วิธีที่เรารวบรวมมัลแวร์สำหรับการทดสอบต่อต้านไวรัส

ที่ PCMag ที่นี่เมื่อเราตรวจสอบผลิตภัณฑ์เราจะนำพวกเขาผ่านนักเขียนใช้คุณสมบัติทั้งหมดเพื่อยืนยันว่าพวกเขาทำงานและทำงานได้อย่างราบรื่น ตัวอย่างเช่นผลิตภัณฑ์สำรองเราตรวจสอบว่าสำรองข้อมูลไฟล์อย่างถูกต้องและทำการกู้คืนจากการสำรองข้อมูลได้ง่าย สำหรับผลิตภัณฑ์ตัดต่อวิดีโอเราวัดปัจจัยต่างๆเช่นเวลาในการแสดงผล สำหรับเครือข่ายส่วนตัวเสมือนหรือ VPN เราทำการทดสอบประสิทธิภาพที่ครอบคลุมทั่วทั้งทวีป นั่นคือทั้งหมดที่ปลอดภัยและเรียบง่ายอย่างสมบูรณ์แบบ สิ่งต่าง ๆ แตกต่างกันเล็กน้อยเมื่อพูดถึงเครื่องมือป้องกันไวรัสเนื่องจากการตรวจสอบว่าทำงานจริงหมายความว่าเราต้องให้มัลแวร์ตัวจริง

องค์กรมาตรฐานการทดสอบต่อต้านมัลแวร์ (AMTSO) เสนอคอลเลกชันของหน้าตรวจสอบคุณสมบัติดังนั้นคุณสามารถตรวจสอบให้แน่ใจว่าโปรแกรมป้องกันไวรัสของคุณทำงานเพื่อกำจัดมัลแวร์บล็อกไดรฟ์ด้วยการดาวน์โหลดป้องกันการโจมตีฟิชชิ่งและอื่น ๆ อย่างไรก็ตามไม่มีมัลแวร์ที่เกี่ยวข้องจริง บริษัท ที่เข้าร่วมโปรแกรมป้องกันไวรัสเพียงแค่ตกลงที่จะกำหนดค่าผลิตภัณฑ์ป้องกันไวรัสและชุดรักษาความปลอดภัยเพื่อตรวจจับการโจมตีที่จำลองขึ้นของ AMTSO และไม่ใช่ทุก บริษัท รักษาความปลอดภัยเลือกที่จะมีส่วนร่วม

ห้องปฏิบัติการทดสอบไวรัสทั่วโลกนำเครื่องมือรักษาความปลอดภัยผ่านการทดสอบที่ทรหดโดยรายงานผลเป็นระยะ เมื่อผลลัพธ์ห้องปฏิบัติการพร้อมใช้งานสำหรับผลิตภัณฑ์เราจะให้คะแนนน้ำหนักเหล่านั้นอย่างจริงจังในการตรวจสอบผลิตภัณฑ์นั้น หากห้องปฏิบัติการทั้งสี่ที่เราติดตามได้ให้คะแนนสูงสุดในผลิตภัณฑ์นั้นแน่นอนว่าเป็นตัวเลือกที่ยอดเยี่ยม

น่าเสียดายที่เกือบหนึ่งในสี่ของ บริษัท ที่เราทดสอบมีส่วนร่วมกับห้องปฏิบัติการทั้งสี่ อีกไตรมาสใช้งานเพียงหนึ่งแล็บและเต็มร้อยละ 30 ไม่ได้เข้าร่วมกับสี่ห้องปฏิบัติการใด ๆ เห็นได้ชัดว่าการทดสอบบนมือเป็นสิ่งจำเป็น

แม้ว่าห้องปฏิบัติการจะรายงานเกี่ยวกับผลิตภัณฑ์ทั้งหมดที่เราครอบคลุม แต่เราก็ยังทำการทดสอบด้วยมือ คุณจะเชื่อใจบทวิจารณ์รถยนต์จากนักเขียนที่ไม่เคยลองขับดูหรือไม่? Nope

