Hogyan gyűjtünk rosszindulatú programokat a gyakorlati víruskereső teszteléshez

Itt, a PCMag-nál, amikor áttekintettük a termékeket, átvittük őket a wringerbe, és gyakoroltuk az összes funkciót annak megerősítésére, hogy működnek és simán működnek. Például a biztonsági mentési termékek esetében ellenőrizzük, hogy helyesen készít-e biztonsági másolatot a fájlokról, és megkönnyítjük a biztonsági másolatból történő visszaállítást. A videószerkesztő termékeknél olyan tényezőket mérünk, mint például a megjelenítési idő. Virtuális magánhálózatokhoz vagy VPN-ekhez kontinensen átívelő teljesítményteszteket futtatunk. Ez mind tökéletesen biztonságos és egyszerű. A dolgok kicsit másképp válnak antivírus eszközökkel kapcsolatban, mert ha valóban megbizonyosodunk arról, hogy működnek-e, akkor valódi rosszindulatú programoknak kell alávetni őket.

Az Anti-Malware Testing Standards Organisation (AMTSO) a szolgáltatás-ellenőrző oldalak gyűjteményét kínálja, így ellenőrizheti, hogy az antivírusok működnek-e a rosszindulatú programok kiküszöbölésében, a meghajtók általi letöltések blokkolásában, az adathalász támadások megelőzésében és így tovább. Nincs azonban valódi rosszindulatú program. A részt vevő antivírus cégek egyszerűen beleegyeznek, hogy antivírusokat és biztonsági csomagjaikat az AMTSO szimulált támadásainak észlelésére konfigurálják. És nem minden biztonsági cég választja meg a részvételt.

A víruskereső tesztelő laboratóriumok szerte a világon a biztonsági eszközöket fárasztó tesztekkel teszik közzé, és az eredményeket rendszeresen jelentik. Ha rendelkezésre állnak egy termék laboratóriumi eredményei, akkor ezeknek a pontszámoknak a termék áttekintésében súlyos súlyt adunk. Ha mind a négy laboratórium, amelyet követünk, a legmagasabb minősítést kapja egy termékre, akkor biztosan kiváló választás.

Sajnos a tesztelt vállalatok alig egynegyede vesz részt mind a négy laboratóriumban. Egy másik negyed csak egy laboratóriummal dolgozik, és teljes mértékben 30% -a nem vesz részt a négy egyikében sem. Nyilvánvaló, hogy a gyakorlati tesztelés kötelező.

Még akkor is, ha a laboratóriumok beszámolnának az összes általunk lefedett termékről, mégis gyakorlati tesztet végeztünk. Bízna-e benne egy olyan író autóértékelése, aki még soha nem tett próbavezetést? Dehogy.

Lásd: Antivírus és biztonsági szoftverek tesztelése

Széles háló öntése

Csak azért, mert a termék azt mondja: "Hé, elkaptam egy malware mintát!" nem azt jelenti, hogy sikeres volt. Valójában a tesztelésünk gyakran olyan esetekre derül fény, amelyekben az antivírus elkapott egy rosszindulatú program egyik összetevőjét, de lehetővé tette egy másik futtatását. Alaposan elemeznünk kell a mintáinkat, figyelembe véve a rendszerben végrehajtott változtatásokat, így megerősíthetjük, hogy az antivírus azt tette, amit állított.

A független laboratóriumok kutatócsoportokkal rendelkeznek, amelyek a legfrissebb minták összegyűjtésére és elemzésére készültek. A PCMag-nak csak néhány biztonsági elemzője van, akik sokkal többért felelősek, nem csupán a rosszindulatú programok gyűjtéséért és elemzéséért. Csak időt spórolhatunk az új mintasor elemzésére évente egyszer. Mivel a minták hónapokig maradnak használatban, a később kipróbált termékek előnye lehet, hogy több idő mutatkozik ugyanazon minta észlelésére. A tisztességtelen előny elkerülése érdekében néhány hónappal korábban megjelent mintákkal kezdjük. A folyamat elindításához többek között az MRG-Effitas által szolgáltatott napi takarmányokat használjuk.

Az internethez csatlakoztatott, de a helyi hálózatról elkülönített virtuális gépen futtatunk egy egyszerű segédprogramot, amely felveszi az URL-ek listáját, és megpróbálja letölteni a megfelelő mintákat. Sok esetben az URL természetesen már nem érvényes. Ebben a fázisban 400–500 mintát akarunk, mert a mintasor visszahúzódásakor súlyos kopás mértéke van.

Az első visszaszámlálás kiküszöböli a lehetetlenül kicsi fájlokat. Bármely, kevesebb, mint 100 bájt, egyértelműen a letöltés töredéke, amely nem fejeződött be.

