Cách chúng tôi thu thập phần mềm độc hại để kiểm tra chống vi-rút thực hành

Tại PCMag, khi chúng tôi xem xét các sản phẩm, chúng tôi đưa chúng qua máy vắt, thực hiện tất cả các tính năng để xác nhận rằng chúng hoạt động và hoạt động trơn tru. Ví dụ, đối với các sản phẩm sao lưu, chúng tôi kiểm tra xem chúng sao lưu chính xác các tệp và giúp khôi phục từ sao lưu dễ dàng. Đối với các sản phẩm chỉnh sửa video, chúng tôi đo lường các yếu tố như thời gian kết xuất. Đối với các mạng riêng ảo hoặc VPN, chúng tôi chạy thử nghiệm hiệu năng kéo dài liên tục. Đó là tất cả hoàn toàn an toàn và đơn giản. Mọi thứ trở nên khác biệt một chút khi nói đến các công cụ chống vi-rút, bởi vì thực sự xác minh rằng chúng hoạt động có nghĩa là chúng ta phải chịu đựng phần mềm độc hại thực sự.

Tổ chức Tiêu chuẩn Kiểm tra Phần mềm Chống phần mềm độc hại (AMTSO) cung cấp một tập hợp các trang kiểm tra tính năng, do đó bạn có thể đảm bảo phần mềm chống vi-rút của bạn đang hoạt động để loại bỏ phần mềm độc hại, chặn tải xuống bằng cách lái xe, ngăn chặn các cuộc tấn công lừa đảo, v.v. Tuy nhiên, không có phần mềm độc hại thực sự liên quan. Các công ty chống vi-rút tham gia chỉ cần đồng ý định cấu hình các sản phẩm bộ phần mềm chống vi-rút và bảo mật của họ để phát hiện các cuộc tấn công giả lập của AMTSO. Và không phải mọi công ty bảo mật đều chọn tham gia.

Các phòng thí nghiệm kiểm tra phần mềm chống vi-rút trên toàn thế giới đưa các công cụ bảo mật thông qua các bài kiểm tra mệt mỏi, báo cáo kết quả định kỳ. Khi kết quả phòng thí nghiệm có sẵn cho một sản phẩm, chúng tôi sẽ cho những điểm số đó trọng lượng nghiêm trọng trong đánh giá sản phẩm đó. Nếu tất cả bốn phòng thí nghiệm mà chúng tôi theo dõi đánh giá cao nhất của họ về một sản phẩm, đó chắc chắn là một lựa chọn tuyệt vời.

Thật không may, gần một phần tư các công ty chúng tôi thử nghiệm tham gia với cả bốn phòng thí nghiệm. Một phần tư khác làm việc chỉ với một phòng thí nghiệm và hoàn toàn 30 phần trăm không tham gia với bất kỳ ai trong bốn người. Rõ ràng, thử nghiệm thực hành là phải.

Ngay cả khi các phòng thí nghiệm báo cáo về tất cả các sản phẩm mà chúng tôi bao gồm, chúng tôi vẫn sẽ thử nghiệm thực hành. Bạn có tin tưởng một đánh giá xe từ một nhà văn thậm chí không bao giờ lái thử? Không.

Xem cách chúng tôi kiểm tra phần mềm chống vi-rút và bảo mật

Đúc một mạng lưới rộng

Chỉ vì sản phẩm báo cáo, "Này, tôi đã bắt được một mẫu phần mềm độc hại!" không có nghĩa là nó đã thành công Trên thực tế, thử nghiệm của chúng tôi thường cho thấy các trường hợp phần mềm chống vi-rút bắt được một thành phần phần mềm độc hại nhưng cho phép phần mềm khác chạy. Chúng tôi cần phân tích kỹ lưỡng các mẫu của chúng tôi, lưu ý các thay đổi mà chúng thực hiện đối với hệ thống, vì vậy chúng tôi có thể xác nhận rằng phần mềm chống vi-rút đã làm những gì nó tuyên bố.

