Hvordan vi indsamler malware til hands-on antivirus test

Her på PCMag, når vi gennemgår produkter, lægger vi dem gennem wringer, og udøver alle funktioner for at bekræfte, at de fungerer og fungerer problemfrit. For sikkerhedskopieringsprodukter, for eksempel, kontrollerer vi, at de korrekt sikkerhedskopierer filer og gør det nemt at gendanne fra backup. For videoredigeringsprodukter måler vi faktorer som gengivelsestid. For virtuelle private netværk eller VPN'er kører vi kontinent-spændende ydelsestest. Det er alt sammen helt sikkert og enkelt. Tingene bliver lidt anderledes, når det kommer til antivirusværktøjer, fordi det at verificere, at de fungerer, betyder, at vi er nødt til at udsætte dem for ægte malware.

Anti-Malware Testing Standards Organization (AMTSO) tilbyder en samling af funktionskontrolsider, så du kan sikre dig, at din antivirus arbejder på at eliminere malware, blokere drev ved download, forhindre phishing-angreb og så videre. Der er dog ingen faktisk malware involveret. Deltagende antivirusfirmaer accepterer simpelthen at konfigurere deres antivirus- og sikkerhedsprodukter til at registrere AMTSOs simulerede angreb. Og ikke ethvert sikkerhedsfirma vælger at deltage.

Antivirus-testlaboratorier rundt om i verden sætter sikkerhedsværktøjer gennem udmattende test og rapporterer periodisk resultater. Når der er laboratorieresultater til rådighed for et produkt, giver vi disse scoringer en alvorlig vægt i produktets gennemgang. Hvis alle fire laboratorier, som vi følger, giver deres højeste karakter på et produkt, er det helt sikkert et fremragende valg.

Desværre deltager knap en fjerdedel af de virksomheder, vi tester, med alle fire laboratorier. Et andet kvartal arbejder med kun et laboratorium, og 30 procent deltager ikke sammen med nogen af ​​de fire. Det er klart, at praktisk test er et must.

Selv hvis laboratorierne rapporterede om alle de produkter, vi dækker, ville vi stadig gøre hands-on-test. Ville du stole på en bilanmeldelse fra en forfatter, der aldrig engang tog et prøvekørsel? Nix.

Se, hvordan vi tester antivirus- og sikkerhedssoftware

Støbning af et bredt net

Bare fordi produktet rapporterer, "Hej, jeg fangede en malware-prøve!" betyder ikke, at det var vellykket. Faktisk afslører vores test ofte tilfælde, hvor antivirus fanget en malware-komponent, men lade en anden køre. Vi er nødt til at analysere vores prøver grundigt og notere os de ændringer, de foretager i systemet, så vi kan bekræfte, at antivirussen gjorde, hvad den hævdede.

De uafhængige laboratorier har team af forskere dedikeret til at indsamle og analysere de nyeste prøver. PCMag har kun få sikkerhedsanalytikere, der er ansvarlige for meget mere end blot at indsamle og analysere malware. Vi kan kun spare tid på at analysere et nyt sæt prøver en gang om året. Da prøverne vil forblive i brug i måneder, kan produkter, der testes senere, have fordelen af ​​mere tid til at detektere den samme prøve i wile. For at undgå urimelig fordel starter vi med prøver, der dukkede op flere måneder tidligere. Vi bruger de daglige feeds leveret af MRG-Effitas blandt andre til at starte processen.

I en virtuel maskine, forbundet til internettet, men isoleret fra det lokale netværk, kører vi et simpelt værktøj, der tager listen over URL'er og forsøger at downloade de tilsvarende eksempler. I mange tilfælde er webadressen naturligvis ikke længere gyldig. I denne fase ønsker vi 400 til 500 prøver, fordi der er en alvorlig nedbrydningshastighed, når vi vinder ned prøvesættet.

Det første vindende pas eliminerer filer, der er umuligt små. Noget mindre end 100 byte er helt klart et fragment fra en download, der ikke blev fuldført.