Ezután elkülönítjük a tesztrendszert az internetről, és egyszerűen elindítunk minden mintát. Néhány minta nem indul el a Windows verzióval való összeférhetetlenség vagy a szükséges fájlok hiánya miatt; boom, eltűntek. Mások hibaüzenetet jelenítenek meg, amely a telepítés meghibásodására vagy más problémára utal. Megtanultuk ezeket a keveréket tartani; gyakran egy rosszindulatú háttérfolyamat működik az állítólagos összeomlás után.

Dupes és észlelések

Csak azért, mert két fájl neve különbözik, még nem jelenti azt, hogy különböznek egymástól. Gyűjtési rendszerünk általában sok másolatot készít. Szerencsére nem kell összehasonlítani minden fájlpárt, hogy kiderüljenek-e ugyanazok. Ehelyett egy hash függvényt használunk, amely egyfajta egyirányú titkosítás. A hash-funkció mindig ugyanazt az eredményt adja ugyanazon bemenet esetén, de még egy kissé eltérő bemenet is vadul eltérő eredményeket eredményez. Ezen felül nincs mód visszatérni a hash-ról az eredetire. Két fájl azonos hash-mal megegyezik.

Erre a célra a NirSoft tiszteletreméltó HashMyFiles segédprogramját használjuk. Automatikusan azonosítja a fájlokat ugyanazzal a kivonattal, megkönnyítve ezzel a megismétlést.

További felhasználás hashákhoz

A VirusTotal olyan webhelyként jött létre, amelyben a kutatók megoszthatják a rosszindulatú programokkal kapcsolatos megjegyzéseiket. Az Alphabet (a Google anyavállalata) leányvállalata jelenleg továbbra is elszámolóházként működik.

Bárki beküldhet fájlt elemzés céljából a VirusTotal-hoz. A webhely futtatja a mintát a több mint 60 biztonsági cég víruskereső motorjainál, és jelentést tesz arról, hogy hányan jelölték meg a mintát rosszindulatú programként. Ez elmenti a fájl hash-ját is, így nem kell megismételnie ezt az elemzést, ha ugyanaz a fájl újra megjelenik. Kényelmesen a HashMyFiles rendelkezik egy kattintással, hogy fájl-kivonatot küldjön a VirusTotal-hoz. Átvizsgáljuk a mintákat, amelyek eddig elérték, és megjegyezzük, mit mond a VirusTotal mindegyikről.

A legérdekesebbek természetesen azok, amelyeket a VirusTotal még soha nem látott. Ezzel szemben, ha a 60 motorból 60-as tiszta egészségügyi adatlapot szolgáltat a fájlnak, akkor jó esély, hogy ez nem rosszindulatú. Az észlelési számadatok segítségével a mintákat rendkívül valószínűleg a legkevésbé való sorrendbe állíthatjuk.

Vegye figyelembe, hogy maga a VirusTotal egyértelműen kijelenti, hogy senki sem használhatja azt valódi víruskereső motor helyett. Ennek ellenére is nagy segítség a rosszindulatú programok gyűjteményének legjobb kilátásainak azonosításában.

Futni és nézni

Ezen a ponton kezdődik a gyakorlati elemzés. Minden mintát futtatunk és megfigyelünk egy házon belüli programmal (ügyesen RunAndWatch néven). Az InCtrl (az Install Control rövidítése) PCMag segédprogram pillanatképeket készít a nyilvántartásról és a fájlrendszerről a rosszindulatú programok indítása előtt és után, beszámolva arról, hogy mi változott. Természetesen az a tudás, hogy valami megváltozott, nem bizonyítja, hogy a rosszindulatú program megváltoztatta azt.

A Microsoft ProcMon Process Monitor minden tevékenységet valós időben figyeli, naplózva a regiszter- és fájlrendszer-műveleteket (többek között) minden folyamaton. Még a szűrőinkkel is, a naplók hatalmasak. De segítenek bekötni az InCtrl5 által bejelentett változások összekapcsolását azokkal a folyamatokkal, amelyek ezeket a változtatásokat elvégezték.

Öblítsük meg és ismételjük meg

Az előző lépésből származó hatalmas rönkök forrásba helyezése valamilyen használhatóvá válik. Egy másik házon belüli programmal kiküszöböljük a másolatokat, összegyűjtjük az érdekesnek tűnő bejegyzéseket, és töröljük azokat az adatokat, amelyek egyértelműen nem kapcsolódnak a rosszindulatú programok mintájához. Ez művészet és tudomány is; sok tapasztalatot igényel a nem lényeges tételek gyors felismerése és a fontos bejegyzések rögzítése.

