Come raccogliamo malware per test pratici sull'antivirus

Qui a PCMag, quando esaminiamo i prodotti, li sottoponiamo allo strizzatore, esercitando tutte le funzionalità per confermare che funzionano e funzionano senza problemi. Per i prodotti di backup, ad esempio, controlliamo che eseguano correttamente il backup dei file e facilitino il ripristino dal backup. Per i prodotti di editing video, misuriamo fattori come il tempo di rendering. Per reti private virtuali o VPN, eseguiamo test delle prestazioni su tutto il continente. È tutto perfettamente sicuro e semplice. Le cose diventano un po 'diverse quando si tratta di strumenti antivirus, perché verificare davvero che funzionino significa che dobbiamo sottoporli a malware reali.

L'AMTSO (Anti-Malware Testing Standards Organization) offre una raccolta di pagine di controllo delle funzionalità, in modo che tu possa assicurarti che il tuo antivirus stia funzionando per eliminare malware, bloccare download drive-by, prevenire attacchi di phishing e così via. Tuttavia, non è coinvolto alcun malware reale . Le società antivirus partecipanti accettano semplicemente di configurare i loro prodotti antivirus e di suite di sicurezza per rilevare gli attacchi simulati di AMTSO. E non tutte le società di sicurezza scelgono di partecipare.

I laboratori di test antivirus in tutto il mondo sottopongono gli strumenti di sicurezza a test estenuanti, riportando periodicamente i risultati. Quando i risultati di laboratorio sono disponibili per un prodotto, diamo a quei punteggi un peso notevole nella revisione di quel prodotto. Se tutti e quattro i laboratori che seguiamo conferiscono il punteggio più alto a un prodotto, è sicuramente una scelta eccellente.

Sfortunatamente, a malapena un quarto delle aziende che testiamo partecipano con tutti e quattro i laboratori. Un altro quarto lavora con un solo laboratorio e il 30% non partecipa con nessuno dei quattro. Chiaramente, i test pratici sono indispensabili.

Anche se i laboratori segnalassero tutti i prodotti che copriamo, faremmo comunque dei test pratici. Ti fideresti di una recensione di una macchina di uno scrittore che non ha mai fatto un giro di prova? No.

Guarda come testiamo il software antivirus e di sicurezza

Lanciare una rete ampia

Solo perché il prodotto riporta "Ehi, ho preso un campione di malware!" non significa che abbia avuto successo. In effetti, i nostri test rivelano spesso casi in cui l'antivirus ha rilevato un componente malware ma ne ha permesso l'esecuzione a un altro. Dobbiamo analizzare a fondo i nostri campioni, rilevando le modifiche apportate al sistema, in modo da poter confermare che l'antivirus ha fatto ciò che ha affermato.

I laboratori indipendenti hanno team di ricercatori dedicati alla raccolta e all'analisi degli ultimi campioni. PCMag ha solo pochi analisti della sicurezza, che sono responsabili di molto più che raccogliere e analizzare malware. Possiamo solo risparmiare tempo per analizzare una nuova serie di campioni una volta all'anno. Dal momento che i campioni rimarranno in uso per mesi, i prodotti testati in seguito potrebbero avere il vantaggio di più tempo per rilevare lo stesso campione durante il processo. Per evitare qualsiasi vantaggio ingiusto, iniziamo con campioni apparsi diversi mesi prima. Utilizziamo i feed giornalieri forniti da MRG-Effitas, tra gli altri, per avviare il processo.

In una macchina virtuale, connessa a Internet ma isolata dalla rete locale, eseguiamo una semplice utility che prende l'elenco degli URL e tenta di scaricare gli esempi corrispondenti. In molti casi, l'URL non è più valido, ovviamente. In questa fase, desideriamo dai 400 ai 500 campioni, perché c'è un serio tasso di logoramento mentre riconosciamo il set di campioni.

Il primo passaggio winnowing elimina i file che sono incredibilmente piccoli. Qualcosa di meno di 100 byte è chiaramente un frammento di un download che non è stato completato.

