Bagaimana kami mengumpul perisian berniat jahat untuk menguji antivirus

Di sini di PCMag, ketika kami meninjau produk, kami meletakkannya melalui wringer, melakukan semua ciri untuk mengesahkan bahawa mereka bekerja, dan berfungsi dengan lancar. Untuk produk sandaran, sebagai contoh, kami semak bahawa mereka mencadangkan fail dengan betul dan membuat pemulihan dari sandaran mudah. Untuk produk pengeditan video, kami mengukur faktor seperti masa rendering. Untuk rangkaian peribadi maya, atau VPN, kami menjalankan ujian prestasi benua yang merangkumi. Itu semua sangat selamat dan mudah. Hal-hal yang sedikit berbeza ketika datang ke alat antivirus, karena benar-benar mengesahkan bahwa mereka bekerja berarti kita harus menundukkan mereka ke malware nyata.

Pertubuhan Piawaian Pengujian Anti-Malware (AMTSO) menawarkan koleksi halaman semakan ciri supaya anda dapat memastikan antivirus anda berfungsi untuk menghapuskan perisian hasad, menghalang pemuat turun cakera, mencegah serangan pancingan data, dan sebagainya. Walau bagaimanapun, tidak ada perisian hasad yang terlibat. Syarikat-syarikat antivirus yang terlibat hanya bersetuju untuk mengkonfigurasi produk antivirus dan keselamatan mereka untuk mengesan serangan simulasi AMTSO. Dan tidak setiap syarikat keselamatan memilih untuk mengambil bahagian.

Makmal ujian antivirus di seluruh dunia meletakkan alat keselamatan melalui ujian melelahkan, melaporkan hasil secara berkala. Apabila keputusan makmal tersedia untuk produk, kami memberi markah skor berat yang serius dalam ulasan produk tersebut. Jika semua empat makmal yang kami ikuti memberikan penarafan tertinggi pada produk, ia pasti menjadi pilihan yang sangat baik.

Malangnya, hampir tidak seperempat syarikat yang kami uji menyertai empat makmal. Satu lagi kerja suku dengan hanya satu makmal, dan 30 peratus sepenuhnya tidak menyertai mana-mana empat. Jelas sekali, ujian tangan adalah satu kemestian.

Walaupun makmal dilaporkan pada semua produk yang kami tutupi, kami masih melakukan ujian secara langsung. Adakah anda mempercayai ulasan kereta dari seorang penulis yang tidak pernah mengambil ujian pengujian? Tidak.

Lihat Bagaimana Kami Menguji Antivirus dan Perisian Keselamatan

Meletakkan Net Wide

Hanya kerana laporan produk itu, "Hei, saya menangkap sampel perisian jahat!" tidak bermakna ia berjaya. Malah, ujian kami sering mendedahkan keadaan di mana antivirus itu menangkap satu komponen malware tetapi membenarkan yang lain dijalankan. Kita perlu teliti menganalisis sampel kita, mencatatkan perubahan yang mereka buat kepada sistem, jadi kita dapat mengesahkan bahawa antivirus melakukan apa yang dituntut.

Makmal bebas mempunyai pasukan penyelidik yang berdedikasi untuk mengumpulkan dan menganalisis sampel terbaru. PCMag hanya mempunyai beberapa penganalisis keselamatan, yang bertanggungjawab untuk lebih daripada sekadar mengumpulkan dan menganalisis malware. Kita hanya boleh meluangkan masa untuk menganalisis satu set sampel baru sekali setahun. Oleh kerana sampel akan terus digunakan selama berbulan-bulan, produk yang diuji kemudian mungkin mempunyai kelebihan lebih banyak masa untuk mengesan sampel yang sama dalam wile. Untuk mengelakkan sebarang kelebihan yang tidak adil, kita mulakan dengan sampel yang muncul beberapa bulan lebih awal. Kami menggunakan suapan harian yang dibekalkan oleh MRG-Effitas, antara lain, untuk memulakan proses.

Dalam mesin maya, disambungkan ke internet tetapi terpencil dari rangkaian tempatan, kami menjalankan utiliti mudah yang mengambil senarai URL dan cuba memuat turun sampel yang sepadan. Dalam banyak kes, URL tidak lagi sah, sudah tentu. Pada fasa ini, kita mahu 400 hingga 500 sampel, kerana terdapat kadar pergeseran yang serius apabila kita memotong set sampel.

Pas winnowing pertama menghapuskan fail yang mustahil kecil. Apa-apa sahaja yang kurang daripada 100 bait adalah jelas serpihan dari muat turun yang tidak lengkap.