Các phòng thí nghiệm độc lập có các nhóm các nhà nghiên cứu chuyên thu thập và phân tích các mẫu mới nhất. PCMag chỉ có một vài nhà phân tích bảo mật, người chịu trách nhiệm nhiều hơn là chỉ thu thập và phân tích phần mềm độc hại. Chúng tôi chỉ có thể dành thời gian để phân tích một bộ mẫu mới mỗi năm một lần. Vì các mẫu sẽ được sử dụng trong nhiều tháng, nên các sản phẩm được kiểm tra sau đó có thể có lợi thế hơn về thời gian để phát hiện cùng một mẫu trong wile. Để tránh bất kỳ lợi thế không công bằng, chúng tôi bắt đầu với các mẫu xuất hiện vài tháng trước đó. Chúng tôi sử dụng các nguồn cấp dữ liệu hàng ngày được cung cấp bởi MRG-Effitas, trong số những người khác, để bắt đầu quá trình.

Trong một máy ảo, được kết nối với internet nhưng cách ly với mạng cục bộ, chúng tôi chạy một tiện ích đơn giản lấy danh sách các URL và cố gắng tải xuống các mẫu tương ứng. Trong nhiều trường hợp, URL không còn hợp lệ, tất nhiên. Ở giai đoạn này, chúng tôi muốn 400 đến 500 mẫu, bởi vì có một tỷ lệ tiêu hao nghiêm trọng khi chúng tôi thắng bộ mẫu.

Thẻ winnowing đầu tiên giúp loại bỏ các tệp nhỏ không thể tưởng tượng được. Bất cứ điều gì dưới 100 byte rõ ràng là một đoạn từ bản tải xuống chưa hoàn thành.

Tiếp theo, chúng tôi cô lập hệ thống thử nghiệm từ internet và chỉ cần khởi chạy từng mẫu. Một số mẫu không khởi chạy do không tương thích với phiên bản Windows hoặc không có các tệp cần thiết; bùng nổ, họ đã biến mất Những người khác hiển thị thông báo lỗi cho biết lỗi cài đặt hoặc một số vấn đề khác. Chúng tôi đã học cách giữ những người trong hỗn hợp; thông thường, một quá trình nền độc hại tiếp tục hoạt động sau sự cố bị cáo buộc.

Phát hiện và phát hiện

Chỉ vì hai tệp có tên khác nhau không có nghĩa là chúng khác nhau. Đề án bộ sưu tập của chúng tôi thường bật lên nhiều bản sao. May mắn thay, không cần phải so sánh mọi cặp tệp để xem chúng có giống nhau không. Thay vào đó, chúng tôi sử dụng hàm băm, đây là một loại mã hóa một chiều. Hàm băm luôn trả về cùng một kết quả cho cùng một đầu vào, nhưng ngay cả một đầu vào hơi khác nhau cũng mang lại kết quả rất khác nhau. Ngoài ra, không có cách nào để đi từ băm trở lại ban đầu. Hai tệp có cùng hàm băm là như nhau.

Chúng tôi sử dụng tiện ích HashMyFiles đáng kính từ NirSoft cho mục đích này. Nó tự động xác định các tệp có cùng hàm băm, giúp dễ dàng loại bỏ các bản sao.

Sử dụng khác cho băm

VirusTotal có nguồn gốc là một trang web để các nhà nghiên cứu chia sẻ ghi chú về phần mềm độc hại. Hiện tại, một công ty con của Alphabet (công ty mẹ của Google), công ty tiếp tục hoạt động như một trung tâm thanh toán bù trừ.

Bất cứ ai cũng có thể gửi tệp đến VirusTotal để phân tích. Trang web chạy các công cụ chống vi-rút mẫu trước đây từ hơn 60 công ty bảo mật và báo cáo có bao nhiêu mẫu được gắn cờ là phần mềm độc hại. Nó cũng lưu tệp băm của tệp, do đó không phải lặp lại phân tích đó nếu cùng một tệp xuất hiện lại. Thuận tiện, HashMyFiles có tùy chọn một lần nhấp để gửi hàm băm của tệp tới VirusTotal. Chúng tôi chạy qua các mẫu đã đi xa đến mức này và lưu ý VirusTotal nói gì về từng mẫu.

