Bagaimana kami mengumpulkan malware untuk pengujian antivirus langsung

Di sini, di PCMag, saat kami meninjau produk, kami memasangnya melalui pemeras, menggunakan semua fitur untuk mengonfirmasi bahwa mereka berfungsi, dan bekerja dengan lancar. Untuk produk cadangan, misalnya, kami memeriksa apakah mereka mencadangkan file dengan benar dan memudahkan pemulihan dari cadangan. Untuk produk pengeditan video, kami mengukur faktor-faktor seperti waktu render. Untuk jaringan pribadi virtual, atau VPN, kami menjalankan tes kinerja rentang benua. Itu semua sangat aman dan sederhana. Hal-hal menjadi sedikit berbeda ketika datang ke alat antivirus, karena benar-benar memverifikasi bahwa itu berfungsi berarti kita harus menjadikannya malware nyata.

Organisasi Standar Pengujian Anti-Malware (AMTSO) menawarkan kumpulan halaman periksa fitur, sehingga Anda dapat memastikan antivirus Anda berfungsi untuk menghilangkan malware, memblokir unduhan drive-by, mencegah serangan phishing, dan sebagainya. Namun, tidak ada malware yang terlibat. Perusahaan antivirus yang berpartisipasi hanya setuju untuk mengkonfigurasi produk antivirus dan suite keamanan mereka untuk mendeteksi serangan simulasi AMTSO. Dan tidak semua perusahaan keamanan memilih untuk berpartisipasi.

Laboratorium pengujian antivirus di seluruh dunia menempatkan alat keamanan melalui pengujian yang melelahkan, melaporkan hasil secara berkala. Ketika hasil lab tersedia untuk suatu produk, kami memberikan skor serius pada ulasan produk tersebut. Jika keempat lab yang kami ikuti memberikan peringkat tertinggi pada suatu produk, itu pasti menjadi pilihan yang sangat baik.

Sayangnya, hampir seperempat dari perusahaan yang kami uji berpartisipasi dengan keempat laboratorium. Seperempat pekerjaan lainnya hanya dengan satu lab, dan sepenuhnya 30 persen tidak berpartisipasi dengan salah satu dari empat lab tersebut. Jelas, pengujian langsung adalah suatu keharusan.

Sekalipun laboratorium melaporkan semua produk yang kami liput, kami masih akan melakukan pengujian langsung. Apakah Anda percaya ulasan mobil dari penulis yang bahkan tidak pernah mengambil test drive? Nggak.

Lihat Bagaimana Kami Menguji Perangkat Lunak Antivirus dan Keamanan

Casting Net Lebar

Hanya karena produk melaporkan, "Hei, saya menangkap sampel malware!" bukan berarti itu berhasil. Bahkan, pengujian kami sering mengungkapkan contoh di mana antivirus menangkap satu komponen malware tetapi membiarkan yang lain berjalan. Kami perlu menganalisis sampel kami secara menyeluruh, mencatat perubahan yang terjadi pada sistem, sehingga kami dapat mengonfirmasi bahwa antivirus melakukan apa yang diklaimnya.

Laboratorium independen memiliki tim peneliti yang didedikasikan untuk mengumpulkan dan menganalisis sampel terbaru. PCMag hanya memiliki beberapa analis keamanan, yang bertanggung jawab untuk lebih dari sekadar mengumpulkan dan menganalisis malware. Kami hanya dapat meluangkan waktu untuk menganalisis satu set sampel baru setahun sekali. Karena sampel akan tetap digunakan selama berbulan-bulan, produk yang diuji kemudian mungkin memiliki keuntungan lebih banyak waktu untuk mendeteksi sampel yang sama di dalam mata air. Untuk menghindari keuntungan yang tidak adil, kami mulai dengan sampel yang muncul beberapa bulan sebelumnya. Kami menggunakan feed harian yang disediakan oleh MRG-Effitas, antara lain, untuk memulai proses.

Dalam mesin virtual, yang terhubung ke internet tetapi terisolasi dari jaringan lokal, kami menjalankan utilitas sederhana yang mengambil daftar URL dan mencoba mengunduh sampel yang sesuai. Dalam banyak kasus, tentu saja URL tidak lagi valid. Pada fase ini, kami ingin 400 hingga 500 sampel, karena ada tingkat gesekan yang serius saat kami menolak set sampel.

Menampi pertama menghilangkan file yang sangat kecil. Apa pun yang kurang dari 100 byte jelas merupakan fragmen dari unduhan yang tidak selesai.

