Kuinka keräämme haittaohjelmia käytännön virustorjuntatestausta varten

Täällä PCMag, tarkistaessamme tuotteita, laitamme ne wringerin läpi käyttämällä kaikkia ominaisuuksia varmistaaksemme, että ne toimivat ja toimivat sujuvasti. Esimerkiksi varmuuskopiotuotteiden osalta tarkistamme, että ne varmuuskopioivat tiedostot oikein ja helpottavat varmuuskopioista palauttamista. Videonmuokkaustuotteissa mitataan tekijöitä, kuten renderöintiaikaa. Suoritamme mantereita kattavia suorituskykytestejä virtuaalisille yksityisille verkoille tai VPN-verkkoille. Se on kaikki täysin turvallista ja yksinkertaista. Asiat muuttuvat hieman erilaisiksi virustorjuntatyökalujen suhteen, koska niiden toimivuuden tarkistaminen tarkoittaa, että meidän on altistettava heidät todellisille haittaohjelmille.

Haittaohjelmien torjuntaa käsittelevä standardointijärjestö (AMTSO) tarjoaa kokoelman ominaisuuksien tarkistussivuja, joten voit varmistaa, että virustentorjuntasi poistaa haittaohjelmia, estää tiedostojen lataamisen, estää tietojenkalasteluhyökkäykset ja niin edelleen. Todellista haittaohjelmaa ei kuitenkaan ole mukana. Osallistuvat virustorjuntayritykset yksinkertaisesti sitoutuvat määrittämään virustentorjunta- ja tietoturvatuotteet tunnistamaan AMTSO: n simuloidut hyökkäykset. Ja jokainen turvayhtiö ei halua osallistua.

Virustentorjuntatestauslaboratoriot ympäri maailmaa asettavat tietoturvatyökalut uhkaavien testien avulla ja raportoivat tulokset säännöllisesti. Kun tuotteelle on saatavissa laboratoriotuloksia, annamme niille vakavan painoarvon tuotteen uudelleentarkastelussa. Jos kaikki neljä seuraavaa laboratoriota antavat tuotteelleen korkeimman arvosanan, se on varmasti erinomainen valinta.

Valitettavasti tuskin neljäsosa kokeistamme yrityksiä osallistuu kaikkiin neljään laboratorioon. Toinen vuosineljännes työskentelee vain yhden laboratorion kanssa, ja 30 prosenttia ei osallistu mihinkään niistä neljästä. Käytännöllinen testaus on selvästi välttämätöntä.

Vaikka laboratoriot ilmoittaisivat kaikista tuotteistamme, joita me kattamme, teemme silti käytännön kokeita. Luottaisitko autoarvosteluun kirjoittajalta, joka ei koskaan edes kokeillut? Ei.

Katso kuinka virustentorjunta- ja tietoturvaohjelmistoja testataan

Leveän verkon valu

Vain siksi, että tuote raportoi: "Hei, kiinni haittaohjelmanäytteestä!" ei tarkoita, että se oli onnistunut. Itse asiassa testauksemme paljastaa usein tapauksia, joissa virustentorjuntaohjelma pyysi yhden haittaohjelmakomponentin, mutta antoi toisen käyttää. Meidän on analysoitava perusteellisesti näytteemme huomioimalla niiden järjestelmään tekemät muutokset, jotta voimme vahvistaa, että virustentorjunta teki sen, mitä se väitti.

Riippumattomissa laboratorioissa on tutkijaryhmiä, jotka ovat sitoutuneet keräämään ja analysoimaan uusimmat näytteet. PCMagilla on vain muutama tietoturva-analyytikko, jotka vastaavat paljon muutakin kuin vain haittaohjelmien keräämisestä ja analysoinnista. Voimme vain säästää aikaa uuden näytesarjan analysointiin kerran vuodessa. Koska näytteet pysyvät käytössä kuukausia, myöhemmin testatuilla tuotteilla voi olla etuna enemmän aikaa havaita sama näyte wilessä. Kohtuuttomien etujen välttämiseksi aloitamme näytteillä, jotka ilmestyivät useita kuukausia aikaisemmin. Käytämme muun muassa MRG-Effitasin toimittamia päivittäisiä syötteitä prosessin käynnistämiseen.

Internetissä kytketyssä mutta paikallisesta verkosta eristetyssä virtuaalikoneessa ajamme yksinkertaista apuohjelmaa, joka ottaa URL-luettelon ja yrittää ladata vastaavat näytteet. Monissa tapauksissa URL ei tietenkään enää ole kelvollinen. Tässä vaiheessa haluamme 400 - 500 näytettä, koska siellä on vakava kulumisnopeus, kun me näyttelemme näytteen sarjaa.

Ensimmäinen voittopassi poistaa tiedostot, jotka ovat mahdotonta. Kaikki alle 100 tavun kappale on selvästi katkelma latauksesta, joka ei ollut valmis.

