до този момент и отбелязваме какво казва VirusTotal за всяка.

Най-интересните, разбира се, са тези, които VirusTotal никога не е виждал. И обратното, ако 60 от 60 двигателя дават на файл чиста сметка за здравето, има вероятност да не е злонамерен софтуер. Използването на фигури за откриване ни помага да поставим пробите в ред от най-вероятно до най-малко вероятно.

Обърнете внимание, че самият VirusTotal ясно заявява, че никой не трябва да го използва вместо действителен антивирусен двигател. Въпреки това, това е голяма помощ за идентифициране на най-добрите перспективи за нашата колекция от зловреден софтуер.

Бягайте и гледайте

В този момент започва практическият анализ. Използваме вътрешна програма (умело наречена RunAndWatch), за да стартираме и гледаме всяка проба. Помощ за PCMag, наречена InCtrl (съкратено за инсталиране на контрол), прави снимки на системния регистър и файлова система преди и след стартирането на злонамерен софтуер, като отчита какво се е променило. Разбира се, знанието, че нещо е променено, не доказва, че пробата на злонамерен софтуер го е променила.

Процесорният монитор на Microsoft ProcMon следи цялата активност в реално време, регистриране на действия в регистъра и файловата система (наред с други неща) от всеки процес. Дори и с нашите филтри, неговите дневници са огромни. Но ни помагат да свържем промените, докладвани от InCtrl5, с процесите, които са направили тези промени.

Изплакнете и повторете

Отварянето на огромните трупи от предишната стъпка в нещо използваемо отнема време. С помощта на друга вътрешна програма елиминираме дубликати, събираме записи, които изглежда представляват интерес и заличаваме данни, които очевидно нямат връзка с извадката за злонамерен софтуер. Това е изкуство, както и наука; е необходим голям опит за бързо разпознаване на несъществени елементи и заснемане на важни записи.

Понякога след този процес на филтриране не остава нищо, което означава, че каквото и да направи пробата, нашата проста система за анализ го пропусна. Ако една проба премине тази стъпка, тя преминава през още един вътрешен филтър. Този разглежда по-отблизо дубликатите и започва да поставя данните от дневника във формат, използван от крайния инструмент, този, който проверява за следи от злонамерен софтуер по време на тестване.

Корекции в последната минута

Кулминацията на този процес е нашата помощна програма NuSpyCheck (наречена преди векове, когато шпионският софтуер беше по-разпространен). С всички обработени проби, ние стартираме NuSpyCheck на чиста тестова система. Доста често ще открием, че някои от онова, което смятахме за следи от зловреден софтуер, се оказват вече присъстващи в системата. В този случай ние превръщаме NuSpyCheck в режим на редактиране и ги премахваме.

Има още един лозунг и той е важен. За нулиране на виртуалната машина до чист момент между тестовете, стартираме всяка проба, оставяме я да завърши и проверяваме системата с NuSpyCheck. Тук отново винаги има следи, които сякаш се показват по време на заснемане на данни, но не се показват по време на теста, може би защото са били временни. Освен това много проби от зловреден софтуер използват произволно генерирани имена за файлове и папки, различни всеки път. За тези полиморфни следи добавяме бележка, описваща шаблона, като „изпълним име с осем цифри“.

Още няколко проби напускат полето в тази последна фаза, тъй като при всички бръснене на точките от данни нямаше какво да се измерва. Останалите се превръщат в следващия набор от проби от зловреден софтуер. От първоначалните 400 до 500 URL адреса обикновено завършваме с около 30.

Изключение на Ransomware

Изкупител за системна шкафче като прословутата Petya криптира твърдия ви диск, което прави компютъра неизползваем, докато не платите откупа. По-разпространените типове извличане на файлове за криптиране на файлове криптират вашите файлове на заден план. Когато свършат мръсното дело, изскачат голямо търсене на откуп. Не се нуждаем от помощна програма, която да открие, че антивирусът е пропуснал един от тях; злонамереният софтуер става ясен.

Много продукти за сигурност добавят допълнителни слоеве от защита срещу извличане на софтуер, извън основните антивирусни двигатели. Това има смисъл. Ако антивирусът ви пропусне троянски атака, вероятно ще го изчисти след няколко дни, след като получи нови подписи. Но ако пропусне откупуващ софтуер, нямате късмет. Когато е възможно, ние деактивираме основните антивирусни компоненти и тестваме дали системата за защита от компютърна защита сама може да запази вашите файлове и компютър.

Какво не са тези проби

Големите лаборатории за тестване на антивирусни програми могат да използват много хиляди файлове за тестване на статично разпознаване на файлове и много стотици за динамично тестване (което означава, че стартират пробите и вижте какво прави антивирусът). Не се опитваме за това. Нашите 30-странни проби ни дават представа за това как антивирусът се справя с атаката и когато нямаме резултати от лабораториите, имаме какво да се върнем.

Ние се опитваме да осигурим комбинация от много видове злонамерен софтуер, включително ransomware, троянски програми, вируси и други. Ние също така включваме някои потенциално нежелани приложения (PUA), като внимаваме да включите откриването на PUA в тествания продукт, ако е необходимо.

Някои приложения за злонамерен софтуер откриват, когато работят във виртуална машина и се въздържат от гадна дейност. Това е добре; ние просто не ги използваме. Някои чакат часове или дни, преди да активирате. Още веднъж, ние просто не ги използваме.

Надяваме се, че този поглед зад кулисите на нашето практическо тестване за защита от злонамерен софтуер ви даде известна представа колко далеч ще изпитаме антивирусна защита в действие. Както бе отбелязано, ние нямаме посветен екип от антивирусни изследователи по начина, по който правят големите лаборатории, но ние ви представяме вътрешни трансакции, които няма да намерите никъде другаде.