ดูว่าเราทดสอบซอฟต์แวร์ป้องกันไวรัสและความปลอดภัยได้อย่างไร

หล่อเน็ตไวด์

เพียงเพราะรายงานผลิตภัณฑ์ "เฮ้ฉันจับตัวอย่างมัลแวร์!" ไม่ได้หมายความว่ามันสำเร็จ ในความเป็นจริงการทดสอบของเรามักจะเผยให้เห็นกรณีที่โปรแกรมป้องกันไวรัสจับองค์ประกอบมัลแวร์หนึ่งชิ้น เราจำเป็นต้องวิเคราะห์ตัวอย่างของเราอย่างละเอียดโดยสังเกตการเปลี่ยนแปลงที่พวกเขาทำกับระบบดังนั้นเราจึงสามารถยืนยันได้ว่าโปรแกรมป้องกันไวรัสทำตามที่อ้างไว้

ห้องปฏิบัติการอิสระมีทีมนักวิจัยที่ทุ่มเทให้กับการรวบรวมและวิเคราะห์ตัวอย่างล่าสุด PCMag มีนักวิเคราะห์ความปลอดภัยเพียงไม่กี่คนที่รับผิดชอบมากกว่าเพียงแค่รวบรวมและวิเคราะห์มัลแวร์ เราสามารถใช้เวลาในการวิเคราะห์ตัวอย่างชุดใหม่ปีละครั้งเท่านั้น เนื่องจากตัวอย่างจะยังคงใช้งานเป็นเวลาหลายเดือนผลิตภัณฑ์ที่ทดสอบในภายหลังอาจมีข้อได้เปรียบในการใช้เวลาตรวจสอบตัวอย่างเดียวกันในเลเยอร์ เพื่อหลีกเลี่ยงความได้เปรียบที่ไม่เป็นธรรมเราเริ่มต้นด้วยตัวอย่างที่ปรากฏเมื่อหลายเดือนก่อน เราใช้ฟีดรายวันที่จัดทำโดย MRG-Effitas และอื่น ๆ เพื่อเริ่มต้นกระบวนการ

ในเครื่องเสมือนที่เชื่อมต่อกับอินเทอร์เน็ต แต่แยกได้จากเครือข่ายท้องถิ่นเราเรียกใช้ยูทิลิตี้ง่าย ๆ ที่ใช้รายการ URL และพยายามดาวน์โหลดตัวอย่างที่เกี่ยวข้อง ในหลายกรณี URL ไม่ถูกต้องอีกต่อไปแน่นอน ในขั้นตอนนี้เราต้องการตัวอย่าง 400 ถึง 500 ตัวอย่างเนื่องจากมีอัตราการขัดสีที่ร้ายแรงขณะที่เราส่งชุดตัวอย่าง

รหัสผ่าน winnowing แรกจะกำจัดไฟล์ที่มีขนาดเล็กมาก สิ่งที่น้อยกว่า 100 ไบต์นั้นเป็นส่วนที่ชัดเจนจากการดาวน์โหลดที่ไม่สมบูรณ์

ต่อไปเราแยกระบบทดสอบออกจากอินเทอร์เน็ตและเปิดตัวอย่างแต่ละตัวอย่าง ตัวอย่างบางส่วนไม่เปิดใช้งานเนื่องจากไม่เข้ากันกับรุ่น Windows หรือไม่มีไฟล์ที่จำเป็น บูมพวกเขาไปแล้ว คนอื่น ๆ แสดงข้อความแสดงข้อผิดพลาดเพื่อระบุว่าการติดตั้งล้มเหลวหรือปัญหาอื่น ๆ เราได้เรียนรู้ที่จะเก็บมันไว้ในส่วนผสม; บ่อยครั้งที่กระบวนการแบ็คกราวน์ที่เป็นอันตรายยังคงทำงานต่อไปหลังจากเกิดข้อผิดพลาด

ซ้ำซ้อนและการตรวจจับ

เพียงเพราะสองไฟล์มีชื่อแตกต่างกันไม่ได้หมายความว่าพวกเขาแตกต่างกัน รูปแบบการเก็บของเรามักจะเกิดขึ้นซ้ำซ้อน โชคดีที่ไม่จำเป็นต้องเปรียบเทียบไฟล์ทุกคู่เพื่อดูว่าเป็นไฟล์เดียวกันหรือไม่ แต่เราใช้ฟังก์ชันแฮชซึ่งเป็นการเข้ารหัสแบบทางเดียว ฟังก์ชันแฮชจะส่งคืนผลลัพธ์เดียวกันเสมอสำหรับอินพุตเดียวกัน แต่แม้อินพุตที่ต่างกันเล็กน้อยจะให้ผลลัพธ์ที่แตกต่างกัน นอกจากนี้ยังไม่มีวิธีการเปลี่ยนจากแฮชกลับไปเป็นต้นฉบับ สองไฟล์ที่มีแฮชเดียวกันเหมือนกัน