Seuraavaksi eristämme testijärjestelmän Internetistä ja yksinkertaisesti käynnistämme jokaisen näytteen. Jotkut näytteet eivät käynnisty, koska ne eivät ole yhteensopivia Windows-version kanssa tai puuttuvat tarvittavat tiedostot; puomi, he ovat poissa. Toiset näyttävät virheilmoituksen, joka osoittaa asennusvirheen tai jonkin muun ongelman. Olemme oppineet pitämään ne sekoituksessa; usein ilkeä taustaprosessi toimii edelleen väitetyn kaatumisen jälkeen.

Huijaukset ja havainnot

Se, että kahdella tiedostolla on eri nimet, ei tarkoita, että ne olisivat erilaisia. Keräysjärjestelmämme tuottaa yleensä useita kopioita. Onneksi jokaista tiedostoparia ei tarvitse verrata nähdäksesi ovatko ne samoja. Sen sijaan käytämme hash-toimintoa, joka on eräänlainen yksisuuntainen salaus. Hajautusfunktio tuottaa aina saman tuloksen samalle tulolle, mutta jopa hieman erilainen tulo tuottaa villisti erilaisia ​​tuloksia. Lisäksi hashista takaisin alkuperäiseen ei ole mitään tapaa palata. Kaksi tiedostoa, joilla on sama hash, ovat samat.

Käytämme NirSoftin kunniallista HashMyFiles-apuohjelmaa tähän tarkoitukseen. Se tunnistaa automaattisesti tiedostot, joilla on sama hash, jolloin päästöistä on helppo päästä eroon.

Toinen käyttö hashille

VirusTotal syntyi verkkosivustona tutkijoille, jotka jakoivat muistiinpanoja haittaohjelmista. Tällä hetkellä Alphabetin (Googlen emoyhtiö) tytäryhtiö, se toimii edelleen selvityskeskuksena.

Kuka tahansa voi lähettää tiedoston VirusTotaliin analysoitavaksi. Sivusto ylläpitää yli 60 tietoturvayrityksen virustorjuntamoottorien näytettä ja raportoi kuinka moni merkitsi näytteen haittaohjelmaksi. Se myös tallentaa tiedoston tiivisteen, joten sen ei tarvitse toistaa analyysiä, jos sama tiedosto tulee uudestaan. Kätevästi HashMyFiles-sovelluksessa on yhden napsautuksen vaihtoehto lähettää tiedoston tiiviste VirusTotaliin. Seuraamme näytteitä, jotka ovat päässeet tähän mennessä niin pitkälle, ja panemme merkille, mitä VirusTotal sanoo jokaisesta.

Mielenkiintoisimpia ovat tietenkin ne, joita VirusTotal ei ole koskaan nähnyt. Toisaalta, jos 60 moottorista 60 antaa tiedostolle puhtaan terveyslaskun, mahdollisuudet ovat hyvät, se ei ole haittaohjelma. Tunnistuslukujen käyttö auttaa meitä järjestämään näytteet todennäköisimmästä vähiten todennäköiseen.

Huomaa, että VirusTotal itse toteaa selvästi, ettei kenenkään pitäisi käyttää sitä todellisen virustorjuntamoottorin sijasta. Siitä huolimatta se on suuri apu parhaiden näkymien löytämiselle haittaohjelmakokoelmallemme.

Juokse ja katso

Tässä vaiheessa aloitetaan käytännön analyysi. Käytämme sisäistä ohjelmaa (taitavasti nimeltään RunAndWatch) suorittaaksemme ja katsomme jokaista näytettä. InCtrl (lyhenne sanoista Install Control) kutsutusta PCMag-apuohjelmasta tilannekuvaa rekisterit ja tiedostojärjestelmät ennen haittaohjelmien käynnistämistä ja sen jälkeen ilmoittaen muuttuneista. Tietenkin tietäminen, että jotain muuttui, ei todista, että haittaohjelma-näyte muutti sen.

Microsoftin ProcMon Process Monitor tarkkailee kaikkia toimia reaaliajassa, kirjaamalla rekisteri- ja tiedostojärjestelmätoimenpiteet (muun muassa) jokaisella prosessilla. Jopa suodattimiemme kanssa, sen lokit ovat valtavia. Mutta ne auttavat meitä sitomaan InCtrl5: n ilmoittamat muutokset prosesseihin, jotka muutokset tekivät.

Huuhtele ja toista

Edellisestä vaiheesta peräisin olevien valtavien tukkien kiehuminen jotain käyttökelpoiseksi vie aikaa. Toisella yrityksen sisäisellä ohjelmalla poistamme päällekkäisyydet, keräämme kiinnostavia merkintöjä ja pyyhkäisemme pois tiedot, jotka eivät selvästi liity haittaohjelma-näyteeseen. Tämä on sekä taide että tiede; ei-oleellisten esineiden tunnistaminen nopeasti ja tärkeiden merkintöjen sieppaaminen vie paljon kokemusta.