Selanjutnya, kami mengisolasi sistem pengujian dari internet dan cukup meluncurkan setiap sampel. Beberapa sampel tidak diluncurkan karena ketidakcocokan dengan versi Windows atau tidak adanya file yang diperlukan; booming, mereka pergi. Lainnya menampilkan pesan kesalahan yang menunjukkan kegagalan instalasi atau masalah lainnya. Kami telah belajar untuk menyimpannya dalam campuran; seringkali, proses latar belakang berbahaya terus bekerja setelah dugaan mogok.

Dupes dan Deteksi

Hanya karena dua file memiliki nama yang berbeda tidak berarti mereka berbeda. Skema koleksi kami biasanya menghasilkan banyak duplikat. Untungnya, tidak perlu membandingkan setiap pasangan file untuk melihat apakah mereka sama. Sebagai gantinya, kami menggunakan fungsi hash, yang merupakan semacam enkripsi satu arah. Fungsi hash selalu mengembalikan hasil yang sama untuk input yang sama, tetapi bahkan input yang sedikit berbeda menghasilkan hasil yang sangat berbeda. Selain itu, tidak ada cara untuk beralih dari hash kembali ke aslinya. Dua file yang memiliki hash yang sama adalah sama.

Kami menggunakan utilitas HashMyFiles yang dimuliakan dari NirSoft untuk tujuan ini. Secara otomatis mengidentifikasi file dengan hash yang sama, sehingga mudah untuk menyingkirkan duplikat.

Penggunaan Lain untuk Hash

VirusTotal berasal sebagai situs web bagi para peneliti untuk berbagi catatan tentang malware. Saat ini merupakan anak perusahaan dari Alphabet (perusahaan induk Google) itu terus berfungsi sebagai clearinghouse.

Siapa pun dapat mengirimkan file ke VirusTotal untuk dianalisis. Situs ini menjalankan sampel melewati mesin antivirus dari lebih dari 60 perusahaan keamanan dan melaporkan berapa banyak sampel yang ditandai sebagai malware. Itu juga menyimpan hash file, sehingga tidak harus mengulangi analisis itu jika file yang sama muncul lagi. Dengan mudah, HashMyFiles memiliki opsi satu klik untuk mengirim hash file ke VirusTotal. Kami menjalankan sampel yang telah sampai sejauh ini dan mencatat apa yang dikatakan VirusTotal tentang masing-masing.

Yang paling menarik, tentu saja, adalah yang belum pernah dilihat oleh VirusTotal. Sebaliknya, jika 60 dari 60 mesin memberikan file tagihan kesehatan yang bersih, kemungkinan bagus itu bukan malware. Menggunakan angka deteksi membantu kami menyusun sampel dari yang paling mungkin hingga yang paling tidak mungkin.

Perhatikan bahwa VirusTotal sendiri menyatakan dengan jelas bahwa tidak seorang pun boleh menggunakannya sebagai ganti mesin antivirus yang sebenarnya. Meski begitu, ini sangat membantu mengidentifikasi prospek terbaik untuk koleksi malware kami.

Jalankan dan Tonton

Pada titik ini, analisis langsung dimulai. Kami menggunakan program in-house (bernama RunAndWatch) untuk menjalankan dan menonton setiap sampel. Utilitas PCMag yang disebut InCtrl (kependekan dari Install Control) memotret Registry dan sistem file sebelum dan sesudah peluncuran malware, melaporkan apa yang berubah. Tentu saja, mengetahui bahwa sesuatu berubah tidak membuktikan bahwa sampel malware mengubahnya.

Monitor Proses ProcMon dari Microsoft memantau semua aktivitas dalam waktu nyata, mencatat tindakan Registry dan sistem file (antara lain) oleh setiap proses. Bahkan dengan filter kami, log-nya sangat besar. Tetapi mereka membantu kami mengikat perubahan yang dilaporkan oleh InCtrl5 ke proses yang membuat perubahan itu.

Bilas dan Ulangi

Mendidihkan kayu besar dari langkah sebelumnya menjadi sesuatu yang dapat digunakan membutuhkan waktu. Menggunakan program in-house lain, kami menghilangkan duplikat, mengumpulkan entri yang tampaknya menarik, dan menghapus data yang jelas tidak terkait dengan sampel malware. Ini adalah seni sekaligus sains; dibutuhkan banyak pengalaman untuk dengan cepat mengenali item yang tidak penting dan menangkap entri yang penting.