Successivamente, isoliamo il sistema di test da Internet e lanciamo semplicemente ogni campione. Alcuni degli esempi non vengono avviati a causa dell'incompatibilità con la versione di Windows o dell'assenza dei file necessari; boom, se ne sono andati. Altri visualizzano un messaggio di errore che indica un errore di installazione o qualche altro problema. Abbiamo imparato a mantenere quelli nel mix; spesso, un processo in background dannoso continua a funzionare dopo il presunto arresto anomalo.

Duplicati e rilevamenti

Solo perché due file hanno nomi diversi non significa che siano diversi. Il nostro schema di raccolta presenta in genere molti duplicati. Fortunatamente, non è necessario confrontare ogni coppia di file per vedere se sono uguali. Invece, usiamo una funzione hash, che è una specie di crittografia unidirezionale. La funzione hash restituisce sempre lo stesso risultato per lo stesso input, ma anche un input leggermente diverso produce risultati molto diversi. Inoltre, non c'è modo di tornare dall'hash all'originale. Due file che hanno lo stesso hash sono gli stessi.

A tale scopo utilizziamo la venerabile utility HashMyFiles di NirSoft. Identifica automaticamente i file con lo stesso hash, semplificando la rimozione dei duplicati.

Un altro uso per gli hash

VirusTotal è nato come sito Web per consentire ai ricercatori di condividere note sul malware. Attualmente una consociata di Alphabet (la società madre di Google) continua a funzionare come stanza di compensazione.

Chiunque può inviare un file a VirusTotal per l'analisi. Il sito esegue l'esempio dei motori antivirus di oltre 60 società di sicurezza e riporta quanti hanno contrassegnato l'esempio come malware. Inoltre salva l'hash del file, quindi non è necessario ripetere tale analisi se lo stesso file viene nuovamente visualizzato. Convenientemente, HashMyFiles ha un'opzione con un clic per inviare l'hash di un file a VirusTotal. Esaminiamo i campioni che sono arrivati ​​così lontano e notiamo cosa dice VirusTotal su ciascuno di essi.

I più interessanti, ovviamente, sono quelli che VirusTotal non ha mai visto. Al contrario, se 60 motori su 60 danno a un file un buono stato di salute, è probabile che non si tratti di malware. L'uso dei dati di rilevamento ci aiuta a mettere i campioni in ordine da molto probabilmente a meno probabile.

Nota che VirusTotal stesso afferma chiaramente che nessuno dovrebbe usarlo al posto di un vero motore antivirus. Anche così, è di grande aiuto per identificare le migliori prospettive per la nostra raccolta di malware.

Corri e guarda

A questo punto, inizia l'analisi pratica. Utilizziamo un programma interno (abilmente chiamato RunAndWatch) per eseguire e guardare ogni campione. Un'utilità PCMag denominata InCtrl (abbreviazione di Controllo installazione) esegue uno snapshot del registro e del file system prima e dopo l'avvio del malware, segnalando cosa è cambiato. Naturalmente, sapere che qualcosa è cambiato non prova che l'esempio di malware lo abbia cambiato.

ProcMon Process Monitor di Microsoft monitora tutte le attività in tempo reale, registrando le azioni del registro e del file system (tra le altre cose) per ogni processo. Anche con i nostri filtri, i suoi registri sono enormi. Ma ci aiutano a legare le modifiche segnalate da InCtrl5 ai processi che hanno apportato tali modifiche.

Risciacqua e ripeti

Ridurre gli enormi registri del passaggio precedente in qualcosa di utilizzabile richiede tempo. Utilizzando un altro programma interno, eliminiamo i duplicati, raccogliamo voci che sembrano essere di interesse e cancelliamo i dati chiaramente non correlati all'esempio di malware. Questa è un'arte oltre che una scienza; è necessaria molta esperienza per riconoscere rapidamente gli elementi non essenziali e acquisire voci importanti.

