차례:
비디오: [ë¸ ì¤í 리ì§-â¡]ë°ì´í° ë í주, ì! ë§ë í ì í ììê¹?â¦PS5000E, PS5500E (십월 2024)
여기서 PCMag에서는 제품을 검토 할 때 제품을 래퍼 링 (wringer)을 통해 모든 기능을 사용하여 작동하는지 확인하고 원활하게 작동합니다. 예를 들어 백업 제품의 경우 파일을 올바르게 백업하고 백업에서 쉽게 복원 할 수 있는지 확인합니다. 비디오 편집 제품의 경우 렌더링 시간과 같은 요소를 측정합니다. 가상 사설망 또는 VPN의 경우 대륙 확장 성능 테스트를 실행합니다. 모두 안전하고 간단합니다. 바이러스 백신 도구와 관련하여 상황이 조금 다르게 나타납니다. 실제로 작동하는지 확인하면 실제 맬웨어에 노출되어야합니다.
AMTSO (Anti-Malware Testing Standards Organization)는 기능 검사 페이지 모음을 제공하므로 안티 바이러스가 맬웨어 제거, 드라이브 바이 다운로드 차단, 피싱 공격 방지 등을 위해 작동하는지 확인할 수 있습니다. 그러나 실제 악성 코드는 없습니다. 참여하는 안티 바이러스 회사는 안티 바이러스 및 보안 제품군 제품을 구성하여 AMTSO의 시뮬레이션 된 공격을 탐지하는 데 동의합니다. 모든 보안 회사가 참여하기로 결정한 것은 아닙니다.
전 세계의 안티 바이러스 테스트 연구소는 정기적으로 결과를보고하면서 거친 테스트를 통해 보안 도구를 배치했습니다. 제품에 대해 실험실 결과를 사용할 수있는 경우 해당 제품을 검토 할 때 해당 점수에 심각한 가중치를 부여합니다. 우리가 따르는 실험실 4 곳 모두가 제품에 대해 가장 높은 등급을 부여한다면 훌륭한 선택이 될 것입니다.
불행히도, 우리가 테스트하는 회사의 4 분의 1은 4 개의 실험실 모두에 참여합니다. 또 다른 분기는 단 하나의 실험실로만 이루어지며 전체 30 %는 4 개 중 하나에 참여하지 않습니다. 실습 테스트는 필수입니다.
실험실에서 우리가 다루는 모든 제품에 대해보고 했더라도 여전히 실습 테스트를 수행합니다. 시운전을 한 적이없는 작가의 자동차 리뷰를 신뢰 하시겠습니까? 아니.
넓은 그물 던지기
제품에서 "이봐, 난 악성 코드 샘플을 찾았 어!" 성공했다는 의미는 아닙니다. 실제로 테스트 결과에 따르면 안티 바이러스가 하나의 맬웨어 구성 요소를 발견했지만 다른 구성 요소를 실행할 수있는 경우가 종종 있습니다. 시스템의 변경 사항을 기록하여 샘플을 철저히 분석해야 바이러스 백신이 주장한 바를 확인할 수 있습니다.
독립 실험실에는 최신 샘플을 수집하고 분석하는 전담 연구팀이 있습니다. PCMag에는 몇 가지 보안 분석가 만있어 맬웨어 수집 및 분석 이상의 역할을 담당합니다. 우리는 일년에 한 번 새로운 샘플 세트를 분석하는 데 시간을 할애 할 수 있습니다. 샘플은 몇 달 동안 계속 사용되므로 나중에 테스트 한 제품은 와일에서 동일한 샘플을 감지하는 데 더 많은 시간이 걸릴 수 있습니다. 불공정 한 이점을 피하기 위해 몇 개월 전에 나온 샘플로 시작합니다. MRG-Effitas에서 제공하는 일일 피드를 사용하여 프로세스를 시작합니다.
인터넷에 연결되어 있지만 로컬 네트워크와 격리 된 가상 머신에서 URL 목록을 가져와 해당 샘플을 다운로드하려고하는 간단한 유틸리티를 실행합니다. 많은 경우 URL은 더 이상 유효하지 않습니다. 이 단계에서는 샘플 세트를 줄이면 심각한 감소율이 있기 때문에 400 ~ 500 개의 샘플을 원합니다.
첫 번째 당첨 패스는 불가능한 파일을 제거합니다. 100 바이트 미만은 완료되지 않은 다운로드의 조각입니다.
다음으로 인터넷에서 테스트 시스템을 분리하고 각 샘플을 시작합니다. 일부 샘플은 Windows 버전과 호환되지 않거나 필요한 파일이 없기 때문에 시작되지 않습니다. 붐, 그들은 갔다. 다른 것들은 설치 실패 또는 다른 문제를 나타내는 오류 메시지를 표시합니다. 우리는 그것들을 혼합하여 유지하는 법을 배웠습니다. 종종 충돌이 발생한 후에도 악의적 인 백그라운드 프로세스가 계속 작동합니다.