Dernæst isolerer vi testsystemet fra internettet og starter blot hver prøve. Nogle af prøverne starter ikke på grund af inkompatibilitet med Windows-versionen eller fraværet af nødvendige filer; boom, de er væk. Andre viser en fejlmeddelelse, der angiver installationsfejl eller et andet problem. Vi har lært at holde dem i blandingen; ofte fortsætter en ondsindet baggrundsproces efter det påståede nedbrud.

Dupes og detektioner

Bare fordi to filer har forskellige navne, betyder det ikke, at de er forskellige. Vores indsamlingsplan viser typisk mange duplikater. Heldigvis er der ingen grund til at sammenligne hvert filpar for at se, om de er ens. I stedet bruger vi en hash-funktion, som er en slags envejskryptering. Hash-funktionen returnerer altid det samme resultat for den samme input, men selv en lidt anderledes input giver vildt forskellige resultater. Derudover er der ingen måde at gå fra hash tilbage til originalen. To filer, der har den samme hash, er de samme.

Vi bruger det ærverdige HashMyFiles-værktøj fra NirSoft til dette formål. Det identificerer automatisk filer med den samme hash, hvilket gør det nemt at slippe af med duplikater.

En anden brug til Hashes

VirusTotal stammer fra som et websted for forskere til at dele noter om malware. I øjeblikket et datterselskab af Alphabet (Googles moderselskab) fungerer det fortsat som et clearingcenter.

Alle kan indsende en fil til VirusTotal til analyse. Webstedet kører prøven forbi antivirusmotorer fra mere end 60 sikkerhedsfirmaer og rapporterer, hvor mange markerede prøven som malware. Det gemmer også filens hash, så den behøver ikke at gentage den analyse, hvis den samme fil vises igen. Bekvemt har HashMyFiles en mulighed med et klik for at sende en fils hash til VirusTotal. Vi kører gennem prøverne, der har nået det så langt og bemærker, hvad VirusTotal siger om hver enkelt.

De mest interessante er naturligvis dem, som VirusTotal aldrig har set. Omvendt, hvis 60 ud af 60 motorer giver en fil en ren sundhedsregning, er chancerne gode, at det ikke er malware. Brug af detektionstal hjælper os med at sætte prøverne i rækkefølge fra mest sandsynligt til mindst sandsynligt.

Bemærk, at VirusTotal selv siger klart, at ingen skal bruge det i stedet for en faktisk antivirusmotor. Alligevel er det en stor hjælp til at identificere de bedste muligheder for vores malware indsamling.

Kør og se

På dette tidspunkt begynder den praktiske analyse. Vi bruger et internt program (smart navngivet RunAndWatch) til at køre og se hver prøve. Et PCMag-værktøj kaldet InCtrl (forkortelse af Install Control) viser øjebliksbillede af registreringsdatabasen og filsystemet før og efter malware-lanceringen og rapporterer, hvad der ændrede sig. At vide, at noget ændret, beviser naturligvis ikke, at malware-prøven ændrede det.

Microsofts ProcMon Process Monitor overvåger al aktivitet i realtid og logger handlinger i registreringsdatabasen og filsystemet (blandt andet) ved hver proces. Selv med vores filtre er dens logfiler enorme. Men de hjælper os med at binde ændringerne rapporteret af InCtrl5 til de processer, der har foretaget disse ændringer.

Skyl og gentag

At koge ned de enorme logfiler fra det forrige trin til noget anvendeligt tager tid. Ved hjælp af et andet internt program eliminerer vi duplikater, samler poster, der ser ud til at være af interesse, og udslette data, der helt klart ikke har tilknytning til malware-prøven. Dette er både en kunst og en videnskab; det kræver en masse erfaring at hurtigt genkende ikke-væsentlige genstande og fange poster af betydning.