Időnként a szűrési folyamat után nem marad semmi, ami azt jelenti, hogy bármi is volt a mintán, egyszerű elemző rendszerünk hiányzott. Ha egy minta túllépi ezt a lépést, akkor egy újabb házon belüli szűrőn megy keresztül. Ez közelebbről megvizsgálja a másolatokat, és elkezdi a naplóadatokat az utolsó eszköz által használt formátumba helyezni, amely ellenőrzi a rosszindulatú programok nyomát a tesztelés során.

Last Minute beállítások

Ennek a folyamatnak a csúcspontja a NuSpyCheck segédprogramunk (korának nevezték el, amikor a kémprogramok elterjedtebbek voltak). Az összes feldolgozott mintával a NuSpyCheck-et tiszta tesztrendszeren futtatjuk. Gyakran azt tapasztaljuk, hogy egyesek, amelyekről azt gondoltuk, hogy rosszindulatú programok, már jelen vannak a rendszerben. Ebben az esetben a NuSpyCheck-et szerkesztési módba fordítjuk és eltávolítjuk.

Van még egy slog, és ez egy fontos. A tesztek közötti tiszta pillanatképet visszaállítva a virtuális gépre, elindítunk minden mintát, hagyjuk, hogy a készen álljon, és ellenőrizzük a rendszert a NuSpyCheck segítségével. Itt ismét vannak olyan nyomok, amelyek úgy tűnik, hogy megjelennek az adatgyűjtés során, de nem jelennek meg a teszt idején, talán azért, mert átmeneti jellegűek. Ezen túlmenően sok malware minta véletlenszerűen generált neveket használ a fájlok és mappák számára, minden egyes esetben különbözik. Ezeket a polimorf nyomokat hozzáadjuk a mintát leíró megjegyzéshez, például: "nyolc számjegyű végrehajtható név".

Néhány további minta elhagyja a mezőt ebben a végső fázisban, mivel az adatpontok eltávolításakor semmi nem maradt mérhető. Azok, amelyek megmaradnak, a következő malware mintákká válnak. Az eredeti 400-500 URL-től általában mintegy 30-at zárunk be.

A Ransomware kivétele

A rendszerszekrényes váltakozó szoftverek, mint például a hírhedt Petya, titkosítják a merevlemezt, így a számítógépet használhatatlanná teszik, amíg meg nem fizet a váltságdíjat. A gyakoribb fájltitkosítási ransomware típusok a háttérben lévő fájlokat titkosítják. Amikor elkészítették a piszkos cselekedetet, nagy szükség van a váltságdíjra. Nincs szükség segédprogramra annak észlelésére, hogy a víruskereső elmulasztotta ezek egyikét; a rosszindulatú program egyszerűvé teszi magát.

Számos biztonsági termék extra rétegeket ad a ransomware védelemmel az alapvető víruskereső motorokon túl. Ennek van értelme. Ha antivírusának hiányzik egy trójai támadás, valószínűleg néhány nap múlva kijavítja azt, miután új aláírásokat kapott. De ha hiányzik a ransomware, akkor szerencsétlen lesz. Lehetőség szerint letiltjuk az antivírus alapvető összetevőit, és teszteljük, hogy a ransomware védelmi rendszer önmagában képes-e a fájlokat és a számítógépet biztonságban tartani.

Melyek ezek a minták?

A nagy víruskereső tesztelő laboratóriumok sok ezer fájlt használhatnak statikus fájlfelismerő teszteléshez, és több száz felhasználhatják dinamikus teszteléshez (vagyis elindítják a mintákat, és megnézik, mit tesz az antivírus). Nem igyekszünk. 30 páratlan mintánkkal megismerkedhetünk azzal, hogy az antivírusok hogyan támadnak meg, és amikor nem állnak rendelkezésre eredmények a laboratóriumokból, akkor van valami, amire visszatérhetünk.

Igyekszünk biztosítani a sokféle malware keverékét, beleértve a ransomware, a trójaiak, a vírusok és egyebeket. Tartalmazunk néhány potenciálisan nem kívánt alkalmazást is (PUA), szükség esetén kapcsoljuk be a PUA észlelést a vizsgált termékben.

Egyes rosszindulatú programok észlelik, amikor virtuális gépen futnak, és tartózkodnak a csúnya tevékenységektől. Rendben van; csak nem használjuk ezeket. Néhány órát vagy napot vár az aktiválás előtt. Ismét csak nem használjuk ezeket.

Reméljük, hogy ez a gyakorlati rosszindulatú programok tesztelésével kapcsolatos színfalak mögött némi betekintést nyert, hogy mekkora távolságot fogunk elérni a vírusvédelem működésében. Mint már megjegyeztük, nincs olyan dedikált antivírus-kutatócsoport, ahogyan a nagy laboratóriumok, de átadjuk az átmeneti jelentéseket, amelyeket máshol nem talál.