Видео: Настя и сборник весёлых историй (Ноябрь 2024)
Для виртуальных машин, зараженных вредоносным ПО, которые я использую при тестировании антивирусных продуктов, каждый раз, когда я начинаю новый тест, это дежавю. Я откатываю виртуальную машину к одной и той же начальной точке для каждого теста, затем устанавливаю (или пытаюсь установить) антивирус и вызываю его для очистки. Но иногда происходит нечто большее; иногда вредоносная программа приглашает друзей поиграть.
Дни одинокого хакера, пишущего вирусы только ради этого, давно прошли. Сегодня существует целая вредоносная экосистема, и один из процветающих компонентов этой экосистемы включает в себя поездки, ситуации, когда один кибер-мошенник платит другому за совмещение новой угрозы с существующим вредоносным ПО. Те, которые мы называем «пипетками», даже не имеют вредоносной нагрузки; они просто служат ногой в дверь для других вредоносных программ.
Что это значит для моего тестирования? Чем дольше зараженная система начинает работать до того, как новый антивирус сможет полностью установить и запустить сканирование, тем больше шансов у существующего заражения пригласить друзей на вечеринку. Установка защиты в этих системах иногда занимает несколько дней технической поддержки. Пока они заняты, вредоносное ПО тоже; страшно!
Gameover ZeuS
В прошлом месяце на конференции Malware 2013 голландский студент-исследователь представил очень подробный анализ Gameover ZeuS. Как и другие экземпляры трояна ZeuS, эта вредоносная сеть имеет множество функций, но в основном предназначена для кражи конфиденциальной информации, такой как учетные данные онлайн-банкинга. Отличительной особенностью Gameover ZeuS является то, что вместо централизованной системы управления и контроля она использует распределенную одноранговую сеть, что значительно усложняет отслеживание и искоренение. Новости для меня!
Представьте себе мое удивление, когда я недавно получил сообщение от моего интернет-провайдера о том, что они обнаружили трафик Gameover ZeuS, приходящий с моего IP-адреса. Нет, я не подхватил инфекцию у исследователя. Скорее один из моих существующих образцов пригласил нового друга поселиться, возможно, во время необычного многодневного марафона технической поддержки, который дал ему достаточно времени.
Несколько лет назад, когда я впервые начал тестировать антивирус на виртуальных машинах, зараженных живыми вредоносными программами, я мог в значительной степени рассчитывать на то, что популяция вредоносных программ в моих тестовых системах останется стабильной. До тех пор, пока я не установил образцы вредоносных программ, которые активно распространяются через Интернет, я мог не стать частью проблемы. Записка от моего провайдера была тревожным звонком. Если я установлю репрезентативную коллекцию образцов вредоносных программ, то нет никакой гарантии, что один из них не изменит поведение или не принесет опасного компаньона.
Игра окончена
Возможно, я мог бы сменить провайдера и избежать уведомления, но это не решение. Я не могу с чистой совестью продолжать практику, которая может нанести вред за пределами моих виртуальных машин. Я не могу просто отключить тестовые системы из Интернета, так как многие антивирусные инструменты требуют подключения. И у меня нет ресурсов для репликации вредоносного трафика в закрытой среде, как это делают большие независимые лаборатории тестирования. Мне придется отказаться от практического тестирования живого вредоносного ПО.
С другой стороны, независимые лаборатории по антивирусному тестированию в наши дни производят несколько действительно хороших тестов. Я буду больше использовать эти результаты, безусловно. Я все еще буду тестировать фильтрацию спама, защиту от фишинга, вредоносную блокировку URL-адресов - любой тест, который не предполагает потенциального выпуска активного вредоносного ПО. И я все еще буду копаться в каждой функции каждого антивируса, работая над выявлением лучших. Я просто не буду запускать тесты, которые могут потенциально вызвать проблемы во внешнем мире.
Новый тест Zero-Day
Кроме того, я добавляю новый тест, чтобы проверить, насколько хорошо каждый антивирус обрабатывает блокировку загрузки крайне новых угроз. Добрые ребята из MRG-Effitas, британской исследовательской фирмы по безопасности, дали мне доступ к их огромному потоку вредоносных URL-адресов в режиме реального времени. С помощью этого канала я могу проверить, как антивирус обрабатывает около ста самых новых вредоносных файлов. Это блокирует URL? Заблокировать загрузку? Полностью пропустить это? Я с нетерпением жду начала этого нового теста.