Comment nous collectons les logiciels malveillants pour des tests antivirus pratiques

Ici, chez PCMag, lorsque nous examinons les produits, nous les mettons entre les mains de l’industriel, en utilisant toutes les fonctions qui lui permettent de s’assurer de leur bon fonctionnement. Pour les produits de sauvegarde, par exemple, nous vérifions qu'ils sauvegardent correctement les fichiers et facilitent la restauration à partir d'une sauvegarde. Pour les produits de montage vidéo, nous mesurons des facteurs tels que le temps de rendu. Pour les réseaux privés virtuels, ou VPN, nous effectuons des tests de performances couvrant plusieurs continents. Tout cela est parfaitement sûr et simple. La situation des outils antivirus est un peu différente, car vérifier leur fonctionnement signifie que nous devons les soumettre à de vrais logiciels malveillants.

L'organisation AMTSO (Anti-Malware Testing Standards Organization) offre un ensemble de pages de vérification des fonctionnalités afin que vous puissiez vous assurer que votre antivirus fonctionne pour éliminer les logiciels malveillants, bloquer les téléchargements au volant, empêcher les attaques par phishing, etc. Cependant, aucun logiciel malveillant n'est impliqué. Les éditeurs de logiciels antivirus participants acceptent simplement de configurer leurs produits de suite antivirus et de sécurité pour détecter les attaques simulées par AMTSO. Et toutes les entreprises de sécurité ne choisissent pas de participer.

Les laboratoires de tests antivirus du monde entier soumettent les outils de sécurité à des tests éprouvants et communiquent périodiquement les résultats. Lorsque des résultats de laboratoire sont disponibles pour un produit, nous accordons à ces scores un poids important lors de l'examen de ce produit. Si les quatre laboratoires que nous suivons attribuent la note la plus élevée à un produit, c'est certainement un excellent choix.

Malheureusement, à peine le quart des entreprises testées participent aux quatre laboratoires. Un autre quart travaille avec un seul laboratoire et 30% ne participent à aucun des quatre. Il est clair que des tests pratiques sont indispensables.

Même si les laboratoires déclaraient tous les produits que nous couvrions, nous effectuerions quand même des tests pratiques. Feriez-vous confiance à une révision de voiture d'un écrivain qui n'a même jamais fait un essai routier? Nan.

Découvrez comment nous testons les logiciels antivirus et de sécurité

Lancer un large filet

Juste parce que le produit indique: "Hé, j'ai attrapé un échantillon de malware!" ne signifie pas qu'il a réussi. En fait, nos tests révèlent souvent des cas où l'antivirus a intercepté un composant de programme malveillant, mais en a autorisé un autre. Nous devons analyser en profondeur nos échantillons, en notant les modifications qu’ils apportent au système, afin de pouvoir confirmer que l’antivirus a fonctionné comme il le prétendait.

Les laboratoires indépendants disposent d'équipes de chercheurs dédiées à la collecte et à l'analyse des derniers échantillons. PCMag ne compte que quelques analystes de la sécurité, qui sont responsables de bien plus que la simple collecte et analyse des logiciels malveillants. Nous ne pouvons que ménager le temps nécessaire pour analyser un nouvel ensemble d'échantillons une fois par an. Étant donné que les échantillons resteront en usage pendant des mois, les produits testés ultérieurement pourraient présenter l'avantage de disposer de plus de temps pour détecter le même échantillon dans le monde. Pour éviter tout avantage injuste, nous commençons par des échantillons parus plusieurs mois plus tôt. Nous utilisons les flux quotidiens fournis par MRG-Effitas, entre autres, pour lancer le processus.

Dans une machine virtuelle connectée à Internet mais isolée du réseau local, nous exécutons un utilitaire simple qui prend la liste des URL et tente de télécharger les exemples correspondants. Dans de nombreux cas, l'URL n'est plus valide, bien sûr. À ce stade, nous voulons 400 à 500 échantillons, car le taux d'attrition est important au fur et à mesure que nous explorons l'ensemble d'échantillons.

La première passe de vannage élimine les fichiers incroyablement petits. Un nombre inférieur à 100 octets est clairement un fragment d'un téléchargement qui ne s'est pas terminé.

