כיצד אנו אוספים תוכנות זדוניות לבדיקת אנטי-וירוס מעשית

כאן ב- PCMag, כשאנחנו בודקים מוצרים, אנחנו מעבירים אותם דרך הנגרר, ומפעילים את כל התכונות כדי לאשר שהם עובדים ועובדים בצורה חלקה. למוצרי גיבוי, למשל, אנו בודקים שהם מגבים נכון קבצים ומקלים על השחזור מגיבוי. עבור מוצרי עריכת וידאו אנו מודדים גורמים כגון זמן עיבוד. עבור רשתות פרטיות וירטואליות, או VPNs, אנו מבצעים מבחני ביצועים המשתרעים על יבשות. זה בטוח ופשוט לחלוטין. הדברים משתנים מעט כשמדובר בכלי אנטי-וירוס, מכיוון שבאמת לאמת שהם עובדים פירושו שאנחנו חייבים להכפיף אותם לתוכנות זדוניות אמיתיות.

ארגון התקנים לבדיקת תוכנות נגד תוכנות זדוניות (AMTSO) מציע אוסף של דפי בדיקת תכונות, כך שתוכל לוודא שהאנטי-וירוס שלך פועל לחיסול תוכנות זדוניות, חסימת הורדות על-ידי כונן, מניעת התקפות דיוג וכן הלאה. עם זאת, אין מעורבות זדונית בפועל . חברות אנטי-וירוס המשתתפות פשוט מסכימות להגדיר את תצורת מוצרי האנטי-וירוס וחבילת האבטחה שלהן כדי לאתר התקפות מדומות של AMTSO. ולא כל חברת אבטחה בוחרת להשתתף.

מעבדות בדיקות אנטי-וירוס ברחבי העולם מציבות כלי אבטחה באמצעות בדיקות מפרכות, ומדווחות על תוצאות מדי פעם. כאשר תוצאות מעבדה זמינות עבור מוצר, אנו מעניקים לציונים הללו משקל רציני בסקירת המוצר. אם כל ארבע המעבדות שאנו עוקבים אחריהן מעניקות את הדירוג הגבוה ביותר שלהן למוצר, זה בטוח שזו בחירה מצוינת.

למרבה הצער, בקושי רבע מהחברות שאנו בודקים משתתפות בכל ארבע המעבדות. רובע נוסף עובד עם מעבדה אחת בלבד, ו -30 אחוז לחלוטין אינם משתתפים באף אחת מהארבע. ברור שבדיקה מעשית היא חובה.

אפילו אם המעבדות מדווחות על כל המוצרים שאנו מכסים, עדיין היינו מבצעים בדיקות מעשיות. האם הייתם סומכים על ביקורת מכונית של סופר שמעולם לא עשה נסיעת מבחן? לא.

ראה כיצד אנו בודקים תוכנות אנטי-וירוס ואבטחה

יציקת רשת רחבה

רק בגלל שהמוצר מדווח, "היי, תפסתי מדגם זדוני!" לא אומר שזה היה מוצלח. למעשה, הבדיקות שלנו מגלות לעיתים קרובות מקרים שבהם האנטי-וירוס תפס רכיב תוכנה זדונית אחד אך איפשר לאחר לפעול. עלינו לנתח את הדגימות שלנו ביסודיות ולשים לב לשינויים שהם מבצעים במערכת, כך שנוכל לאשר שהאנטי-וירוס עשה את מה שהוא טוען.

במעבדות העצמאיות צוותי חוקרים המוקדשים לאיסוף והניתוח של הדגימות האחרונות. ל- PCMag ישנם רק מעט אנליסטים בתחום האבטחה, האחראים על הרבה יותר מסתם איסוף וניתוח תוכנות זדוניות. אנחנו יכולים רק לחסוך זמן לניתוח מערך דגימות חדש פעם בשנה. מכיוון שהדגימות יישארו בשימוש במשך חודשים, למוצרים שנבדקו מאוחר יותר עשוי להיות היתרון של זמן רב יותר לאיתור אותה מדגם בגחלת. כדי למנוע יתרון לא הוגן, אנו מתחילים עם דגימות שהופיעו מספר חודשים קודם לכן. אנו משתמשים בעדכונים היומיים המסופקים על ידי MRG-Effitas, בין היתר, כדי להתחיל בתהליך.

במכונה וירטואלית, המחוברת לאינטרנט אך מבודדת מהרשת המקומית, אנו מפעילים כלי עזר פשוט שלוקח את רשימת הכתובות ומנסה להוריד את הדגימות המתאימות. במקרים רבים כתובת האתר אינה תקפה, כמובן. בשלב זה אנו רוצים 400 עד 500 דגימות, מכיוון שישנו שיעור התשה רציני כשאנחנו מורידים את מערך הדגימה.

מעבר הזכייה הראשון מבטל קבצים שהם קטנים באופן בלתי אפשרי. כל דבר פחות מ- 100 בתים הוא בבירור קטע מההורדה שלא הושלם.

