Как мы собираем вредоносные программы для практического антивирусного тестирования

Здесь, в PCMag, когда мы рассматриваем продукты, мы проводим их через отжим, используя все функции, чтобы убедиться, что они работают и работают без сбоев. Например, для продуктов резервного копирования мы проверяем, правильно ли они создают резервные копии файлов, и облегчаем восстановление из резервной копии. Для продуктов для редактирования видео мы измеряем такие факторы, как время рендеринга. Для виртуальных частных сетей или виртуальных частных сетей мы проводим тесты производительности на всех континентах. Это все совершенно безопасно и просто. Когда дело доходит до антивирусных инструментов, все немного по-другому, потому что настоящая проверка их работы означает, что мы должны подвергнуть их действительному вредоносному ПО.

Организация стандартов тестирования на вредоносное ПО (AMTSO) предлагает набор страниц проверки функций, чтобы вы могли убедиться, что ваш антивирус работает для устранения вредоносных программ, блокирования загрузок с диска, предотвращения фишинговых атак и т. Д. Тем не менее, нет никакого реального вредоносного ПО. Участвующие антивирусные компании просто соглашаются настроить свои антивирусные продукты и продукты для обеспечения безопасности для обнаружения имитируемых атак AMTSO. И не каждая охранная компания выбирает для участия.

Лаборатории антивирусного тестирования во всем мире проводят изнурительные тесты средств безопасности, периодически сообщая о результатах. Когда для продукта доступны результаты лабораторных исследований, мы придаем этим оценкам серьезный вес в обзоре этого продукта. Если все четыре лаборатории, которым мы следуем, присуждают свои наивысшие оценки по продукту, это, несомненно, будет отличным выбором.

К сожалению, только четверть компаний, которые мы тестируем, участвуют во всех четырех лабораториях. Еще одна четверть работает только с одной лабораторией, и 30% из них не участвуют ни в одной из четырех. Очевидно, что практическое тестирование является обязательным.

Даже если лаборатории сообщат обо всех продуктах, которые мы охватываем, мы все равно проведем практическое тестирование. Доверяете ли вы обзору автомобиля от автора, который никогда даже не проходил тест-драйв? Нет.

Посмотрите, как мы тестируем антивирус и программное обеспечение безопасности

Кастинг широкой сети

Просто потому, что продукт сообщает: «Эй, я поймал образец вредоносного ПО!» не значит, что это было успешно. На самом деле наше тестирование часто выявляет случаи, когда антивирус перехватывает один компонент вредоносного ПО, но позволяет другому запускаться. Мы должны тщательно проанализировать наши образцы, отметив изменения, которые они вносят в систему, чтобы мы могли подтвердить, что антивирус сделал то, что заявлял.

В независимых лабораториях работают группы исследователей, занимающихся сбором и анализом новейших образцов. В PCMag есть только несколько аналитиков безопасности, которые несут ответственность не только за сбор и анализ вредоносных программ. Мы можем сэкономить время только для анализа нового набора образцов один раз в год. Поскольку образцы будут использоваться в течение нескольких месяцев, продукты, протестированные позже, могут иметь больше времени для обнаружения того же образца в сети. Чтобы избежать несправедливого преимущества, мы начнем с образцов, которые появились несколькими месяцами ранее. Мы используем ежедневные корма, поставляемые MRG-Effitas, среди прочего, чтобы начать процесс.

В виртуальной машине, подключенной к Интернету, но изолированной от локальной сети, мы запускаем простую утилиту, которая берет список URL-адресов и пытается загрузить соответствующие образцы. Конечно, во многих случаях URL больше не действителен. На этом этапе нам нужно от 400 до 500 образцов, потому что существует серьезная скорость истощения, поскольку мы разбираем набор образцов.

Первый проход удаления веяния удаляет файлы, которые невозможно малы. Все, что меньше 100 байт, явно является фрагментом загрузки, которая не была завершена.

Далее мы изолируем тестовую систему от интернета и просто запускаем каждый образец. Некоторые примеры не запускаются из-за несовместимости с версией Windows или отсутствия необходимых файлов; бум, они ушли Другие отображают сообщения об ошибках, указывающие на сбой установки или другие проблемы. Мы научились держать тех в миксе; часто вредоносный фоновый процесс продолжает работать после предполагаемого сбоя.

Обманы и Обнаружения

То, что два файла имеют разные имена, не означает, что они разные. Наша схема сбора обычно содержит много дубликатов. К счастью, нет необходимости сравнивать каждую пару файлов, чтобы убедиться, что они одинаковые. Вместо этого мы используем хеш-функцию, которая является своего рода односторонним шифрованием. Хэш-функция всегда возвращает один и тот же результат для одного и того же ввода, но даже немного другой ввод дает совершенно разные результаты. Кроме того, нет способа перейти от хэша к оригиналу. Два файла с одинаковым хешем одинаковы.

Для этой цели мы используем почтенную утилиту HashMyFiles от NirSoft. Он автоматически идентифицирует файлы с одинаковым хешем, что позволяет легко избавиться от дубликатов.

Другое использование для хэшей

VirusTotal был создан как веб-сайт для исследователей, чтобы делиться заметками о вредоносных программах. В настоящее время дочерняя компания Alphabet (материнская компания Google) продолжает функционировать в качестве центра обмена информацией.

Любой может отправить файл в VirusTotal для анализа. Сайт запускает образец антивирусных движков более чем 60 компаний-разработчиков и сообщает, сколько из них помечено как вредоносное ПО. Он также сохраняет хэш файла, поэтому нет необходимости повторять этот анализ, если тот же файл появляется снова. Удобно, HashMyFiles имеет возможность одним щелчком мыши отправить хеш файла в VirusTotal. Мы рассмотрим примеры, которые сделали это далеко, и отметим, что VirusTotal говорит о каждом.