Nogle gange efter denne filtreringsproces er der bare intet tilbage, hvilket betyder, at uanset hvad prøven gjorde, vores enkle analysesystem gik glip af det. Hvis en prøve kommer forbi dette trin, går det gennem endnu et internt filter. Denne ser nærmere på duplikater og begynder at placere logdataene i et format, der bruges af det endelige værktøj, det der kontrollerer for malware-spor under test.

Sidste minut justeringer

Højdepunktet på denne proces er vores NuSpyCheck-værktøj (kaldet for aldre siden, da spyware var mere udbredt). Med alle de prøver, der er behandlet, kører vi NuSpyCheck på et rent testsystem. Vi finder ofte, at noget af det, vi troede var malware-spor, allerede viser sig at være til stede i systemet. I dette tilfælde vender vi NuSpyCheck til redigeringsfunktion og fjerner dem.

Der er endnu et slog, og det er et vigtigt. Nulstilling af den virtuelle maskine til et rent øjebliksbillede mellem testene, vi starter hver prøve, lader den køre til færdiggørelse og kontrollere systemet med NuSpyCheck. Her igen er der altid nogle spor, der så ud til at dukke op under datafangst, men dukker ikke op på testtidspunktet, måske fordi de var midlertidige. Derudover bruger mange malware-eksempler tilfældigt genererede navne til filer og mapper, forskellige hver gang. For disse polymorfe spor tilføjer vi en note, der beskriver mønsteret, såsom "eksekverbart navn med otte cifre."

Et par flere prøver forlader feltet i denne sidste fase, for med al barbering af datapunkter var der intet tilbage at måle. De, der forbliver, bliver det næste sæt malware-prøver. Fra de oprindelige 400 til 500 webadresser slutter vi typisk med ca. 30.

Undtagelsen fra Ransomware

System-locker ransomware som den berygtede Petya krypterer din harddisk, hvilket gør computeren ubrugelig, indtil du betaler løsepenge. De mere almindelige filkryptering ransomware-typer krypterer dine filer i baggrunden. Når de har gjort den beskidte gerning, dukker de op et stort krav om løsepenge. Vi har ikke brug for et værktøj til at opdage, at antiviruset har savnet en af ​​disse; malware gør sig selv klar.

Mange sikkerhedsprodukter tilføjer ekstra lag med ransomware-beskyttelse ud over de grundlæggende antivirusmotorer. Det giver mening. Hvis din antivirus går glip af et trojansk angreb, vil det sandsynligvis rydde det op i løbet af få dage, efter at det får nye underskrifter. Men hvis det går glip af ransomware, er du ude af held. Når det er muligt, deaktiverer vi de grundlæggende antiviruskomponenter og tester, om ransomware-beskyttelsessystemet alene kan holde dine filer og computere sikre.

Hvad disse prøver ikke er

De store antivirus-testlaboratorier kan bruge mange tusinder af filer til statisk filgenkendelsestest og mange hundreder til dynamisk test (hvilket betyder, at de starter prøverne og ser, hvad antivirussen gør). Vi prøver ikke på det. Vores 30-ulige prøver lader os få en fornemmelse af, hvordan antivirushåndtagene angriber, og når vi ikke har nogen resultater fra laboratorierne, har vi noget at falde tilbage på.

Vi forsøger at sikre en blanding af mange slags malware, herunder ransomware, trojanere, vira med mere. Vi inkluderer også nogle potentielt uønskede applikationer (PUA'er), og sørger for at tænde for PUA-detektion i det produkt, der testes, om nødvendigt.

Nogle malware-applikationer registrerer, når de kører i en virtuel maskine og afholder sig fra grim aktivitet. Det er fint; vi bruger bare ikke dem. Nogle venter timer eller dage, før de aktiveres. Endnu en gang bruger vi dem ikke.

Vi håber, at dette kig bag kulisserne ved vores praktiske test af malware-beskyttelse har givet dig en vis indsigt i, hvor langt vi kommer til at opleve antivirusbeskyttelse i handling. Som nævnt har vi ikke et hengiven team af antivirusforskere, som de store laboratorier gør, men vi bringer dig i skyttegraven, der rapporterer, at du ikke finder andre steder.