בשלב הבא אנו מבודדים את מערכת הבדיקה מהאינטרנט ופשוט משיקים כל דוגמא. חלק מהדגימות אינן משיקות עקב אי התאמה לגירסת Windows או היעדר קבצים נחוצים; בום, הם נעלמו. אחרים מציגים הודעת שגיאה המציינת כשל בהתקנה או בעיה אחרת. למדנו לשמור על אלה בתערובת; לעתים קרובות, תהליך רקע זדוני ממשיך לעבוד לאחר ההתרסקות לכאורה.

כפילות וגילויים

רק בגלל שלשני קבצים יש שמות שונים זה לא אומר שהם שונים. בדרך כלל תוכנית האיסוף שלנו מציגה כפילויות רבות. למרבה המזל, אין צורך להשוות בין כל זוג קבצים כדי לראות אם הם זהים. במקום זאת אנו משתמשים בפונקציית hash, שהיא סוג של הצפנה חד כיוונית. פונקציית ה- hash תמיד מחזירה את אותה התוצאה עבור אותה קלט, אבל אפילו קלט שונה במקצת מניב תוצאות שונות להפליא. בנוסף, אין דרך לעבור מהחשיש חזרה למקור. שני קבצים בעלי אותו חשיש זהים.

אנו משתמשים בכלי השירות המכובד HashMyFiles של NirSoft למטרה זו. זה מזהה אוטומטית קבצים עם אותו חשיש, מה שמקל על היפטרות מכפילויות.

שימוש נוסף בהאש

מקורו של VirusTotal היה אתר בו החוקרים יכולים לשתף הערות על תוכנות זדוניות. כיום חברת בת של אלפבית (חברת האם של גוגל) היא ממשיכה לתפקד כמסלקה.

כל אחד יכול להגיש קובץ ל- VirusTotal לצורך ניתוח. האתר מפעיל את הדגימה על פני מנועי אנטי-וירוס של יותר מ -60 חברות אבטחה ומדווח על כמה סימנו את המדגם ככלי זדוני. זה גם חוסך את ה- hash של הקובץ, כך שהוא לא צריך לחזור על ניתוח זה אם אותו קובץ מופיע שוב. בנוחות, ל- HashMyFiles אפשרות בלחיצה אחת לשלוח hash של קובץ ל- VirusTotal. אנו עוברים את הדגימות שהגיעו עד כה ושימו לב מה VirusTotal אומר על כל אחת מהן.

המעניינים שבהם, כמובן, הם אלה ש- VirusTotal לא ראה מעולם. לעומת זאת, אם 60 מתוך 60 מנועים מעניקים לקובץ חשבון בריאות נקי, רוב הסיכויים שהוא לא תוכנות זדוניות. השימוש בנתוני הגילוי עוזר לנו למקם את הדגימות מהסבירות ביותר והסבירות ביותר.

שים לב כי VirusTotal עצמה קובעת בבירור כי אף אחד לא צריך להשתמש בו במקום מנוע אנטי-וירוס בפועל. אף על פי כן, זו עזרה גדולה בזיהוי הסיכויים הטובים ביותר עבור אוסף התוכנות הזדוניות שלנו.

רוצו וצפו

בשלב זה מתחיל הניתוח המתמשך. אנו משתמשים בתוכנית פנימית (הנקראת בחוכמה RunAndWatch) כדי לרוץ ולצפות בכל דוגמה. כלי שירות PCMag בשם InCtrl (קיצור של התקנת בקרה) מציג תמונות של מערכת הרישום והקבצים לפני ואחרי שיגור התוכנה הזדונית, ומדווח על מה השתנה. כמובן, הידיעה שמשהו השתנה לא מוכיח שמדגם התוכנה הזדונית שינה אותו.

צג התהליך ProcMon של מיקרוסופט עוקב אחר כל הפעילות בזמן אמת, רושם פעולות רישום ומערכת קבצים (בין היתר) על ידי כל תהליך. אפילו עם המסננים שלנו, בולי העץ שלו עצומים. אך הם עוזרים לנו לקשור את השינויים שדווחו על ידי InCtrl5 לתהליכים שביצעו את השינויים הללו.

לשטוף וחזור

להרתיח את יומני הענק מהצעד הקודם למשהו שמיש לוקח זמן. באמצעות תוכנית אחרת מבית, אנו מחסלים כפילויות, אוספים ערכים שנראים מעניינים ומוחקים נתונים שלכאורה אינם קשורים למדגם הזדוני. זו אמנות כמו גם מדע; דרוש ניסיון רב כדי להכיר במהירות פריטים לא חיוניים ולתפוס רשומות בעלות חשיבות.

לפעמים לאחר תהליך הסינון הזה לא נותר דבר, כלומר, כל מה שהמדגם עשה, מערכת הניתוח הפשוטה שלנו פספסה את זה. אם מדגם עובר צעד זה, הוא עובר עוד פילטר פנים-ביתי. זה בוחן מקרוב את הכפילויות ומתחיל להכניס את נתוני היומן לפורמט המשמש את הכלי הסופי, זה שבודק עקבות תוכנות זדוניות במהלך הבדיקה.

