Como coletamos malware para testes antivírus práticos

Aqui na PCMag, quando revisamos os produtos, nós os colocamos no espremedor, exercitando todos os recursos para confirmar se eles funcionam e funcionam sem problemas. Para produtos de backup, por exemplo, verificamos se eles fazem backup corretamente dos arquivos e facilitam a restauração do backup. Para produtos de edição de vídeo, medimos fatores como o tempo de renderização. Para redes privadas virtuais ou VPNs, executamos testes de desempenho abrangendo continentes. Tudo isso é perfeitamente seguro e simples. As coisas ficam um pouco diferentes quando se trata de ferramentas antivírus, porque, na verdade, verificar se elas funcionam significa que precisamos submetê-las a malware real.

A Organização de Padrões de Teste Antimalware (AMTSO) oferece uma coleção de páginas de verificação de recursos, para que você possa garantir que seu antivírus esteja trabalhando para eliminar malware, bloquear downloads drive-by, impedir ataques de phishing e assim por diante. No entanto, não há nenhum malware real envolvido. As empresas de antivírus participantes simplesmente concordam em configurar seus produtos antivírus e de conjunto de segurança para detectar os ataques simulados da AMTSO. E nem toda empresa de segurança escolhe participar.

Os laboratórios de teste de antivírus em todo o mundo submetem as ferramentas de segurança a testes exaustivos, relatando resultados periodicamente. Quando os resultados do laboratório estão disponíveis para um produto, atribuímos a essas pontuações um peso sério na análise desse produto. Se todos os quatro laboratórios que seguimos concederem a classificação mais alta a um produto, certamente será uma excelente escolha.

Infelizmente, apenas um quarto das empresas que testamos participa dos quatro laboratórios. Outro quarto trabalha com apenas um laboratório e 30% não participam de nenhum dos quatro. Claramente, o teste prático é essencial.

Mesmo que os laboratórios relatassem todos os produtos que cobrimos, ainda faríamos testes práticos. Você confiaria em uma revisão de carro de um escritor que nunca fez um test drive? Não.

Veja como testamos antivírus e software de segurança

Lançando uma ampla rede

Só porque o produto informa: "Ei, peguei uma amostra de malware!" não significa que foi bem sucedido. De fato, nossos testes geralmente revelam casos em que o antivírus capturou um componente de malware, mas permitiu que outro fosse executado. Precisamos analisar minuciosamente nossas amostras, observando as alterações que elas fazem no sistema, para confirmar que o antivírus fez o que reivindicou.

Os laboratórios independentes têm equipes de pesquisadores dedicadas a coletar e analisar as amostras mais recentes. O PCMag possui apenas alguns analistas de segurança, responsáveis ​​por muito mais do que apenas coletar e analisar malware. Só podemos poupar tempo para analisar um novo conjunto de amostras uma vez por ano. Como as amostras permanecerão em uso por meses, os produtos testados posteriormente poderão ter a vantagem de mais tempo para detectar a mesma amostra no truque. Para evitar qualquer vantagem injusta, começamos com amostras que apareceram vários meses antes. Utilizamos os feeds diários fornecidos pela MRG-Effitas, entre outros, para iniciar o processo.

Em uma máquina virtual, conectada à Internet, mas isolada da rede local, executamos um utilitário simples que pega a lista de URLs e tenta baixar as amostras correspondentes. Em muitos casos, o URL não é mais válido, é claro. Nesta fase, queremos 400 a 500 amostras, porque há uma taxa de atrito grave à medida que diminuímos o conjunto de amostras.

O primeiro passe de eliminação elimina arquivos impossivelmente pequenos. Qualquer coisa abaixo de 100 bytes é claramente um fragmento de um download que não foi concluído.

Em seguida, isolamos o sistema de teste da Internet e simplesmente lançamos cada amostra. Algumas das amostras não são iniciadas devido à incompatibilidade com a versão do Windows ou à ausência dos arquivos necessários; boom, eles se foram. Outros exibem uma mensagem de erro indicando falha na instalação ou algum outro problema. Nós aprendemos a manter aqueles na mistura; frequentemente, um processo malicioso em segundo plano continua funcionando após a suposta falha.

Dupes e Detecções

Só porque dois arquivos têm nomes diferentes, não significa que são diferentes. Nosso esquema de coleta normalmente gera muitas duplicatas. Felizmente, não há necessidade de comparar todos os pares de arquivos para ver se são iguais. Em vez disso, usamos uma função hash, que é um tipo de criptografia unidirecional. A função hash sempre retorna o mesmo resultado para a mesma entrada, mas mesmo uma entrada ligeiramente diferente gera resultados totalmente diferentes. Além disso, não há como ir do hash de volta ao original. Dois arquivos que têm o mesmo hash são os mesmos.

Utilizamos o venerável utilitário HashMyFiles da NirSoft para esse fim. Ele identifica automaticamente os arquivos com o mesmo hash, facilitando a eliminação de duplicatas.

Outro Uso para Hashes

O VirusTotal surgiu como um site para os pesquisadores compartilharem observações sobre malware. Atualmente uma subsidiária da Alphabet (empresa controladora do Google), continua a funcionar como uma câmara de compensação.

Qualquer pessoa pode enviar um arquivo ao VirusTotal para análise. O site executa a amostra dos mecanismos antivírus anteriores de mais de 60 empresas de segurança e relata quantas sinalizaram a amostra como malware. Ele também salva o hash do arquivo, para que não precise repetir a análise se o mesmo arquivo aparecer novamente. Convenientemente, o HashMyFiles tem a opção de um clique para enviar o hash de um arquivo para o VirusTotal. Analisamos as amostras que chegaram até aqui e observamos o que o VirusTotal diz sobre cada uma.