Seterusnya, kami mengasingkan sistem ujian dari internet dan hanya melancarkan setiap sampel. Beberapa sampel tidak dilancarkan kerana ketidakcocokan dengan versi Windows atau ketiadaan fail yang diperlukan; ledakan, mereka hilang. Lain-lain memaparkan mesej ralat yang menunjukkan kegagalan pemasangan atau masalah lain. Kami telah belajar untuk menyimpan mereka dalam campuran; Selalunya, proses latar belakang yang berniat jahat terus berfungsi selepas kemalangan yang didakwa.

Dupes dan Pengesanan

Hanya kerana dua fail mempunyai nama yang berbeza tidak bermakna mereka berbeza. Skim pengumpulan kami biasanya muncul banyak pendua. Mujurlah, tidak perlu membandingkan setiap sepasang fail untuk melihat sama ada mereka sama. Sebaliknya, kami menggunakan fungsi hash, yang merupakan satu penyulitan satu arah. Fungsi hash sentiasa mengembalikan hasil yang sama untuk masukan yang sama, tetapi walaupun input yang sedikit berbeza memberi hasil yang sangat berbeza. Di samping itu, tidak ada cara untuk pergi dari hash ke asal. Dua fail yang mempunyai hash yang sama adalah sama.

Kami menggunakan utiliti HashMyFiles yang dihormati daripada NirSoft untuk tujuan ini. Ia secara automatik mengenal pasti fail dengan hash yang sama, menjadikannya mudah untuk menyingkirkan pendua.

Penggunaan lain untuk Hashes

VirusTotal berasal sebagai laman web untuk penyelidik untuk berkongsi nota mengenai perisian hasad. Pada masa ini anak syarikat Alphabet (syarikat induk Google) ia terus berfungsi sebagai pusat penjelasan.

Sesiapa sahaja boleh menyerahkan fail ke VirusTotal untuk analisis. Laman ini menjalankan enjin antivirus lalu sampel dari lebih dari 60 syarikat keselamatan dan melaporkan berapa banyak menandakan sampel sebagai malware. Ia juga menyelamatkan hash fail, jadi ia tidak perlu mengulangi analisis itu jika fail yang sama muncul lagi. Dengan mudah, HashMyFiles mempunyai pilihan sekali klik untuk menghantar hash fail ke VirusTotal. Kami menjalankan sampel yang telah membuatnya sejauh ini dan perhatikan apa yang dikatakan oleh VirusTotal tentang setiap.

Yang paling menarik, tentu saja, ialah yang belum pernah dilihat oleh VirusTotal. Sebaliknya, jika 60 daripada 60 enjin memberikan fail tagihan kesihatan yang bersih, kemungkinannya adalah baik bukan malware. Menggunakan angka pengesanan membantu kami meletakkan sampel secara berkemungkinan tidak mungkin.

Perhatikan bahawa VirusTotal sendiri menyatakan dengan jelas bahawa tiada siapa yang harus menggunakannya sebagai pengganti enjin antivirus sebenar. Walaupun begitu, itu adalah bantuan besar yang mengenal pasti prospek terbaik untuk koleksi malware kami.

Run dan Watch

Pada ketika ini, analisis tangan bermula. Kami menggunakan program dalaman (cerdas bernama RunAndWatch) untuk menjalankan dan menonton setiap sampel. Utiliti PCMag yang disebut InCtrl (pendek untuk Kawalan Pasang) snapshots Registry dan sistem fail sebelum dan selepas pelancaran malware, melaporkan apa yang berubah. Sudah tentu, mengetahui sesuatu yang berubah tidak membuktikan bahawa sampel malware mengubahnya.

Monitor Proses ProcMon Microsoft memantau semua aktiviti dalam masa nyata, tindakan pendaftaran Registry dan sistem fail (antara lain) oleh setiap proses. Walaupun dengan penapis kami, kayu balaknya sangat besar. Tetapi mereka membantu kami mengikat perubahan yang dilaporkan oleh InCtrl5 kepada proses yang membuat perubahan tersebut.

Bilas dan Ulangi

Mendidih kayu besar dari langkah terdahulu menjadi sesuatu yang boleh digunakan memerlukan masa. Menggunakan program dalaman lain, kami menghapuskan pendua, mengumpulkan entri yang kelihatan menarik, dan menghapus data yang jelas tidak berkaitan dengan sampel malware. Ini adalah seni serta sains; ia memerlukan banyak pengalaman untuk mengenali item-item yang tidak penting dan memasukkan entri penting.