Ensuite, nous isolons le système de test d’Internet et lançons simplement chaque échantillon. Certains exemples ne se lancent pas en raison d'une incompatibilité avec la version de Windows ou de l'absence de fichiers nécessaires. boum, ils sont partis. D'autres affichent un message d'erreur indiquant un échec d'installation ou un autre problème. Nous avons appris à garder ceux-ci dans le mélange; souvent, un processus malveillant en arrière-plan continue de fonctionner après le crash présumé.

Dupes et Detections

Ce n'est pas parce que deux fichiers ont des noms différents qu'ils sont différents. Notre système de collecte génère généralement de nombreux doublons. Heureusement, il n'est pas nécessaire de comparer chaque paire de fichiers pour voir s'ils sont identiques. Au lieu de cela, nous utilisons une fonction de hachage, qui est une sorte de cryptage à sens unique. La fonction de hachage renvoie toujours le même résultat pour la même entrée, mais même une entrée légèrement différente donne des résultats très différents. En outre, il n’ya aucun moyen de revenir du hachage à l’original. Deux fichiers qui ont le même hachage sont les mêmes.

Nous utilisons à cet effet le vénérable utilitaire HashMyFiles de NirSoft. Il identifie automatiquement les fichiers avec le même hachage, ce qui facilite l'élimination des doublons.

Une autre utilisation pour les hachis

VirusTotal a été créé en tant que site Web permettant aux chercheurs de partager des notes sur les logiciels malveillants. Actuellement une filiale de Alphabet (la société mère de Google), elle continue de fonctionner en tant que chambre de compensation.

Tout le monde peut soumettre un fichier à VirusTotal pour analyse. Le site utilise les exemples de moteurs antivirus de plus de 60 sociétés de sécurité et indique le nombre de logiciels malveillants qu'il a identifiés. Il enregistre également le hachage du fichier. Il n'est donc pas nécessaire de répéter l'analyse si le même fichier réapparaît. HashMyFiles a une option en un clic pour envoyer le hachage d'un fichier à VirusTotal. Nous passons en revue les exemples qui nous ont permis d'aller jusque-là et notons ce que dit VirusTotal à propos de chacun.

Les plus intéressants sont bien entendu ceux que VirusTotal n’a jamais vus. Inversement, si 60 moteurs sur 60 donnent à un fichier un état de santé irréprochable, il est probable que ce n’est pas un malware. L'utilisation des chiffres de détection nous aide à classer les échantillons du plus probable au moins probable.

Notez que VirusTotal lui-même indique clairement que personne ne doit l’utiliser à la place d’un véritable moteur antivirus. Malgré tout, c'est une aide précieuse pour identifier les meilleures perspectives pour notre collection de logiciels malveillants.

Courir et regarder

À ce stade, l'analyse pratique commence. Nous utilisons un programme interne (astucieusement nommé RunAndWatch) pour exécuter et regarder chaque échantillon. Un utilitaire PCMag appelé InCtrl (abréviation de Install Control) capture le registre et le système de fichiers avant et après le lancement du programme malveillant, en indiquant les modifications apportées. Bien sûr, savoir que quelque chose a changé ne prouve pas que l'échantillon de malware a été modifié.

ProcMon Process Monitor de Microsoft surveille toutes les activités en temps réel, en enregistrant les actions du registre et du système de fichiers (entre autres) par chaque processus. Même avec nos filtres, ses journaux sont énormes. Mais ils nous aident à lier les modifications signalées par InCtrl5 aux processus qui ont apporté ces modifications.

Rincer et répéter

Il faut du temps pour résumer les énormes journaux de l'étape précédente en un objet utilisable. À l'aide d'un autre programme interne, nous éliminons les doublons, rassemblons les entrées qui semblent présenter un intérêt et effaçons les données qui ne sont clairement pas liées à l'échantillon de programmes malveillants. C'est un art aussi bien qu'une science. il faut beaucoup d'expérience pour reconnaître rapidement les éléments non essentiels et saisir les entrées d'importance.

Parfois, après ce processus de filtrage, il ne restait plus rien, ce qui signifie que, quel que soit l'échantillon, notre système d'analyse simple ne l'utilisait pas. Si un échantillon dépasse cette étape, il passe à travers un autre filtre interne. Celui-ci examine de plus près les doublons et commence à mettre les données du journal dans un format utilisé par l'outil final, celui qui vérifie les traces de programmes malveillants lors des tests.