Kadang-kadang setelah proses penyaringan ini, tidak ada yang tersisa, yang berarti bahwa apa pun sampelnya, sistem analisis sederhana kami melewatkannya. Jika sampel berhasil melewati langkah ini, ia akan melewati filter internal lainnya. Yang ini meneliti duplikat, dan mulai memasukkan data log ke dalam format yang digunakan oleh alat terakhir, yang memeriksa jejak malware selama pengujian.

Penyesuaian Menit-Terakhir

Puncak dari proses ini adalah utilitas NuSpyCheck kami (dinamai berabad-abad yang lalu ketika spyware lebih lazim). Dengan semua sampel yang diproses, kami menjalankan NuSpyCheck pada sistem pengujian yang bersih. Cukup sering, kita akan menemukan bahwa beberapa dari apa yang kami pikir jejak malware terbukti sudah ada pada sistem. Dalam hal ini, kami membalik NuSpyCheck ke mode edit dan menghapusnya.

Ada satu lagi slog, dan ini yang penting. Menyetel ulang mesin virtual ke snapshot bersih di antara pengujian, kami meluncurkan setiap sampel, menjalankannya hingga selesai, dan memeriksa sistem dengan NuSpyCheck. Di sini lagi, selalu ada beberapa jejak yang tampaknya muncul selama pengambilan data, tetapi jangan muncul pada saat pengujian, mungkin karena mereka bersifat sementara. Selain itu, banyak sampel malware menggunakan nama yang dibuat secara acak untuk file dan folder, berbeda setiap kali. Untuk jejak polimorfik itu, kami menambahkan catatan yang menjelaskan polanya, seperti "nama yang dapat dieksekusi dengan delapan digit."

Beberapa sampel lagi meninggalkan lapangan pada tahap akhir ini, karena dengan semua titik data yang dicukur tidak ada yang tersisa untuk diukur. Yang tetap menjadi set sampel malware berikutnya. Dari 400 hingga 500 URL asli, kami biasanya menghasilkan sekitar 30.

Pengecualian Ransomware

System-locker ransomware seperti Petya yang terkenal mengenkripsi hard drive Anda, membuat komputer tidak dapat digunakan sampai Anda membayar uang tebusan. Jenis ransomware enkripsi-file yang lebih umum mengenkripsi file Anda di latar belakang. Ketika mereka telah melakukan perbuatan kotor, mereka memunculkan permintaan besar untuk tebusan. Kami tidak memerlukan utilitas untuk mendeteksi bahwa antivirus melewatkan salah satunya; malware membuat dirinya jelas.

Banyak produk keamanan menambahkan lapisan tambahan perlindungan ransomware, di luar mesin antivirus dasar. Itu masuk akal. Jika antivirus Anda melewatkan serangan Trojan, mungkin akan menghapusnya dalam beberapa hari setelah mendapat tanda tangan baru. Tetapi jika tidak menggunakan ransomware, Anda kurang beruntung. Jika memungkinkan, kami menonaktifkan komponen antivirus dasar dan menguji apakah sistem perlindungan ransomware sendiri dapat menjaga file dan komputer Anda tetap aman.

Apa Sampel Ini Bukan

Laboratorium pengujian antivirus besar dapat menggunakan ribuan file untuk pengujian pengenalan file statis, dan ratusan untuk pengujian dinamis (artinya mereka meluncurkan sampel dan melihat apa yang dilakukan antivirus). Kami tidak berusaha untuk itu. Sampel 30-aneh kami membuat kami dapat merasakan bagaimana antivirus menangani serangan, dan ketika kami tidak mendapatkan hasil dari lab, kami memiliki sesuatu untuk dikembalikan.

Kami mencoba memastikan campuran berbagai jenis malware, termasuk ransomware, Trojans, virus, dan banyak lagi. Kami juga menyertakan beberapa aplikasi yang mungkin tidak diinginkan (PUA), memastikan untuk mengaktifkan deteksi PUA dalam produk yang diuji, jika perlu.

Beberapa aplikasi malware mendeteksi ketika mereka berjalan di mesin virtual dan menahan diri dari aktivitas jahat. Tidak apa-apa; kami hanya tidak menggunakannya. Beberapa menunggu berjam-jam atau berhari-hari sebelum diaktifkan. Sekali lagi, kita tidak menggunakannya.

Kami berharap ini mengintip di balik layar pada pengujian perlindungan malware langsung kami yang telah memberi Anda beberapa wawasan tentang seberapa jauh kita akan mengalami perlindungan antivirus dalam tindakan. Seperti yang disebutkan, kami tidak memiliki tim peneliti antivirus yang berdedikasi seperti yang dilakukan lab besar, tetapi kami membawa Anda dalam pelaporan parit yang tidak akan Anda temukan di tempat lain.