Kadang-kadang selepas proses penapisan ini, hanya ada yang tersisa, yang bermaksud bahawa apa jua sampel yang dilakukan, sistem analisis mudah kita merinduinya. Sekiranya sampel melepasi langkah ini, ia akan melancarkan satu lagi penapis dalaman. Yang satu ini melihat lebih dekat untuk pendua, dan mula memasukkan data log ke format yang digunakan oleh alat akhir, yang memeriksa jejak malware semasa ujian.

Penyesuaian Semalam

Kemunculan proses ini adalah utiliti NuSpyCheck kami (bernama umur lalu ketika spyware lebih umum). Dengan semua sampel diproses, kami menjalankan NuSpyCheck pada sistem ujian bersih. Seringkali, kami akan mendapati bahawa sebahagian daripada apa yang kami fikir adalah kesan malware terbukti telah wujud pada sistem. Dalam hal ini, kita buka NuSpyCheck ke mod edit dan keluarkannya.

Terdapat satu lagi slog, dan ia adalah satu yang penting. Menetapkan semula mesin maya ke dalam tangkapan bersih antara ujian, kami melancarkan setiap sampel, biarkan ia diselesaikan hingga selesai, dan periksa sistem dengan NuSpyCheck. Di sini sekali lagi, selalu ada beberapa jejak yang kelihatan muncul semasa penangkapan data, tetapi tidak muncul pada masa ujian, mungkin kerana mereka bersifat sementara. Di samping itu, banyak contoh malware menggunakan nama yang dihasilkan secara rawak untuk fail dan folder, berbeza setiap kali. Untuk jejak polimorfik, kami menambah nota yang menerangkan corak, seperti "nama boleh laku dengan lapan digit."

Beberapa lagi sampel meninggalkan padang pada fasa terakhir ini, kerana dengan semua pencukuran titik data tidak ada lagi untuk diukur. Mereka yang kekal menjadi set seterusnya sampel malware. Daripada 400 hingga 500 URL yang asal, kami biasanya menghidupkan sekitar 30.

Pengecualian Ransomware

Ransomware sistem penguncian seperti Petya yang terkenal menyulitkan pemacu keras anda, menjadikan komputer tidak dapat digunakan sehingga anda membayar tebusan. Jenis ransomware penyulitan fail yang lebih biasa menyulitkan fail anda di latar belakang. Apabila mereka melakukan perbuatan yang kotor, mereka menimbulkan permintaan besar untuk tebusan. Kami tidak memerlukan utiliti untuk mengesan bahawa antivirus itu terlepas salah satu daripada ini; malware itu menjadikannya jelas.

Banyak produk keselamatan menambah lapisan tambahan perlindungan ransomware, di luar enjin antivirus asas. Yang masuk akal. Jika antivirus anda merindui serangan Trojan, ia mungkin akan membersihkannya dalam masa beberapa hari selepas ia mendapat tandatangan baru. Tetapi jika ia merindui ransomware, anda tidak beruntung. Sekiranya mungkin, kami mematikan komponen antivirus asas dan menguji sama ada sistem perlindungan ransomware sahaja boleh menyimpan fail dan komputer anda selamat.

Apa Sampel Ini Tidak

Makmal ujian antivirus besar boleh menggunakan ribuan fail untuk ujian pengiktirafan fail statik, dan beratus-ratus untuk ujian dinamik (bererti mereka melancarkan sampel dan melihat apa yang dilakukan oleh antivirus). Kami tidak cuba untuk itu. Sampel 30-ganjil kami marilah kita merasakan bagaimana antivirus menangani serangan, dan apabila kami tidak mempunyai hasil dari makmal, kami mempunyai sesuatu yang akan ditolak.

Kami cuba memastikan campuran pelbagai jenis perisian hasad, termasuk ransomware, Trojans, virus, dan banyak lagi. Kami juga termasuk beberapa aplikasi yang tidak diingini (PUA), memastikan untuk menghidupkan pengesanan PUA dalam produk yang diuji, jika perlu.

Sesetengah aplikasi malware mengesan apabila mereka berjalan dalam mesin maya dan menahan diri daripada aktiviti jahat. Itu baik-baik saja; kita tidak menggunakannya. Beberapa jam tunggu atau hari sebelum mengaktifkan. Sekali lagi, kami tidak menggunakannya.

Kami berharap pengintip ini di belakang tabir di ujian perlindungan perisian malware kami telah memberi anda sedikit pemahaman tentang sejauh mana kami akan mengalami perlindungan antivirus dalam tindakan. Seperti yang dinyatakan, kami tidak mempunyai pasukan peneliti antivirus yang setia dengan cara makmal besar lakukan, tetapi kami membawa anda dalam laporan yang tidak akan dapat mencari tempat lain.