התאמות של הרגע האחרון

שיאו של תהליך זה הוא כלי השירות NuSpyCheck שלנו (נקרא לפני עידנים כאשר תוכנות ריגול היו נפוצות יותר). עם כל הדגימות שעובדו, אנו מפעילים את NuSpyCheck במערכת בדיקה נקייה. לעתים קרובות למדי, נגלה שחלק ממה שחשבנו שהם עקבות תוכנות זדוניות מוכיחים שכבר קיימים במערכת. במקרה זה, אנו מפנים את NuSpyCheck למצב עריכה ומסירים את אלה.

יש סיסמא אחת נוספת, והיא חשובה. מאפס את המכונה הווירטואלית לתמונת מצב נקייה בין בדיקות, אנו משיקים כל דגימה, נותנים לה לרוץ להשלמה ובודקים את המערכת באמצעות NuSpyCheck. הנה שוב, תמיד יש כמה עקבות שנראו כאילו הופיעו במהלך לכידת נתונים, אך לא מופיעים בזמן הבדיקה, אולי מכיוון שהם היו זמניים. בנוסף, דוגמאות רבות של תוכנות זדוניות משתמשות בשמות שנוצרו באופן אקראי עבור קבצים ותיקיות, שונות בכל פעם. עבור אותם עקבות פולימורפיים, אנו מוסיפים פתק המתאר את התבנית, כגון "שם הפעלה עם שמונה ספרות."

עוד כמה דגימות עוזבות את השדה בשלב הסופי הזה, מכיוון שעם כל הגילוח של נקודות נתונים לא נותר דבר למדוד. אלה שנותרו הופכים להיות הקבוצה הבאה של דגימות זדוניות. מתוך כתובות האתרים המקוריות 400 עד 500, בדרך כלל אנו מסתיימים בסביבות 30.

חריג ה- Ransomware

תוכנות כופר למנעול מערכת כמו פטיה הידועה לשמצה מצפינות את הכונן הקשיח, מה שהופך את המחשב לבלתי שמיש עד שתשלם את הכופר. סוגי ransomware של הצפנת קבצים נפוצים יותר מצפינים את הקבצים שלך ברקע. כאשר הם עשו את המעשה המלוכלך, הם מציגים דרישה גדולה לכופר. איננו צריכים כלי עזר שיגלה כי האנטי-וירוס החמיץ אחד כזה; התוכנה הזדונית מבהירה את עצמה.

מוצרי אבטחה רבים מוסיפים שכבות נוספות של הגנת רנסומוור, מעבר למנועי האנטי-וירוס הבסיסיים. זה הגיוני. אם האנטי-וירוס שלך מפספס התקפה טרויאנית, כנראה שהוא ינקה אותו בעוד מספר ימים לאחר שתשיג חתימות חדשות. אבל אם זה מפספס תוכנת ransom, אין לך מזל. במידת האפשר, אנו משביתים את רכיבי האנטי-וירוס הבסיסיים ובודקים אם מערכת ההגנה על תוכנת ransomware בלבד יכולה לשמור על הקבצים והמחשב שלך בטוחים.

מה שהדגימות הללו אינן

מעבדות בדיקות האנטי-וירוס הגדולות יכולות להשתמש באלפים רבים של קבצים לבדיקת זיהוי קבצים סטטיים, ובמאות רבות לבדיקה דינאמית (כלומר הם משיקים את הדגימות ורואים מה עושה האנטי-וירוס). אנחנו לא מנסים בשביל זה. הדגימות של 30 המוזרות שלנו מאפשרות לנו להבין כיצד ידיות האנטי-וירוס מתקפות, וכשאין לנו תוצאות מהמעבדות, יש לנו על מה ליפול.

אנו מנסים להבטיח שילוב של סוגים רבים של תוכנות זדוניות, כולל תוכנות רנסומיות, סוסים טרויאנים, וירוסים ועוד. אנו כוללים גם כמה יישומים שעלולים להיות לא רצויים (PUA), ומקפידים להפעיל את איתור PUA במוצר הנבדק, במידת הצורך.

יישומי תוכנה זדוניים מסוימים מזהים מתי הם פועלים במכונה וירטואלית ונמנעים מפעילות מגעילה. זה בסדר; אנחנו פשוט לא משתמשים בזה. חלקם ממתינים שעות או ימים לפני ההפעלה. שוב, אנו פשוט לא משתמשים בזה.

אנו מקווים שההצצה הזו מאחורי הקלעים בבדיקת ההגנה מפני תוכנות זדוניות המתקדמות שלנו העניקה לך תובנה לגבי הדרך בה נלך לחוות הגנה מפני אנטי-וירוס בפעולה. כאמור, אין לנו צוות מסור של חוקרי אנטי-וירוס כמו שהמעבדות הגדולות עושות, אך אנו מביאים לכם שוחות מדווחים כי לא תמצאו בשום מקום אחר.