Cómo recolectamos malware para pruebas antivirus prácticas

Aquí en PCMag, cuando revisamos productos, los pasamos por alto, ejercitando todas las funciones para confirmar que funcionan y funcionan sin problemas. En el caso de los productos de respaldo, por ejemplo, verificamos que respalden correctamente los archivos y faciliten la restauración desde el respaldo. Para productos de edición de video, medimos factores como el tiempo de renderizado. Para redes privadas virtuales o VPN, ejecutamos pruebas de rendimiento que abarcan todo el continente. Eso es todo perfectamente seguro y simple. Las cosas se ponen un poco diferentes cuando se trata de herramientas antivirus, porque realmente verificar que funcionan significa que tenemos que someterlas a malware real.

La Organización de Estándares de Pruebas Anti-Malware (AMTSO) ofrece una colección de páginas de verificación de características, para que pueda asegurarse de que su antivirus esté funcionando para eliminar malware, bloquear descargas no autorizadas, prevenir ataques de phishing, etc. Sin embargo, no hay malware real involucrado. Las compañías de antivirus participantes simplemente aceptan configurar sus productos antivirus y de suite de seguridad para detectar los ataques simulados de AMTSO. Y no todas las empresas de seguridad eligen participar.

Los laboratorios de pruebas de antivirus en todo el mundo someten las herramientas de seguridad a pruebas extenuantes, informando resultados periódicamente. Cuando los resultados de laboratorio están disponibles para un producto, le damos a esos puntajes un peso importante en la revisión de ese producto. Si los cuatro laboratorios que seguimos otorgan su calificación más alta en un producto, seguramente será una excelente opción.

Desafortunadamente, apenas una cuarta parte de las compañías que probamos participan con los cuatro laboratorios. Otro trimestre trabaja con solo un laboratorio, y el 30 por ciento no participa con ninguno de los cuatro. Claramente, las pruebas prácticas son imprescindibles.

Incluso si los laboratorios informaran sobre todos los productos que cubrimos, aún haríamos pruebas prácticas. ¿Confiarías en la revisión de un auto de un escritor que nunca realizó una prueba de manejo? No.

Vea cómo probamos el antivirus y el software de seguridad

Lanzar una red ancha

Solo porque el producto informa: "¡Oye, tomé una muestra de malware!" no significa que haya sido exitoso. De hecho, nuestras pruebas a menudo revelan casos en los que el antivirus detectó un componente de malware pero permitió que se ejecutara otro. Necesitamos analizar a fondo nuestras muestras, notando los cambios que realizan en el sistema, para poder confirmar que el antivirus hizo lo que dijo.

Los laboratorios independientes tienen equipos de investigadores dedicados a recopilar y analizar las últimas muestras. PCMag tiene solo unos pocos analistas de seguridad, que son responsables de mucho más que solo recolectar y analizar malware. Solo podemos dedicar tiempo para analizar un nuevo conjunto de muestras una vez al año. Dado que las muestras permanecerán en uso durante meses, los productos probados más adelante podrían tener la ventaja de tener más tiempo para detectar la misma muestra en el tiempo. Para evitar cualquier ventaja injusta, comenzamos con muestras que aparecieron varios meses antes. Utilizamos los feeds diarios suministrados por MRG-Effitas, entre otros, para comenzar el proceso.

En una máquina virtual, conectada a Internet pero aislada de la red local, ejecutamos una sencilla utilidad que toma la lista de URL e intenta descargar las muestras correspondientes. En muchos casos, la URL ya no es válida, por supuesto. En esta fase, queremos 400 a 500 muestras, porque hay una tasa de deserción grave a medida que reducimos el conjunto de muestras.

El primer pase de eliminación elimina archivos que son imposiblemente pequeños. Cualquier cosa menos de 100 bytes es claramente un fragmento de una descarga que no se completó.

A continuación, aislamos el sistema de prueba de Internet y simplemente lanzamos cada muestra. Algunas de las muestras no se inician debido a la incompatibilidad con la versión de Windows o la ausencia de los archivos necesarios; Boom, se han ido. Otros muestran un mensaje de error que indica un error de instalación o algún otro problema. Hemos aprendido a mantenerlos en la mezcla; a menudo, un proceso de fondo malicioso sigue funcionando después del supuesto bloqueo.

Dupes y Detecciones

El hecho de que dos archivos tengan nombres diferentes no significa que sean diferentes. Nuestro esquema de recopilación generalmente presenta muchos duplicados. Afortunadamente, no es necesario comparar cada par de archivos para ver si son iguales. En cambio, usamos una función hash, que es una especie de encriptación unidireccional. La función hash siempre devuelve el mismo resultado para la misma entrada, pero incluso una entrada ligeramente diferente produce resultados muy diferentes. Además, no hay forma de pasar del hash al original. Dos archivos que tienen el mismo hash son iguales.

Usamos la venerable utilidad HashMyFiles de NirSoft para este propósito. Identifica automáticamente los archivos con el mismo hash, lo que facilita la eliminación de duplicados.

Otro uso para hashes

VirusTotal se originó como un sitio web para que los investigadores compartieran notas sobre malware. Actualmente una subsidiaria de Alphabet (la compañía matriz de Google) continúa funcionando como un centro de intercambio de información.

Cualquiera puede enviar un archivo a VirusTotal para su análisis. El sitio ejecuta los motores antivirus de muestra de más de 60 compañías de seguridad e informa cuántos marcaron la muestra como malware. También guarda el hash del archivo, por lo que no tiene que repetir ese análisis si vuelve a aparecer el mismo archivo. Convenientemente, HashMyFiles tiene una opción de un solo clic para enviar el hash de un archivo a VirusTotal. Revisamos las muestras que han llegado hasta aquí y observamos lo que VirusTotal dice sobre cada una.