Os mais interessantes, é claro, são aqueles que o VirusTotal nunca viu. Por outro lado, se 60 de 60 mecanismos fornecerem um arquivo com um atestado de integridade, é provável que não seja um malware. O uso das figuras de detecção nos ajuda a colocar as amostras em ordem, do mais provável ao menos provável.

Observe que o próprio VirusTotal afirma claramente que ninguém deve usá-lo no lugar de um mecanismo antivírus real. Mesmo assim, é uma grande ajuda para identificar as melhores perspectivas para nossa coleção de malware.

Corra e Assista

Nesse ponto, a análise prática começa. Usamos um programa interno (habilmente chamado de RunAndWatch) para executar e assistir a cada amostra. Um utilitário PCMag chamado InCtrl (abreviação de Install Control) captura instantaneamente o Registro e o sistema de arquivos antes e após o lançamento do malware, relatando o que mudou. Obviamente, saber que algo mudou não prova que a amostra de malware mudou.

O ProcMon Process Monitor da Microsoft monitora todas as atividades em tempo real, registrando as ações do Registro e do sistema de arquivos (entre outras coisas) em todos os processos. Mesmo com nossos filtros, seus logs são enormes. Mas eles nos ajudam a vincular as alterações relatadas pelo InCtrl5 aos processos que as fizeram.

Enxague e repita

A fervura dos enormes logs da etapa anterior em algo utilizável leva tempo. Usando outro programa interno, eliminamos duplicatas, coletamos entradas que parecem ser interessantes e eliminamos dados claramente não relacionados à amostra de malware. Isso é uma arte e também uma ciência; é necessária muita experiência para reconhecer rapidamente itens não essenciais e capturar entradas importantes.

Às vezes, após esse processo de filtragem, não resta mais nada, o que significa que o que a amostra fez, nosso sistema de análise simples perdeu. Se uma amostra ultrapassar essa etapa, ela passa por outro filtro interno. Este examina mais de perto as duplicatas e começa a colocar os dados do log em um formato usado pela ferramenta final, que verifica se há rastreamentos de malware durante o teste.

Ajustes de última hora

O ponto culminante desse processo é o nosso utilitário NuSpyCheck (nomeado há séculos atrás quando o spyware era mais prevalente). Com todas as amostras processadas, executamos o NuSpyCheck em um sistema de teste limpo. Frequentemente, descobriremos que parte do que pensávamos ser rastreamentos de malware já está presente no sistema. Nesse caso, colocamos o NuSpyCheck no modo de edição e os removemos.

Há mais uma tarefa, e é importante. Redefinindo a máquina virtual para uma captura instantânea limpa entre os testes, iniciamos cada amostra, deixamos executar até a conclusão e verificamos o sistema com o NuSpyCheck. Aqui, novamente, sempre existem alguns rastreamentos que pareciam aparecer durante a captura de dados, mas não aparecem no momento do teste, talvez por serem temporários. Além disso, muitas amostras de malware usam nomes gerados aleatoriamente para arquivos e pastas, diferentes a cada vez. Para esses traços polimórficos, adicionamos uma nota que descreve o padrão, como "nome do executável com oito dígitos".

Mais algumas amostras deixam o campo nesta fase final, porque, com toda a remoção dos pontos de dados, não havia mais nada a medir. Aqueles que permanecem se tornam o próximo conjunto de amostras de malware. Dos 400 a 500 URLs originais, normalmente terminamos com cerca de 30.

A exceção de Ransomware

O ransomware de bloqueio de sistema, como o famoso Petya, criptografa seu disco rígido, tornando o computador inutilizável até que você pague o resgate. Os tipos mais comuns de ransomware de criptografia de arquivos criptografam seus arquivos em segundo plano. Quando eles fazem a ação suja, eles apresentam uma grande demanda por resgate. Não precisamos de um utilitário para detectar que o antivírus perdeu um deles; o malware se torna claro.

Muitos produtos de segurança estão adicionando camadas extras de proteção contra ransomware, além dos mecanismos antivírus básicos. Isso faz sentido. Se o seu antivírus perder um ataque de Trojan, provavelmente será esclarecido em alguns dias depois de receber novas assinaturas. Mas se ele perder o ransomware, você estará sem sorte. Quando possível, desabilitamos os componentes básicos do antivírus e testamos se o sistema de proteção contra ransomware sozinho pode manter seus arquivos e seu computador em segurança.

O que essas amostras não são

Os grandes laboratórios de teste de antivírus podem usar milhares de arquivos para testes estáticos de reconhecimento de arquivos e centenas para testes dinâmicos (o que significa que eles iniciam as amostras e vêem o que o antivírus faz). Não estamos tentando fazer isso. Nossas 30 amostras ímpares permitem entender como o antivírus lida com o ataque e, quando não temos resultados nos laboratórios, temos algo para recorrer.

Tentamos garantir uma mistura de muitos tipos de malware, incluindo ransomware, cavalos de Troia, vírus e muito mais. Também incluímos alguns aplicativos potencialmente indesejados (PUAs), certificando-se de ativar a detecção de PUA no produto em teste, se necessário.

Alguns aplicativos de malware detectam quando estão em execução em uma máquina virtual e evitam atividades desagradáveis. Isso é bom; nós simplesmente não os usamos. Alguns esperam horas ou dias antes de ativar. Mais uma vez, simplesmente não as usamos.

Esperamos que essa espiada nos bastidores de nossos testes práticos de proteção contra malware tenha lhe dado algumas dicas sobre até que ponto iremos experimentar a proteção antivírus em ação. Como observado, não temos uma equipe dedicada de pesquisadores de antivírus da mesma forma que os grandes laboratórios, mas trazemos a você relatórios que você não encontrará em nenhum outro lugar.