Самыми интересными, конечно, являются те, которые VirusTotal никогда не видел. И наоборот, если 60 из 60 движков дают файлу чистую накладную, есть хорошие шансы, что это не вредоносное ПО. Использование фигур обнаружения помогает нам упорядочить образцы от наиболее вероятного до наименее вероятного.

Обратите внимание, что сам VirusTotal четко заявляет, что никто не должен использовать его вместо реального антивирусного ядра. Тем не менее, это большая помощь в определении лучших перспектив для нашей коллекции вредоносных программ.

Беги и смотри

В этот момент начинается практический анализ. Мы используем внутреннюю программу (умно названную RunAndWatch) для запуска и просмотра каждого образца. Утилита PCMag под названием InCtrl (сокращение от Install Control) делает снимок реестра и файловой системы до и после запуска вредоносного ПО, сообщая о том, что изменилось. Конечно, знание того, что что-то изменилось, не доказывает, что образец вредоносного ПО изменил это.

Microsoft ProcMon Process Monitor отслеживает всю активность в режиме реального времени, регистрируя действия реестра и файловой системы (среди прочего) для каждого процесса. Даже с нашими фильтрами, его журналы огромны. Но они помогают нам связать изменения, о которых сообщает InCtrl5, с процессами, которые сделали эти изменения.

Промыть и повторить

Сваривание огромных бревен с предыдущего шага во что-то полезное требует времени. Используя другую собственную программу, мы удаляем дубликаты, собираем записи, которые кажутся интересными, и удаляем данные, которые явно не связаны с образцом вредоносного ПО. Это искусство и наука; Требуется большой опыт, чтобы быстро распознавать несущественные предметы и фиксировать важные записи.

Иногда после этого процесса фильтрации ничего не остается, а это означает, что, что бы ни делал образец, наша простая система анализа пропустила его. Если образец проходит этот этап, он проходит еще один внутренний фильтр. Этот пример более внимательно рассматривает дубликаты и начинает преобразовывать данные журнала в формат, используемый последним инструментом, который проверяет наличие вредоносных программ во время тестирования.

Корректировки в последнюю минуту

Кульминацией этого процесса является наша утилита NuSpyCheck (названная давным-давно, когда шпионское ПО было более распространенным). После обработки всех образцов мы запускаем NuSpyCheck в чистой тестовой системе. Довольно часто мы обнаруживаем, что некоторые из того, что мы считали следами вредоносного ПО, уже присутствуют в системе. В этом случае мы переключаем NuSpyCheck в режим редактирования и удаляем их.

Есть еще один утомительный, и это важный. Сбрасывая виртуальную машину до чистого снимка между тестами, мы запускаем каждый образец, даем ему работать до конца и проверяем систему с помощью NuSpyCheck. Здесь снова всегда есть некоторые следы, которые, кажется, обнаруживаются во время захвата данных, но не обнаруживаются во время тестирования, возможно, потому что они были временными. Кроме того, многие образцы вредоносных программ используют случайно сгенерированные имена для файлов и папок, каждый раз разные. Для этих полиморфных следов мы добавляем примечание, описывающее шаблон, например, «имя исполняемого файла с восемью цифрами».

Еще несколько выборок покидают поле на этом последнем этапе, потому что при всем удалении точек данных не осталось ничего для измерения. Те, которые остаются, становятся следующим набором образцов вредоносных программ. От первоначальных 400 до 500 URL мы обычно получаем около 30.

Исключение вымогателей

Система-вымогатель, вроде пресловутого Пети, шифрует ваш жесткий диск, делая компьютер непригодным для использования, пока вы не заплатите выкуп. Более распространенные типы вымогателей шифрования файлов шифруют ваши файлы в фоновом режиме. Когда они совершили грязное дело, у них появляется большой спрос на выкуп. Нам не нужна утилита, чтобы обнаружить, что антивирус пропустил один из них; вредоносная программа дает о себе знать.

Многие продукты безопасности добавляют дополнительные уровни защиты от вымогателей, помимо базовых антивирусных ядер. Это имеет смысл. Если ваш антивирус пропустит троянскую атаку, он, вероятно, очистит ее через несколько дней после получения новых подписей. Но если он пропустит вымогателей, вам не повезло. По возможности мы отключаем основные антивирусные компоненты и проверяем, может ли одна система защиты от вымогателей защитить ваши файлы и компьютер.

Чем эти образцы не являются

Большие лаборатории по антивирусному тестированию могут использовать многие тысячи файлов для статического тестирования распознавания файлов и сотни для динамического тестирования (то есть они запускают образцы и смотрят, что делает антивирус). Мы не пытаемся для этого. Наши 30 с лишним примеров позволяют нам понять, как антивирус справляется с атакой, и когда у нас нет результатов из лабораторий, у нас есть к чему обратиться.

Мы стараемся обеспечить сочетание многих видов вредоносных программ, включая вымогателей, троянов, вирусов и многое другое. Мы также включаем некоторые потенциально нежелательные приложения (PUA), при необходимости включая обнаружение PUA в тестируемом продукте.

Некоторые вредоносные приложения обнаруживают, когда они работают на виртуальной машине, и воздерживаются от неприятных действий. Все в порядке; мы просто не используем их. Некоторые ждут часы или дни, прежде чем активировать. Еще раз, мы просто не используем их.

Мы надеемся, что этот негласный взгляд на наше практическое тестирование защиты от вредоносных программ дал вам некоторое представление о том, как далеко мы пойдем, чтобы испытать антивирусную защиту в действии. Как уже отмечалось, у нас нет преданной команды исследователей антивирусов, как это делают большие лаборатории, но мы приносим вам оперативные отчеты, которые вы больше нигде не найдете.