Joskus tämän suodatusprosessin jälkeen mitään ei enää ole jäljellä, mikä tarkoittaa, että näytteen mitä tahansa, yksinkertainen analyysijärjestelmämme menetti sen. Jos näyte ohittaa tämän vaiheen, se käy läpi uuden sisäisen suodattimen. Tämä etsii kopioita tarkemmin ja alkaa lokitietojen asettamisessa viimeisen työkalun käyttämään muotoon, joka tarkistaa haittaohjelmien jäljet ​​testin aikana.

Viime hetken säädöt

Tämän prosessin huipentuma on NuSpyCheck-apuohjelma (nimeltään ikä sitten, kun vakoiluohjelmat olivat yleisempiä). Kun kaikki näytteet on käsitelty, ajamme NuSpyCheckin puhtaalla testijärjestelmällä. Varsin usein havaitsemme, että jotkut haittaohjelmien jälkeistä ajattelumme osoittavat jo olevan järjestelmässä. Siinä tapauksessa siirrämme NuSpyCheck muokkaustilaan ja poistamme ne.

Siellä on vielä yksi räkki, ja se on tärkeä. Palautamme virtuaalikoneen puhtaan tilannekuvan testien välillä, käynnistämme jokaisen näytteen, annamme sen suorittaa loppuun ja tarkistamme järjestelmän NuSpyCheckillä. Tässäkin on aina joitain jälkiä, jotka näyttivät näkyvän tiedonkeruun aikana, mutta jotka eivät näy testiaikana, ehkä koska ne olivat väliaikaisia. Lisäksi monet haittaohjelmanäytteet käyttävät satunnaisesti generoituja tiedostojen ja kansioiden nimiä, jotka ovat erilaisia ​​joka kerta. Näille polymorfisille jälkeille lisäämme kuviota kuvaavan huomautuksen, kuten "suoritettava nimi kahdeksalla numerolla".

Muutamia näytteitä poistuu kentältä tässä viimeisessä vaiheessa, koska kaikilla datapisteiden ajella ei ollut mitään mitattavaa. Niistä, jotka jäävät, tulee seuraava sarja haittaohjelma-näytteitä. Alkuperäisistä 400-500 URL-osoitteista päätämme yleensä noin 30.

Ransomware-poikkeus

Järjestelmäkaapin lunastusohjelmat, kuten pahamaineinen Petya, salaa kiintolevyn ja tekevät tietokoneesta käyttökelvottoman, kunnes maksat lunnaat. Yleisimmät tiedostojen salauksen ransomware-tyypit salaavat tiedostosi taustalla. Kun he ovat tehneet likaisen teon, he esittävät suuren lunastustarpeen. Emme tarvitse apuohjelmaa havaitaksesi, että virustentorjunta jäi yksi näistä; haittaohjelma tekee itsestään selvän.

Monet tietoturvatuotteet lisäävät ylimääräisiä ransomware-suojauskerroksia virustorjuntaohjelmien ulkopuolelle. Tuossa on järkeä. Jos virustentorjunta ohittaa troijalaisen hyökkäyksen, se todennäköisesti selvittää sen muutaman päivän kuluttua siitä, kun se on saanut uusia allekirjoituksia. Mutta jos se kaipaa ransomware, olet poissa onnea. Kun mahdollista, poistamme virustorjuntakomponentit käytöstä ja testaamme, pystyykö pelkän ohjelmistosuojausjärjestelmä pitämään tiedostosi ja tietokoneesi turvassa.

Mitä nämä näytteet eivät ole

Suuret virustentorjuntalaboratoriot voivat käyttää tuhansia tiedostoja staattiseen tiedostojen tunnistustestaukseen ja satoja dynaamiseen testaukseen (tarkoittaen, että ne käynnistävät näytteet ja katsovat, mitä virustentorjunta tekee). Emme yritä sitä. 30 pariton näytteemme antavat meille käsityksen siitä, kuinka virustentorjunta käsittelee hyökkäyksiä, ja kun meillä ei ole tuloksia laboratorioista, meillä on jotain, johon palata.

Yritämme varmistaa sekoittamisen monenlaisiin haittaohjelmiin, mukaan lukien ransomware, troijalaiset, virukset ja muut. Sisältää myös joitain mahdollisesti ei-toivottuja sovelluksia (PUA), varmista, että kytket tarvittaessa PUA-havaitsemisen testattavaan tuotteeseen.

Jotkut haittaohjelmat havaitsevat ajaessaan virtuaalikoneessa ja pidättäytyvät ilkeästä toiminnasta. Se on hieno; emme vain käytä niitä. Jotkut odottavat tunteja tai päiviä ennen aktivointia. Jälleen kerran, emme vain käytä niitä.

Toivomme tämän vilpillisen haittaohjelmasuojauksen testauksen kulissien takana antavan sinulle jonkin verran kuvan siitä, kuinka pitkälle menemme kokemaan virustorjuntaa käytännössä. Kuten todettiin, meillä ei ole omistautunutta virustorjuntatutkijoiden ryhmää tapana, jota suuret laboratoriot tekevät, mutta tuomme sinulle uraauurtavat raportit, joita et löydä muualta.