Tất nhiên, những thứ thú vị nhất là những thứ mà VirusTotal chưa từng thấy. Ngược lại, nếu 60 trong số 60 động cơ cung cấp cho tập tin một hóa đơn sạch, thì rất có thể đó không phải là phần mềm độc hại. Sử dụng các số liệu phát hiện giúp chúng tôi sắp xếp các mẫu theo thứ tự từ nhiều khả năng đến ít có khả năng nhất.

Lưu ý rằng chính VirusTotal nói rõ rằng không ai nên sử dụng nó thay cho công cụ chống vi-rút thực tế. Mặc dù vậy, đó là một sự trợ giúp lớn để xác định triển vọng tốt nhất cho bộ sưu tập phần mềm độc hại của chúng tôi.

Chạy và xem

Tại thời điểm này, phân tích thực hành bắt đầu. Chúng tôi sử dụng một chương trình nội bộ (được đặt tên khéo léo là RunAndWatch) để chạy và xem từng mẫu. Một tiện ích PCMag có tên InCtrl (viết tắt của Cài đặt điều khiển) chụp nhanh hệ thống tệp và hệ thống tệp trước và sau khi phần mềm độc hại khởi chạy, báo cáo những gì đã thay đổi. Tất nhiên, biết rằng có gì đó thay đổi không chứng minh rằng mẫu phần mềm độc hại đã thay đổi nó.

Trình giám sát quy trình ProcMon của Microsoft giám sát mọi hoạt động trong thời gian thực, ghi nhật ký các hành động của hệ thống tệp và tệp (trong số những thứ khác) theo mọi quy trình. Ngay cả với các bộ lọc của chúng tôi, nhật ký của nó là rất lớn. Nhưng chúng giúp chúng tôi gắn các thay đổi được báo cáo bởi InCtrl5 với các quy trình đã thực hiện các thay đổi đó.

Rửa sạch và lặp lại

Việc đun sôi những khúc gỗ khổng lồ từ bước trước thành một thứ có thể sử dụng được cần có thời gian. Sử dụng một chương trình nội bộ khác, chúng tôi loại bỏ các bản sao, thu thập các mục có vẻ đáng quan tâm và xóa sạch dữ liệu rõ ràng không liên quan đến mẫu phần mềm độc hại. Đây là một nghệ thuật cũng như một khoa học; phải mất rất nhiều kinh nghiệm để nhanh chóng nhận ra các mục không quan trọng và nắm bắt các mục quan trọng.

Đôi khi sau quá trình lọc này, không còn gì cả, có nghĩa là bất cứ mẫu nào đã làm, hệ thống phân tích đơn giản của chúng tôi đều bỏ qua nó. Nếu một mẫu vượt qua bước này, nó sẽ đi qua một bộ lọc trong nhà khác. Công cụ này sẽ xem xét kỹ hơn các bản sao và bắt đầu đưa dữ liệu nhật ký vào định dạng được sử dụng bởi công cụ cuối cùng, công cụ kiểm tra dấu vết phần mềm độc hại trong quá trình kiểm tra.

Điều chỉnh phút cuối

Đỉnh cao của quá trình này là tiện ích NuSpyCheck của chúng tôi (được đặt tên từ lâu khi phần mềm gián điệp phổ biến hơn). Với tất cả các mẫu được xử lý, chúng tôi chạy NuSpyCheck trên một hệ thống kiểm tra sạch. Rất thường xuyên, chúng tôi sẽ thấy rằng một số trong những gì chúng tôi nghĩ là dấu vết phần mềm độc hại đã được chứng minh là đã có trên hệ thống. Trong trường hợp đó, chúng tôi lật NuSpyCheck sang chế độ chỉnh sửa và xóa chúng.

Có thêm một khẩu hiệu, và đó là một điều quan trọng. Đặt lại máy ảo thành một ảnh chụp nhanh giữa các thử nghiệm, chúng tôi khởi chạy từng mẫu, để nó chạy đến khi hoàn thành và kiểm tra hệ thống bằng NuSpyCheck. Ở đây một lần nữa, luôn có một số dấu vết dường như xuất hiện trong quá trình thu thập dữ liệu, nhưng không xuất hiện vào thời gian thử nghiệm, có lẽ vì chúng là tạm thời. Ngoài ra, nhiều mẫu phần mềm độc hại sử dụng tên được tạo ngẫu nhiên cho các tệp và thư mục, mỗi lần khác nhau. Đối với những dấu vết đa hình đó, chúng tôi thêm một ghi chú mô tả mẫu, chẳng hạn như "tên thực thi có tám chữ số."