Los más interesantes, por supuesto, son aquellos que VirusTotal nunca ha visto. Por el contrario, si 60 de los 60 motores le dan a un archivo un estado de salud limpio, lo más probable es que no sea malware. El uso de las cifras de detección nos ayuda a ordenar las muestras de más probable a menos probable.

Tenga en cuenta que VirusTotal indica claramente que nadie debería usarlo en lugar de un motor antivirus real. Aun así, es de gran ayuda identificar las mejores perspectivas para nuestra colección de malware.

Corre y mira

En este punto, comienza el análisis práctico. Utilizamos un programa interno (ingeniosamente llamado RunAndWatch) para ejecutar y ver cada muestra. Una utilidad PCMag llamada InCtrl (abreviatura de Control de instalación) captura el registro y el sistema de archivos antes y después del lanzamiento del malware, informando qué ha cambiado. Por supuesto, saber que algo cambió no prueba que la muestra de malware lo haya cambiado.

ProcMon Process Monitor de Microsoft monitorea todas las actividades en tiempo real, registrando el registro y las acciones del sistema de archivos (entre otras cosas) por cada proceso. Incluso con nuestros filtros, sus registros son enormes. Pero nos ayudan a vincular los cambios reportados por InCtrl5 a los procesos que hicieron esos cambios.

Enjuague y repita

Reducir los enormes registros del paso anterior a algo utilizable lleva tiempo. Usando otro programa interno, eliminamos duplicados, recopilamos entradas que parecen ser de interés y borramos datos que claramente no están relacionados con la muestra de malware. Esto es tanto un arte como una ciencia; Se necesita mucha experiencia para reconocer rápidamente elementos no esenciales y capturar entradas de importancia.

A veces, después de este proceso de filtrado, simplemente no queda nada, lo que significa que, sea lo que sea que hizo la muestra, nuestro simple sistema de análisis se lo perdió. Si una muestra supera este paso, pasa por otro filtro interno. Este analiza más de cerca los duplicados y comienza a poner los datos de registro en un formato utilizado por la herramienta final, la que busca rastros de malware durante las pruebas.

Ajustes de última hora

La culminación de este proceso es nuestra utilidad NuSpyCheck (nombrada hace mucho tiempo cuando el spyware era más frecuente). Con todas las muestras procesadas, ejecutamos NuSpyCheck en un sistema de prueba limpio. Muy a menudo, descubriremos que parte de lo que pensamos que eran rastros de malware ya están presentes en el sistema. En ese caso, cambiamos NuSpyCheck al modo de edición y los eliminamos.

Hay un trabajo más, y es importante. Restableciendo la máquina virtual a una instantánea limpia entre pruebas, lanzamos cada muestra, la dejamos ejecutar hasta su finalización y verificamos el sistema con NuSpyCheck. Aquí nuevamente, siempre hay algunos rastros que parecían aparecer durante la captura de datos, pero no aparecen en el momento de la prueba, tal vez porque fueron temporales. Además, muchas muestras de malware usan nombres generados aleatoriamente para archivos y carpetas, diferentes cada vez. Para esos rastros polimórficos, agregamos una nota que describe el patrón, como "nombre ejecutable con ocho dígitos".

Unas pocas muestras más abandonan el campo en esta fase final, porque con toda la eliminación de los puntos de datos no quedaba nada para medir. Los que quedan se convierten en el próximo conjunto de muestras de malware. De las 400 a 500 URL originales, generalmente terminamos con alrededor de 30.

La excepción del ransomware

El ransomware de bloqueo del sistema, como el famoso Petya, encripta su disco duro, haciendo que la computadora quede inutilizable hasta que pague el rescate. Los tipos de ransomware de cifrado de archivos más comunes cifran sus archivos en segundo plano. Cuando han hecho el acto sucio, generan una gran demanda de rescate. No necesitamos una utilidad para detectar que el antivirus perdió uno de estos; El malware se hace evidente.

Muchos productos de seguridad están agregando capas adicionales de protección contra ransomware, más allá de los motores antivirus básicos. Eso tiene sentido. Si su antivirus pierde un ataque troyano, probablemente lo borrará en unos días después de recibir nuevas firmas. Pero si falta ransomware, no tienes suerte. Cuando es posible, deshabilitamos los componentes antivirus básicos y probamos si el sistema de protección contra ransomware solo puede mantener sus archivos y su computadora seguros.

Lo que estas muestras no son

Los grandes laboratorios de pruebas de antivirus pueden usar miles de archivos para pruebas de reconocimiento de archivos estáticos, y muchos cientos para pruebas dinámicas (lo que significa que lanzan las muestras y ven lo que hace el antivirus). No estamos intentando eso. Nuestras más de 30 muestras nos permiten tener una idea de cómo el antivirus maneja los ataques, y cuando no tenemos resultados de los laboratorios, tenemos algo a lo que recurrir.

Intentamos garantizar una combinación de muchos tipos de malware, incluidos ransomware, troyanos, virus y más. También incluimos algunas aplicaciones potencialmente no deseadas (PUA), asegurándonos de activar la detección de PUA en el producto bajo prueba, si es necesario.

Algunas aplicaciones de malware detectan cuándo se ejecutan en una máquina virtual y evitan la actividad desagradable. Esta bien; simplemente no los usamos. Algunos esperan horas o días antes de activar. Una vez más, simplemente no los usamos.

Esperamos que este vistazo detrás de escena de nuestras pruebas prácticas de protección contra malware le haya dado una idea de cuán lejos llegaremos para experimentar la protección antivirus en acción. Como se señaló, no tenemos un equipo dedicado de investigadores de antivirus como lo hacen los grandes laboratorios, pero le traemos informes que no encontrará en ningún otro lugar.