So sammeln wir Malware für praktische Antivirentests

Hier bei PCMag werden die Produkte bei der Prüfung einer Prüfung unterzogen. Dabei werden alle Funktionen geprüft, um sicherzustellen, dass sie funktionieren und reibungslos funktionieren. Beispielsweise überprüfen wir bei Backup-Produkten, ob die Dateien korrekt gesichert wurden, und vereinfachen das Wiederherstellen aus dem Backup. Bei Videobearbeitungsprodukten messen wir Faktoren wie die Renderzeit. Für virtuelle private Netzwerke oder VPNs führen wir kontinentübergreifende Leistungstests durch. Das ist alles vollkommen sicher und einfach. Bei den Antiviren-Tools sieht es ein bisschen anders aus. Wenn wir wirklich überprüfen, ob sie funktionieren, müssen wir sie echten Schadprogrammen aussetzen.

Die Anti-Malware Testing Standards Organization (AMTSO) bietet eine Sammlung von Seiten mit Funktionsprüfungen, mit denen Sie sicherstellen können, dass Ihr Antivirus Malware beseitigt, Drive-by-Downloads blockiert, Phishing-Angriffe verhindert usw. Es ist jedoch keine eigentliche Malware beteiligt. Die teilnehmenden Antivirus-Unternehmen erklären sich einfach damit einverstanden, ihre Antivirus- und Sicherheitssuite-Produkte so zu konfigurieren, dass sie die simulierten Angriffe von AMTSO erkennen. Und nicht jede Sicherheitsfirma entscheidet sich für eine Teilnahme.

Antiviren-Testlabors auf der ganzen Welt unterziehen Sicherheitstools harten Tests und melden regelmäßig Ergebnisse. Wenn Laborergebnisse für ein Produkt verfügbar sind, geben wir diesen Punkten in der Produktbewertung ein ernstes Gewicht. Wenn alle vier Labors, denen wir folgen, die höchste Bewertung für ein Produkt vergeben, ist dies mit Sicherheit eine ausgezeichnete Wahl.

Leider nimmt kaum ein Viertel der von uns getesteten Unternehmen an allen vier Laboren teil. Ein weiteres Viertel arbeitet mit nur einem Labor, und volle 30 Prozent nehmen an keinem der vier teil. Praktische Tests sind ein Muss.

Selbst wenn die Labore über alle Produkte berichten würden, die wir behandeln, würden wir immer noch praktische Tests durchführen. Würdest du einem Autotest eines Schriftstellers vertrauen, der noch nie eine Probefahrt gemacht hat? Nee.

Sehen Sie, wie wir Antivirus- und Sicherheitssoftware testen

Ein weites Netz werfen

Nur weil das Produkt meldet: "Hey, ich habe ein Malware-Beispiel abgefangen!" bedeutet nicht, dass es erfolgreich war. Tatsächlich decken unsere Tests häufig Fälle auf, in denen das Virenschutzprogramm eine Malware-Komponente abgefangen hat, eine andere jedoch ausgeführt werden konnte. Wir müssen unsere Proben gründlich analysieren und die Änderungen am System notieren, damit wir bestätigen können, dass das Antivirus-Programm die angegebenen Anforderungen erfüllt hat.

In den unabhängigen Labors arbeiten Forscherteams, die die neuesten Proben sammeln und analysieren. PCMag hat nur wenige Sicherheitsanalysten, die für viel mehr als nur das Sammeln und Analysieren von Malware verantwortlich sind. Wir können uns nur einmal im Jahr die Zeit nehmen, einen neuen Probensatz zu analysieren. Da die Proben monatelang in Gebrauch bleiben, haben später getestete Produkte möglicherweise den Vorteil, dass sie mehr Zeit haben, um die gleiche Probe im Labor nachzuweisen. Um einen unfairen Vorteil zu vermeiden, beginnen wir mit Proben, die einige Monate zuvor erschienen sind. Wir nutzen unter anderem die täglichen Feeds von MRG-Effitas, um den Prozess zu starten.

In einer virtuellen Maschine, die mit dem Internet verbunden, aber vom lokalen Netzwerk isoliert ist, führen wir ein einfaches Dienstprogramm aus, das die Liste der URLs aufnimmt und versucht, die entsprechenden Beispiele herunterzuladen. In vielen Fällen ist die URL natürlich nicht mehr gültig. In dieser Phase wollen wir 400 bis 500 Samples, weil es eine ernsthafte Abnutzungsrate gibt, wenn wir das Sampleset herunterfahren.

Der erste Winning-Durchgang entfernt Dateien, die unglaublich klein sind. Alles weniger als 100 Bytes ist eindeutig ein Fragment aus einem Download, der nicht abgeschlossen wurde.