Một vài mẫu nữa rời khỏi trường trong giai đoạn cuối cùng này, bởi vì với tất cả các điểm dữ liệu bị cạo đi, không còn gì để đo. Những cái còn lại trở thành bộ mẫu phần mềm độc hại tiếp theo. Từ 400 đến 500 URL ban đầu, chúng tôi thường kết thúc với khoảng 30.

Ngoại lệ Ransomware

Ransomware hệ thống khóa như Petya khét tiếng mã hóa ổ cứng của bạn, làm cho máy tính không thể sử dụng được cho đến khi bạn trả tiền chuộc. Các loại ransomware mã hóa tệp phổ biến hơn mã hóa các tệp của bạn trong nền. Khi họ đã thực hiện hành động bẩn thỉu, họ nảy ra một nhu cầu lớn về tiền chuộc. Chúng tôi không cần một tiện ích để phát hiện ra rằng phần mềm chống vi-rút đã bỏ lỡ một trong số đó; phần mềm độc hại làm cho nó đơn giản.

Nhiều sản phẩm bảo mật đang bổ sung thêm các lớp bảo vệ ransomware, ngoài các công cụ chống vi-rút cơ bản. Điều đó có ý nghĩa. Nếu phần mềm chống vi-rút của bạn bỏ lỡ một cuộc tấn công Trojan, có thể nó sẽ xóa nó trong một vài ngày sau khi nhận được chữ ký mới. Nhưng nếu nó bỏ lỡ ransomware, bạn sẽ không gặp may. Khi có thể, chúng tôi vô hiệu hóa các thành phần chống vi-rút cơ bản và kiểm tra xem hệ thống bảo vệ ransomware một mình có thể giữ các tệp và máy tính của bạn an toàn hay không.

Những mẫu này không

Các phòng thí nghiệm kiểm tra chống vi-rút lớn có thể sử dụng hàng ngàn tệp để kiểm tra nhận dạng tệp tĩnh và hàng trăm tệp để kiểm tra động (có nghĩa là họ khởi chạy các mẫu và xem phần mềm chống vi-rút làm gì). Chúng tôi không cố gắng vì điều đó. Các mẫu 30 số lẻ của chúng tôi cho chúng tôi cảm nhận về cách phần mềm chống vi-rút xử lý cuộc tấn công và khi chúng tôi không có kết quả từ các phòng thí nghiệm, chúng tôi có một cái gì đó để quay trở lại.

Chúng tôi cố gắng đảm bảo sự kết hợp của nhiều loại phần mềm độc hại, bao gồm ransomware, Trojans, virus và hơn thế nữa. Chúng tôi cũng bao gồm một số ứng dụng không mong muốn tiềm tàng (PUA), đảm bảo bật phát hiện PUA trong sản phẩm đang được thử nghiệm, nếu cần.

Một số ứng dụng phần mềm độc hại phát hiện khi chúng chạy trong một máy ảo và tránh các hoạt động khó chịu. Tốt rồi; chúng ta không sử dụng chúng Một số giờ chờ đợi hoặc ngày trước khi kích hoạt. Một lần nữa, chúng ta không sử dụng chúng.

Chúng tôi hy vọng cái nhìn lén này đằng sau hậu trường trong thử nghiệm bảo vệ phần mềm độc hại thực hành của chúng tôi đã giúp bạn hiểu rõ hơn về việc chúng ta sẽ trải nghiệm bảo vệ chống vi-rút trong bao xa. Như đã lưu ý, chúng tôi không có một nhóm các nhà nghiên cứu chống vi-rút tận tâm theo cách mà các phòng thí nghiệm lớn làm, nhưng chúng tôi mang đến cho bạn báo cáo trong các chiến hào mà bạn sẽ không tìm thấy ở bất kỳ nơi nào khác.