目次:
ビデオ: 激ドã‚ ランファン 手コã‚.wmv (六月 2024)
ここPCMagでは、製品をレビューするときに、それらを絞り器にかけ、すべての機能を実行して、それらが機能することを確認し、スムーズに機能するようにします。 たとえば、バックアップ製品の場合、ファイルを正しくバックアップし、バックアップからの復元を容易にすることを確認します。 ビデオ編集製品の場合、レンダリング時間などの要因を測定します。 仮想プライベートネットワーク(VPN)の場合、大陸にまたがるパフォーマンステストを実行します。 それはすべて完全に安全でシンプルです。 ウイルス対策ツールに関しては状況が少し異なります。それらが機能することを実際に確認するには、実際のマルウェアにさらす必要があるためです。
Anti-Malware Testing Standards Organization(AMTSO)は一連の機能チェックページを提供しているため、ウイルス対策がマルウェアの除去、ドライブバイダウンロードのブロック、フィッシング攻撃の防止などに機能していることを確認できます。 ただし、 実際の マルウェアは関係ありません。 参加しているウイルス対策企業は、AMTSOのシミュレートされた攻撃を検出するようにウイルス対策製品とセキュリティスイート製品を構成することに同意するだけです。 また、すべてのセキュリティ会社が参加を選択するわけではありません。
世界中のウイルス対策テストラボでは、セキュリティツールを厳しいテストにかけ、結果を定期的に報告しています。 製品のラボ結果が利用可能な場合、その製品のレビューでそれらのスコアに重大な重みを付けます。 私たちが従う4つのラボすべてが製品の最高評価を付与する場合、それは素晴らしい選択になるはずです。
残念ながら、テストする企業の4分の1が4つのラボすべてに参加しています。 別の四半期は1つのラボのみで機能し、30%は4つのラボのいずれにも参加していません。 明らかに、実地テストは必須です。
ラボが対象とするすべての製品について報告したとしても、実際のテストを行います。 試乗すらしたことのない作家の車のレビューを信頼しますか? いや。
ワイドネットのキャスト
製品が「ねえ、マルウェアのサンプルを見つけた!」と報告するからです。 成功したという意味ではありません。 実際、私たちのテストでは、アンチウイルスが1つのマルウェアコンポーネントをキャッチしたが、別のマルウェアコンポーネントの実行を許可したインスタンスが明らかになることがよくあります。 システムに加えられた変更に注意して、サンプルを徹底的に分析する必要があります。そうすることで、ウイルス対策が主張したとおりに行ったことを確認できます。
独立したラボには、最新のサンプルの収集と分析に専念する研究者チームがあります。 PCMagにはほんの数人のセキュリティアナリストしかいません。彼らはマルウェアの収集と分析以上のものを担当しています。 年に一度、新しいサンプルのセットを分析する時間を節約できます。 サンプルは数か月間使用されるため、後でテストされた製品には、同じサンプルを検出する時間が長いという利点があります。 不当な利点を避けるために、数か月前に現れたサンプルから始めます。 プロセスを開始するために、とりわけMRG-Effitasから提供される毎日のフィードを使用します。
インターネットに接続されているがローカルネットワークから隔離されている仮想マシンで、URLのリストを取得し、対応するサンプルをダウンロードしようとする簡単なユーティリティを実行します。 多くの場合、URLはもちろん無効になります。 この段階では、400〜500個のサンプルが必要です。これは、サンプルセットを選別する際に深刻な消耗率があるためです。
最初のふるい分けパスでは、信じられないほど小さいファイルが削除されます。 100バイト未満は、明らかにダウンロードが完了しなかった断片です。
次に、テストシステムをインターネットから分離し、各サンプルを起動します。 一部のサンプルは、Windowsバージョンとの互換性がないか、必要なファイルがないために起動しません。 ブーム、彼らはなくなっています。 その他は、インストールの失敗またはその他の問題を示すエラーメッセージを表示します。 それらをミックスに収めることを学びました。 多くの場合、悪意のあるバックグラウンドプロセスは、クラッシュが疑われた後も機能し続けます。
重複と検出
2つのファイルの名前が異なるからといって、それらが異なるというわけではありません。 通常、コレクションスキームは多くの重複を検出します。 幸いなことに、ファイルのすべてのペアを比較して、それらが同じかどうかを確認する必要はありません。 代わりに、一方向暗号化の一種であるハッシュ関数を使用します。 ハッシュ関数は、同じ入力に対して常に同じ結果を返しますが、わずかに異なる入力であっても、結果は大きく異なります。 さらに、ハッシュから元に戻す方法はありません。 同じハッシュを持つ2つのファイルは同じです。
この目的のために、NirSoftの由緒あるHashMyFilesユーティリティを使用します。 同じハッシュを持つファイルを自動的に識別するため、重複を簡単に取り除くことができます。
ハッシュの別の用途
VirusTotalは、研究者がマルウェアに関するメモを共有するためのWebサイトとして始まりました。 現在、Alphabet(Googleの親会社)の子会社であり、クリアリングハウスとして機能し続けています。
誰でもファイルをVirusTotalに送信して分析できます。 このサイトは、過去60社以上のセキュリティ企業のサンプルアンチウイルスエンジンを実行し、サンプルにマルウェアとしてフラグを立てた数を報告します。 また、ファイルのハッシュも保存されるため、同じファイルが再び表示された場合にその分析を繰り返す必要はありません。 便利なことに、HashMyFilesには、ファイルのハッシュをVirusTotalに送信するワンクリックオプションがあります。 ここまでのサンプルを調べて、それぞれについてVirusTotalが言っていることに注意してください。