Als nächstes isolieren wir das Testsystem vom Internet und starten einfach jede Probe. Einige der Beispiele werden aufgrund von Inkompatibilität mit der Windows-Version oder fehlenden benötigten Dateien nicht gestartet. Boom, sie sind weg. Andere zeigen eine Fehlermeldung an, die auf einen Installationsfehler oder ein anderes Problem hinweist. Wir haben gelernt, diese im Mix zu halten. Oft funktioniert ein böswilliger Hintergrundprozess nach dem angeblichen Absturz weiter.

Dupes und Erkennungen

Nur weil zwei Dateien unterschiedliche Namen haben, heißt das nicht, dass sie unterschiedlich sind. Unser Erhebungsschema weist in der Regel viele Duplikate auf. Glücklicherweise müssen nicht alle Dateipaare verglichen werden, um festzustellen, ob sie identisch sind. Stattdessen verwenden wir eine Hash-Funktion, bei der es sich um eine Art Einwegverschlüsselung handelt. Die Hash-Funktion gibt immer dasselbe Ergebnis für dieselbe Eingabe zurück, aber selbst eine geringfügig andere Eingabe führt zu völlig unterschiedlichen Ergebnissen. Außerdem gibt es keine Möglichkeit, vom Hash zum Original zurückzukehren. Zwei Dateien mit demselben Hash sind identisch.

Zu diesem Zweck verwenden wir das ehrwürdige Dienstprogramm HashMyFiles von NirSoft. Dateien mit demselben Hash werden automatisch identifiziert, sodass Duplikate leicht entfernt werden können.

Eine andere Verwendung für Hashes

VirusTotal ist eine Website, auf der Forscher Notizen zu Malware austauschen können. Derzeit ist es eine Tochtergesellschaft von Alphabet (Googles Muttergesellschaft) und fungiert weiterhin als Clearinghouse.

Jeder kann eine Datei zur Analyse an VirusTotal senden. Die Site führt das Beispiel anhand von Antivirenmodulen von mehr als 60 Sicherheitsunternehmen aus und gibt an, wie viele das Beispiel als Malware gekennzeichnet haben. Außerdem wird der Hash der Datei gespeichert, sodass diese Analyse nicht wiederholt werden muss, wenn dieselbe Datei erneut angezeigt wird. Praktischerweise hat HashMyFiles eine Ein-Klick-Option, um den Hash einer Datei an VirusTotal zu senden. Wir gehen die Beispiele durch, die es bisher geschafft haben, und notieren, was VirusTotal zu den einzelnen Beispielen sagt.

Die interessantesten sind natürlich die, die VirusTotal noch nie gesehen hat. Wenn dagegen 60 von 60 Engines einer Datei einen sauberen Gesundheitszustand verleihen, sind die Chancen gut, dass es sich nicht um Malware handelt. Die Verwendung der Erkennungszahlen hilft uns dabei, die Proben in der Reihenfolge von höchstwahrscheinlich nach unwahrscheinlich zu ordnen.

Beachten Sie, dass VirusTotal selbst eindeutig angibt, dass niemand es anstelle eines tatsächlichen Antivirenmoduls verwenden sollte. Trotzdem ist es eine große Hilfe, die besten Aussichten für unsere Malware-Sammlung zu ermitteln.

Laufen und gucken

An diesem Punkt beginnt die praktische Analyse. Wir verwenden ein internes Programm (geschickt RunAndWatch genannt), um jedes Sample zu starten und anzusehen. Ein PCMag-Dienstprogramm namens InCtrl (kurz für Install Control) erstellt vor und nach dem Start der Malware eine Momentaufnahme der Registrierung und des Dateisystems und meldet, was sich geändert hat. Das Wissen, dass sich etwas geändert hat, beweist natürlich nicht, dass das Malware-Beispiel es geändert hat.

Der ProcMon Process Monitor von Microsoft überwacht alle Aktivitäten in Echtzeit und protokolliert (unter anderem) Registrierungs- und Dateisystemaktionen für jeden Prozess. Selbst mit unseren Filtern sind die Protokolle riesig. Sie helfen uns jedoch, die von InCtrl5 gemeldeten Änderungen mit den Prozessen zu verknüpfen, die diese Änderungen vorgenommen haben.

Spülen und wiederholen

Das Herunterkochen der riesigen Protokolle aus dem vorherigen Schritt in etwas Verwendbares dauert einige Zeit. Mit einem anderen internen Programm werden Duplikate beseitigt, Einträge gesammelt, die von Interesse zu sein scheinen, und Daten gelöscht, die eindeutig nicht mit dem Malware-Beispiel zusammenhängen. Dies ist sowohl eine Kunst als auch eine Wissenschaft. Es erfordert viel Erfahrung, um nicht benötigte Elemente schnell zu erkennen und wichtige Einträge zu erfassen.