เราใช้ยูทิลิตี้ที่น่าเชื่อถือ HashMyFiles จาก NirSoft เพื่อจุดประสงค์นี้ มันจะระบุไฟล์ที่มีแฮชเดียวกันโดยอัตโนมัติทำให้ง่ายต่อการกำจัดไฟล์ที่ซ้ำซ้อน

การใช้งานอื่นสำหรับแฮช

VirusTotal มีต้นกำเนิดมาจากเว็บไซต์สำหรับนักวิจัยในการแบ่งปันบันทึกเกี่ยวกับมัลแวร์ ปัจจุบันเป็น บริษัท ย่อยของตัวอักษร (บริษัท แม่ของ Google) มันยังคงทำหน้าที่เป็นสำนักหักบัญชี

ทุกคนสามารถส่งไฟล์ไปยัง VirusTotal เพื่อทำการวิเคราะห์ ไซต์นี้รันโปรแกรมตัวอย่างของโปรแกรมป้องกันไวรัสที่ผ่านมาจาก บริษัท รักษาความปลอดภัยกว่า 60 แห่งและรายงานจำนวนตัวอย่างที่ทำเครื่องหมายว่าเป็นมัลแวร์ นอกจากนี้ยังบันทึกแฮชของไฟล์ด้วยดังนั้นจึงไม่จำเป็นต้องทำการวิเคราะห์ซ้ำหากไฟล์เดียวกันปรากฏขึ้นอีกครั้ง สะดวก HashMyFiles มีตัวเลือกคลิกเดียวเพื่อส่งแฮชของไฟล์ไปยัง VirusTotal เราทำงานผ่านตัวอย่างที่ทำให้มันมาไกลขนาดนี้และจดบันทึกสิ่งที่ VirusTotal พูดเกี่ยวกับแต่ละอย่าง

แน่นอนว่าสิ่งที่น่าสนใจที่สุดคือสิ่งที่ VirusTotal ไม่เคยเห็นมาก่อน ในทางกลับกันหากเครื่องยนต์ 60 จาก 60 มีสุขภาพที่ดีไฟล์มีโอกาสดีก็ไม่ใช่มัลแวร์ การใช้ตัวเลขการตรวจจับช่วยให้เราสามารถวางตัวอย่างในลำดับที่เป็นไปได้น้อยที่สุด

โปรดทราบว่า VirusTotal ระบุอย่างชัดเจนว่าไม่มีใครควรใช้แทนเอ็นจิ้นการป้องกันไวรัสจริง ถึงกระนั้นมันก็เป็นความช่วยเหลือที่ยิ่งใหญ่ในการระบุโอกาสที่ดีที่สุดสำหรับการรวบรวมมัลแวร์ของเรา

เรียกใช้และดู

เมื่อมาถึงจุดนี้การวิเคราะห์เชิงปฏิบัติเริ่มต้นขึ้น เราใช้โปรแกรมในบ้าน (ชื่อ RunAndWatch) เพื่อเรียกใช้และดูตัวอย่างแต่ละตัวอย่าง ยูทิลิตี้ PCMag ที่เรียกว่า InCtrl (ย่อมาจาก Install Control) จะบันทึกภาพรวมของระบบรีจิสทรีและไฟล์ก่อนและหลังการเปิดตัวมัลแวร์รายงานสิ่งที่เปลี่ยนแปลง แน่นอนว่าการรู้ว่ามีอะไรเปลี่ยนแปลงไม่ได้พิสูจน์ว่าตัวอย่างมัลแวร์เปลี่ยนไป