A volte, dopo questo processo di filtraggio, non è rimasto nulla, il che significa che qualunque sia il campione fatto, il nostro semplice sistema di analisi lo ha mancato. Se un campione supera questo passaggio, passa attraverso un altro filtro interno. Questo dà un'occhiata più da vicino ai duplicati e inizia a mettere i dati di registro in un formato utilizzato dallo strumento finale, quello che controlla le tracce di malware durante i test.

Regolazioni dell'ultimo minuto

Il culmine di questo processo è la nostra utility NuSpyCheck (nominata anni fa quando lo spyware era più diffuso). Con tutti i campioni elaborati, eseguiamo NuSpyCheck su un sistema di test pulito. Abbastanza spesso, scopriremo che alcune di quelle che pensavamo fossero tracce di malware si dimostrano già presenti sul sistema. In tal caso, attiviamo NuSpyCheck in modalità modifica e rimuoviamo quelli.

C'è un altro slog, ed è importante. Ripristinando la macchina virtuale su un'istantanea pulita tra i test, lanciamo ogni campione, lo eseguiamo fino al completamento e controlliamo il sistema con NuSpyCheck. Anche in questo caso, ci sono sempre alcune tracce che sembravano apparire durante l'acquisizione dei dati, ma non vengono visualizzate al momento del test, forse perché erano temporanee. Inoltre, molti esempi di malware utilizzano nomi generati casualmente per file e cartelle, ogni volta diversi. Per quelle tracce polimorfiche, aggiungiamo una nota che descrive il modello, come "nome eseguibile con otto cifre".

Alcuni altri campioni lasciano il campo in questa fase finale, perché con tutta la rasatura dei punti dati non era rimasto nulla da misurare. Quelli che rimangono diventano la prossima serie di campioni di malware. Dagli URL 400 a 500 originali, in genere arriviamo a circa 30.

L'eccezione ransomware

Il ransomware di blocco del sistema come il famigerato Petya crittografa il tuo disco rigido, rendendo il computer inutilizzabile fino a quando non paghi il riscatto. I tipi di ransomware di crittografia dei file più comuni crittografano i file in background. Quando hanno compiuto la sporca azione, hanno fatto una grande richiesta di riscatto. Non abbiamo bisogno di un'utilità per rilevare che all'antivirus è mancato uno di questi; il malware si rende semplice.

Molti prodotti di sicurezza stanno aggiungendo ulteriori livelli di protezione ransomware, oltre ai motori antivirus di base. Questo ha senso. Se il tuo antivirus manca un attacco di Troia, probabilmente lo risolverà tra qualche giorno dopo aver ricevuto nuove firme. Ma se manca il ransomware, sei sfortunato. Quando possibile, disabilitiamo i componenti antivirus di base e testiamo se il sistema di protezione ransomware da solo può proteggere file e computer.

Cosa non sono questi campioni

I grandi laboratori di test antivirus possono utilizzare molte migliaia di file per test di riconoscimento dei file statici e molte centinaia per test dinamici (il che significa che avviano i campioni e vedono cosa fa l'antivirus). Non ci stiamo provando. I nostri 30 campioni dispari ci danno un'idea di come l'antivirus gestisce gli attacchi e quando non abbiamo risultati dai laboratori, abbiamo qualcosa su cui fare affidamento.

Cerchiamo di garantire un mix di molti tipi di malware, inclusi ransomware, Trojan, virus e altro. Includiamo anche alcune applicazioni potenzialmente indesiderate (PUA), assicurandoci di attivare il rilevamento PUA nel prodotto in prova, se necessario.

Alcune applicazioni malware rilevano quando sono in esecuzione in una macchina virtuale e si astengono da cattive attività. Va bene; semplicemente non li usiamo. Alcuni attendono ore o giorni prima dell'attivazione. Ancora una volta, non li usiamo.

Speriamo che questa sbirciatina dietro le quinte dei nostri test pratici sulla protezione del malware ti abbia dato un'idea di quanto lontano andremo a sperimentare la protezione antivirus in azione. Come notato, non abbiamo un team devoto di ricercatori antivirus come fanno i grandi laboratori, ma ti portiamo in trincea segnalando che non troverai da nessun'altra parte.