Manchmal bleibt nach diesem Filtervorgang nichts mehr übrig, was bedeutet, dass unser einfaches Analysesystem alles, was die Probe getan hat, übersehen hat. Wenn eine Probe diesen Schritt überschreitet, durchläuft sie einen weiteren internen Filter. In diesem Beispiel werden Duplikate genauer untersucht und die Protokolldaten in einem Format abgelegt, das vom endgültigen Tool verwendet wird und das beim Testen auf Malware-Spuren überprüft.

Last-Minute-Anpassungen

Der Höhepunkt dieses Prozesses ist unser NuSpyCheck-Dienstprogramm (das vor langer Zeit als Spyware häufiger eingesetzt wurde). Nachdem alle Proben verarbeitet wurden, führen wir NuSpyCheck auf einem sauberen Testsystem aus. Sehr oft werden wir feststellen, dass sich einige unserer Einschätzungen als Malware-Spuren bereits auf dem System befinden. In diesem Fall schalten wir NuSpyCheck in den Bearbeitungsmodus und entfernen diese.

Es gibt noch einen Slog, und es ist ein wichtiger. Wenn wir die virtuelle Maschine zwischen den Tests auf einen sauberen Snapshot zurücksetzen, starten wir jedes Beispiel, lassen es vollständig laufen und überprüfen das System mit NuSpyCheck. Auch hier gibt es immer wieder Spuren, die während der Datenerfassung aufgetaucht zu sein schienen, aber zum Testzeitpunkt nicht auftauchten, möglicherweise weil sie vorübergehend waren. Darüber hinaus verwenden viele Malware-Beispiele zufällig generierte Namen für Dateien und Ordner, die sich jedes Mal unterscheiden. Für diese polymorphen Spuren fügen wir eine Anmerkung hinzu, die das Muster beschreibt, z. B. "Name der ausführbaren Datei mit acht Ziffern".

In dieser letzten Phase verlassen einige weitere Proben das Feld, da nach dem Entfernen der Datenpunkte nichts mehr zu messen war. Die verbleibenden werden zur nächsten Gruppe von Malware-Beispielen. Von den ursprünglichen 400 bis 500 URLs erreichen wir normalerweise 30.

Die Ransomware-Ausnahme

System-Locker-Ransomware wie die berüchtigte Petya verschlüsselt Ihre Festplatte und macht den Computer unbrauchbar, bis Sie das Lösegeld bezahlen. Die gängigsten Ransomware-Typen für die Dateiverschlüsselung verschlüsseln Ihre Dateien im Hintergrund. Wenn sie die schmutzige Tat getan haben, stellen sie eine große Lösegeldforderung. Wir benötigen kein Hilfsprogramm, um festzustellen, dass das Virenschutzprogramm eines dieser Programme übersehen hat. Die Malware macht sich klar.

Viele Sicherheitsprodukte bieten zusätzlich zu den grundlegenden Antiviren-Engines einen zusätzlichen Ransomware-Schutz. Das macht Sinn. Wenn Ihr Virenschutzprogramm einen Trojaner-Angriff übersieht, wird er wahrscheinlich in ein paar Tagen behoben, nachdem neue Signaturen eingegangen sind. Aber wenn es keine Ransomware gibt, hat man Pech. Wenn möglich, deaktivieren wir die grundlegenden Antivirenkomponenten und testen, ob nur das Ransomware-Schutzsystem Ihre Dateien und Ihren Computer schützen kann.

Was diese Proben nicht sind

In den großen Antiviren-Testlabors können Tausende von Dateien für statische Dateierkennungstests und Hunderte für dynamische Tests verwendet werden (dh, sie starten die Beispiele und sehen, was das Antivirus tut). Wir versuchen es nicht. Mit unseren über 30 Beispielen können wir ein Gefühl dafür bekommen, wie das Virenschutzprogramm mit Angriffen umgeht, und wenn wir keine Ergebnisse aus den Labors erhalten, können wir auf etwas zurückgreifen.

Wir versuchen, eine Mischung aus vielen Arten von Malware sicherzustellen, darunter Ransomware, Trojaner, Viren und mehr. Wir fügen auch einige potenziell unerwünschte Anwendungen (PUAs) hinzu, um sicherzustellen, dass die PUA-Erkennung im getesteten Produkt aktiviert ist, falls erforderlich.

Einige Malware-Anwendungen erkennen, wenn sie in einer virtuellen Maschine ausgeführt werden, und unterlassen böse Aktivitäten. Das ist gut; Wir benutzen diese einfach nicht. Einige Stunden oder Tage warten, bevor sie aktiviert werden. Wieder einmal verwenden wir diese einfach nicht.

Wir hoffen, dass dieser Blick hinter die Kulissen unserer praktischen Malware-Schutztests Ihnen einen Einblick in die Frage gibt, wie weit wir gehen, um den Virenschutz in Aktion zu erleben. Wie bereits erwähnt, verfügen wir nicht wie die großen Labors über ein engagiertes Team von Antiviren-Forschern, aber wir bieten Ihnen die Möglichkeit, Informationen zu sammeln, die Sie sonst nirgendwo finden werden.