Ajustements de dernière minute

Le point culminant de ce processus est notre utilitaire NuSpyCheck (nommé il y a bien longtemps lorsque les logiciels espions étaient plus répandus). Avec tous les échantillons traités, nous exécutons NuSpyCheck sur un système de test propre. Très souvent, nous constatons que certaines de ce que nous pensions être des traces de logiciels malveillants se révèlent déjà présentes sur le système. Dans ce cas, nous basculons NuSpyCheck en mode édition et les supprimons.

Il y a encore une tâche, et c'est une tâche importante. Réinitialisation de la machine virtuelle sur un instantané propre entre les tests, nous lançons chaque échantillon, le laissons fonctionner jusqu'à achèvement et vérifions le système avec NuSpyCheck. Là encore, il y a toujours des traces qui semblaient apparaître lors de la capture des données, mais ne s'affichent pas au moment du test, peut-être parce qu'elles étaient temporaires. En outre, de nombreux exemples de programmes malveillants utilisent des noms générés de manière aléatoire pour les fichiers et les dossiers, différents à chaque fois. Pour ces traces polymorphes, nous ajoutons une note décrivant le motif, tel que "nom de l'exécutable à huit chiffres".

Quelques échantillons supplémentaires quittent le terrain à cette phase finale, car il ne restait plus rien à mesurer avec tous les points de données. Ceux qui restent deviennent la prochaine série d'échantillons de programmes malveillants. Des 400 à 500 URL d'origine, nous en avons généralement environ 30.

L'exception de ransomware

Un ransomware comme le célèbre Petya crypte votre disque dur, rendant l’ordinateur inutilisable jusqu’à ce que vous payiez la rançon. Les types de ransomware de chiffrement de fichiers les plus courants chiffrent vos fichiers en arrière-plan. Quand ils ont fait le sale boulot, ils émettent une forte demande de rançon. Nous n'avons pas besoin d'un utilitaire pour détecter que l'antivirus en a oublié un; le malware se fait simple.

De nombreux produits de sécurité ajoutent des couches supplémentaires de protection contre les ransomwares, au-delà des moteurs antivirus de base. Ça a du sens. Si votre antivirus manque une attaque de cheval de Troie, il disparaîtra dans quelques jours après avoir reçu de nouvelles signatures. Mais si elle manque de ransomware, vous n’avez pas de chance. Lorsque cela est possible, nous désactivons les composants antivirus de base et vérifions si le système de protection contre les ransomwares peut protéger vos fichiers et votre ordinateur en toute sécurité.

Ce que ces échantillons ne sont pas

Les grands laboratoires de tests antivirus peuvent utiliser plusieurs milliers de fichiers pour les tests de reconnaissance de fichiers statiques et plusieurs centaines pour les tests dynamiques (ce qui signifie qu'ils lancent les exemples et voient ce que fait l'antivirus). Nous n'essayons pas pour cela. Nos quelque 30 échantillons nous permettent de nous faire une idée de la manière dont l'antivirus gère les attaques et, lorsque les résultats des laboratoires ne sont pas obtenus, nous avons un problème sur lequel nous pouvons compter.

Nous essayons de garantir un mélange de plusieurs types de logiciels malveillants, notamment des ransomwares, des chevaux de Troie, des virus, etc. Nous incluons également certaines applications potentiellement indésirables (PUA), en veillant à activer la détection de PUA dans le produit testé, si nécessaire.

Certains programmes malveillants détectent leur exécution sur une machine virtuelle et s'abstiennent de toute activité désagréable. C'est très bien; nous ne les utilisons pas. Certains attendent des heures ou des jours avant de l'activer. Encore une fois, nous ne les utilisons pas.

Nous espérons que ce coup d'œil en coulisse lors de nos tests pratiques de protection contre les logiciels malveillants vous a éclairé sur la mesure dans laquelle nous pourrons faire l'expérience de la protection antivirus en action. Comme indiqué précédemment, nous ne disposons pas d'une équipe dévouée de chercheurs en antivirus comme le font les grands laboratoires, mais nous vous apportons des rapports concrets qui ne peuvent être trouvés nulle part ailleurs.