もちろん、最も興味深いのは、VirusTotalがこれまで見たことがないものです。 逆に、60のエンジンのうち60がファイルに正常な健康状態を与える場合、それはマルウェアではない可能性が高いです。 検出値を使用すると、サンプルを最も可能性の高いものから最も低いものの順に並べることができます。
VirusTotal自体には、実際のウイルス対策エンジンの代わりに使用しないでくださいと明記されていることに注意してください。 それでも、マルウェアコレクションの最良の可能性を特定するのに非常に役立ちます。
実行して見る
この時点で、実践的な分析が開始されます。 社内プログラム(賢いRunAndWatchという名前)を使用して、各サンプルを実行および監視します。 InCtrl(Install Controlの略)と呼ばれるPCMagユーティリティは、マルウェアの起動前後にレジストリとファイルシステムのスナップショットを作成し、変更内容を報告します。 もちろん、何かが変わったことを知っていても、マルウェアのサンプルがそれを変えたことを証明するものではありません。
MicrosoftのProcMon Process Monitorは、すべてのアクティビティをリアルタイムで監視し、すべてのプロセスごとにレジストリおよびファイルシステムのアクションを記録します。 フィルターを使用しても、ログは膨大です。 しかし、InCtrl5によって報告された変更を、それらの変更を行ったプロセスに結び付けるのに役立ちます。
すすぎと繰り返し
前のステップからの巨大なログを使用可能なものに煮詰めるには時間がかかります。 別の社内プログラムを使用して、重複を排除し、関心があると思われるエントリを収集し、マルウェアサンプルと明らかに関係のないデータを消去します。 これは芸術であると同時に科学でもあります。 重要でない項目をすばやく認識して重要なエントリをキャプチャするには、多くの経験が必要です。
このフィルタリングプロセスの後に、何も残らない場合があります。つまり、サンプルが何をしても、単純な分析システムがそれを逃したことを意味します。 サンプルがこのステップを過ぎると、さらに別の社内フィルターを通過します。 これは重複を詳しく調べ、ログデータをテスト中にマルウェアトレースをチェックする最終ツールで使用される形式に変換し始めます。
直前の調整
このプロセスの集大成は、NuSpyCheckユーティリティ(スパイウェアが普及していた時代以前の名前)です。 すべてのサンプルが処理されたら、クリーンなテストシステムでNuSpyCheckを実行します。 多くの場合、マルウェアの痕跡であると考えられていたもののいくつかは、システム上にすでに存在していることがわかります。 その場合、NuSpyCheckを編集モードに切り替えて削除します。
もう1つスローがありますが、これは重要なスローガンです。 テスト間で仮想マシンをクリーンなスナップショットにリセットし、各サンプルを起動して、完了するまで実行させ、NuSpyCheckでシステムをチェックします。 ここでも、データキャプチャ中に表示されたように見えますが、おそらく一時的なものであるため、テスト時には表示されないトレースが常にあります。 さらに、多くのマルウェアサンプルは、ファイルとフォルダーにランダムに生成された名前を使用します。 これらのポリモーフィックトレースには、「8桁の実行可能な名前」など、パターンを説明するメモを追加します。
この最終段階では、さらにいくつかのサンプルがフィールドを離れます。これは、データポイントのすべてのシェービングが除去されるため、測定するものが何も残っていないためです。 残っているものは、次のマルウェアサンプルのセットになります。 元の400から500のURLから、通常は約30になります。
ランサムウェアの例外
悪名高いPetyaのようなシステムロッカーランサムウェアは、ハードドライブを暗号化し、身代金を支払うまでコンピューターを使用できなくします。 より一般的なファイル暗号化ランサムウェアタイプは、バックグラウンドでファイルを暗号化します。 彼らが汚い行為をしたとき、彼らは身代金に対する大きな需要を持ち出します。 アンチウイルスがこれらのいずれかを逃したことを検出するためのユーティリティは必要ありません。 マルウェアは明白になります。
多くのセキュリティ製品は、基本的なウイルス対策エンジンを超えて、ランサムウェア保護のレイヤーを追加しています。 それは理にかなっている。 アンチウイルスがトロイの木馬の攻撃を逃した場合、おそらく新しいシグネチャを取得してから数日以内にそれをクリアします。 しかし、ランサムウェアを逃すと、運が悪くなります。 可能な場合、基本的なウイルス対策コンポーネントを無効にし、ランサムウェア保護システムだけでファイルとコンピューターを安全に保つことができるかどうかをテストします。
これらのサンプルにはないもの
大規模なウイルス対策テストラボでは、静的ファイル認識テストに何千ものファイルを使用し、動的テストに何百ものファイルを使用できます(つまり、サンプルを起動してウイルス対策の動作を確認します)。 私たちはそのために努力していません。 30種類のサンプルにより、ウイルス対策が攻撃をどのように処理しているかを把握でき、ラボから結果が得られない場合は、後戻りすることができます。
ランサムウェア、トロイの木馬、ウイルスなど、さまざまな種類のマルウェアが混在するようにします。 また、不要な可能性のあるアプリケーション(PUA)も含まれており、必要に応じて、テスト対象の製品でPUA検出を必ずオンにします。
一部のマルウェアアプリケーションは、仮想マシンで実行されていることを検出し、不快なアクティビティを控えます。 それはいいです; これらは使用しません。 アクティブ化するまでに数時間または数日待機します。 繰り返しますが、これらは使用しません。
実践的なマルウェア保護テストの舞台裏で、このウイルス対策保護が実際にどの程度機能するかについての洞察が得られることを願っています。 前述のように、大規模なラボのように専任のウイルス対策研究者のチームはありませんが、他のどこにも見つからないという報告をトレンチ内にもたらします。