ProcMon Process Monitor ของ Microsoft ตรวจสอบกิจกรรมทั้งหมดในแบบเรียลไทม์บันทึกการทำงานของ Registry และการกระทำของระบบไฟล์ (เหนือสิ่งอื่นใด) โดยทุกกระบวนการ แม้จะมีตัวกรองของเราแล้วบันทึกของมันก็ยังใหญ่ แต่สิ่งเหล่านี้ช่วยเราในการเชื่อมโยงการเปลี่ยนแปลงที่รายงานโดย InCtrl5 กับกระบวนการที่ทำการเปลี่ยนแปลงเหล่านั้น

ล้างและทำซ้ำ

การต้มบันทึกขนาดใหญ่จากขั้นตอนก่อนหน้าเป็นสิ่งที่ใช้งานได้ต้องใช้เวลา ด้วยการใช้โปรแกรมภายใน บริษัท อื่นเราจะกำจัดรายการที่ซ้ำกันรวบรวมรายการที่น่าสนใจและล้างข้อมูลที่ไม่เกี่ยวข้องกับตัวอย่างมัลแวร์อย่างชัดเจน นี่คือศิลปะเช่นเดียวกับวิทยาศาสตร์ ต้องใช้ประสบการณ์มากมายในการรับรู้รายการที่ไม่จำเป็นและจับรายการที่มีความสำคัญได้อย่างรวดเร็ว

บางครั้งหลังจากกระบวนการกรองนี้ไม่มีอะไรเหลือหมายความว่าไม่ว่าตัวอย่างทำอะไรระบบการวิเคราะห์อย่างง่ายของเราพลาดไป หากตัวอย่างผ่านขั้นตอนนี้ไปแล้วจะผ่านตัวกรองอื่นภายในองค์กร อันนี้จะตรวจสอบรายการที่ซ้ำกันอย่างใกล้ชิดและเริ่มใส่ข้อมูลบันทึกลงในรูปแบบที่ใช้โดยเครื่องมือขั้นสุดท้ายซึ่งเป็นข้อมูลที่ตรวจสอบหาร่องรอยของมัลแวร์ในระหว่างการทดสอบ

การปรับนาทีสุดท้าย

สุดยอดของกระบวนการนี้คือยูทิลิตี้ NuSpyCheck ของเรา (ตั้งชื่อเมื่อนานมาแล้วเมื่อสปายแวร์แพร่หลายมากขึ้น) เมื่อประมวลผลตัวอย่างทั้งหมดแล้วเราเรียกใช้ NuSpyCheck บนระบบทดสอบที่สะอาด บ่อยครั้งเราจะพบว่าสิ่งที่เราคิดว่าเป็นร่องรอยมัลแวร์พิสูจน์แล้วว่ามีอยู่ในระบบแล้ว ในกรณีนี้เราพลิก NuSpyCheck เข้าสู่โหมดแก้ไขและลบออก

มีอีกหนึ่งคำขวัญและมันเป็นสิ่งสำคัญ การรีเซ็ตเครื่องเสมือนให้เป็นภาพรวมสะอาดระหว่างการทดสอบเราเปิดตัวอย่างแต่ละครั้งปล่อยให้มันทำงานจนเสร็จและตรวจสอบระบบด้วย NuSpyCheck ที่นี่อีกครั้งมีร่องรอยบางอย่างที่ดูเหมือนจะปรากฏขึ้นระหว่างการเก็บข้อมูล แต่จะไม่ปรากฏในเวลาทดสอบบางทีอาจเป็นเพราะพวกเขาชั่วคราว นอกจากนี้ตัวอย่างมัลแวร์จำนวนมากใช้ชื่อที่สร้างขึ้นแบบสุ่มสำหรับไฟล์และโฟลเดอร์ต่างกันในแต่ละครั้ง สำหรับร่องรอย polymorphic เหล่านั้นเราเพิ่มหมายเหตุที่อธิบายรูปแบบเช่น "ชื่อที่สามารถเรียกทำงานได้ด้วยตัวเลขแปดหลัก"

อีกสองสามตัวอย่างออกจากสนามในขั้นตอนสุดท้ายนี้เนื่องจากการโกนทิ้งจุดข้อมูลทั้งหมดไม่มีอะไรเหลือให้วัด ที่เหลือจะกลายเป็นตัวอย่างมัลแวร์ชุดต่อไป จาก URL ดั้งเดิม 400 ถึง 500 เรามักจะปิดท้ายด้วยประมาณ 30

ข้อยกเว้น Ransomware

ค่าไถ่ตู้เก็บของระบบเช่น Petya ที่มีชื่อเสียงเข้ารหัสฮาร์ดไดรฟ์ของคุณทำให้คอมพิวเตอร์ใช้งานไม่ได้จนกว่าคุณจะจ่ายเงินค่าไถ่ ประเภทไฟล์การเข้ารหัส ransomware ทั่วไปจะเข้ารหัสไฟล์ของคุณในพื้นหลัง เมื่อพวกเขาได้ทำสิ่งสกปรกแล้วพวกเขาก็ต้องการรับค่าไถ่จำนวนมาก เราไม่ต้องการยูทิลิตี้เพื่อตรวจสอบว่าโปรแกรมป้องกันไวรัสพลาดอย่างใดอย่างหนึ่ง มัลแวร์ทำให้ตัวเองธรรมดา

ผลิตภัณฑ์ด้านความปลอดภัยจำนวนมากกำลังเพิ่มการป้องกัน ransomware เพิ่มเติมนอกเหนือจากเอนจินการป้องกันไวรัสพื้นฐาน นั่นทำให้รู้สึก หากโปรแกรมป้องกันไวรัสของคุณพลาดการโจมตีของโทรจันก็อาจจะล้างมันในไม่กี่วันหลังจากที่ได้รับลายเซ็นใหม่ แต่ถ้าพลาด ransomware คุณก็จะโชคไม่ดี เมื่อเป็นไปได้เราจะปิดการใช้งานส่วนประกอบป้องกันไวรัสขั้นพื้นฐานและทดสอบว่าระบบการป้องกัน ransomware เพียงอย่างเดียวสามารถรักษาไฟล์และคอมพิวเตอร์ของคุณให้ปลอดภัยได้หรือไม่

ตัวอย่างเหล่านี้ไม่ได้เป็นอะไร

ห้องปฏิบัติการทดสอบแอนติไวรัสขนาดใหญ่สามารถใช้ไฟล์หลายพันไฟล์สำหรับการทดสอบการรับรู้ไฟล์สแตติกและอีกหลายร้อยสำหรับการทดสอบแบบไดนามิก (หมายถึงพวกมันเปิดตัวอย่างและดูว่าแอนติไวรัสทำอะไร) เราไม่ได้พยายามอย่างนั้น ตัวอย่าง 30 คี่ของเราให้เรารู้ว่าแอนติไวรัสนั้นจัดการกับการโจมตีอย่างไรและเมื่อเราไม่ได้ผลลัพธ์จากแล็บเราก็มีบางอย่างที่ต้องถอยกลับไป

เราพยายามทำให้แน่ใจว่ามีมัลแวร์หลายประเภทรวมถึง ransomware, Trojans, ไวรัสและอีกมากมาย นอกจากนี้เรายังรวมแอพพลิเคชั่นที่อาจไม่พึงประสงค์ (PUA) ซึ่งจะทำให้แน่ใจว่าได้เปิดการตรวจจับ PUA ในผลิตภัณฑ์ภายใต้การทดสอบหากจำเป็น

แอปพลิเคชันมัลแวร์บางตัวตรวจพบเมื่อพวกเขากำลังทำงานในเครื่องเสมือนจริงและงดการทำงานที่น่ารังเกียจ ไม่เป็นไร; เราแค่ไม่ใช้สิ่งเหล่านั้น บางคนรอชั่วโมงหรือหลายวันก่อนเปิดใช้งาน อีกครั้งเราไม่ได้ใช้สิ่งเหล่านั้น

เราหวังว่าจะได้เห็นเบื้องหลังการทดสอบการป้องกันมัลแวร์บนมือของเรานี้ทำให้คุณเข้าใจว่าเราจะได้สัมผัสกับการป้องกันไวรัสในทางที่ไกลแค่ไหน ดังที่กล่าวไว้เราไม่มีทีมนักวิจัยป้องกันไวรัสที่ทุ่มเทในการทำงานของแล็บขนาดใหญ่ แต่เรานำเสนอการรายงานในสนามเพลาะว่าคุณจะไม่พบที่อื่น