속임수 및 탐지
두 파일의 이름이 다르다고해서 다른 파일이라는 의미는 아닙니다. 우리의 수집 계획은 일반적으로 많은 중복을 나타냅니다. 다행스럽게도 모든 파일 쌍을 비교하여 동일한 지 확인하지 않아도됩니다. 대신, 우리는 일종의 단방향 암호화 인 해시 함수를 사용합니다. 해시 함수는 동일한 입력에 대해 항상 동일한 결과를 반환하지만 약간 다른 입력이라도 결과가 크게 다릅니다. 또한 해시에서 원본으로 다시 이동할 수있는 방법이 없습니다. 해시가 같은 두 파일이 같습니다.
우리는이를 위해 NirSoft의 훌륭한 HashMyFiles 유틸리티를 사용합니다. 해시가 동일한 파일을 자동으로 식별하여 중복을 쉽게 제거 할 수 있습니다.
해시의 또 다른 용도
VirusTotal은 연구원들이 맬웨어에 대한 메모를 공유 할 수있는 웹 사이트로 시작되었습니다. 현재 알파벳 (Google의 모회사)의 자회사 인이 회사는 정보 센터 역할을 계속하고 있습니다.
누구나 분석을 위해 파일을 VirusTotal에 제출할 수 있습니다. 이 사이트는 60 개 이상의 보안 회사의 안티 바이러스 엔진을 통과 한 샘플을 실행하고 샘플을 맬웨어로 표시 한 수를보고합니다. 또한 파일의 해시를 저장하므로 동일한 파일이 다시 표시되는 경우 해당 분석을 반복 할 필요가 없습니다. 편리하게도, HashMyFiles에는 파일의 해시를 VirusTotal로 보내는 원 클릭 옵션이 있습니다. 우리는 지금까지 만든 샘플을 살펴보고 VirusTotal이 각각에 대해 말하는 것을 주목합니다.
물론 가장 흥미로운 것은 VirusTotal이 본 적이없는 것들입니다. 반대로 60 개 엔진 중 60 개 엔진이 파일의 상태를 깨끗하게 유지하면 맬웨어가 아닌 것이 좋습니다. 탐지 수치를 사용하면 가장 가능성이 높은 것부터 가장 적은 것까지 순서대로 샘플을 넣을 수 있습니다.
VirusTotal 자체는 실제 바이러스 백신 엔진 대신 아무도 사용해서는 안된다는 것을 명확하게 설명합니다. 그렇더라도 맬웨어 수집에 가장 적합한 잠재 고객을 식별하는 데 큰 도움이됩니다.
달리고보고
이 시점에서 실무 분석이 시작됩니다. 사내 프로그램 (일반적으로 RunAndWatch)을 사용하여 각 샘플을 실행하고 감시합니다. InCtrl (Install Control의 줄임말)이라는 PCMag 유틸리티는 맬웨어 실행 전후에 레지스트리와 파일 시스템을 스냅 샷으로 변경하여 변경된 사항을보고합니다. 물론, 변경된 내용을 알고 있다고해서 맬웨어 샘플이 변경된 것을 증명하지는 않습니다.
Microsoft의 ProcMon Process Monitor는 모든 프로세스별로 레지스트리 및 파일 시스템 작업을 기록하고 실시간으로 모든 활동을 모니터링합니다. 필터를 사용하더라도 로그는 엄청납니다. 그러나 InCtrl5에 의해보고 된 변경 사항을 해당 변경 작업을 수행 한 프로세스에 연결하는 데 도움이됩니다.
헹구고 반복
이전 단계의 거대한 로그를 사용 가능한 것으로 정리하면 시간이 걸립니다. 다른 사내 프로그램을 사용하여 중복을 제거하고 관심이있는 것으로 보이는 항목을 수집하며 맬웨어 샘플과 관련이없는 데이터를 제거합니다. 이것은 과학 일뿐만 아니라 예술입니다. 중요하지 않은 항목을 빠르게 인식하고 중요한 항목을 캡처하려면 많은 경험이 필요합니다.
때때로이 필터링 프로세스 후에는 아무것도 남지 않았으며, 이는 샘플이 무엇을하든 간단한 분석 시스템이이를 놓쳤다는 것을 의미합니다. 샘플이이 단계를 벗어나면 또 다른 사내 필터를 통과합니다. 이 도구는 복제본을 자세히 살펴보고 최종 도구에서 사용하는 형식 (테스트 중에 맬웨어 추적을 확인하는 형식)으로 로그 데이터를 저장하기 시작합니다.
마지막 순간 조정
이 프로세스의 정점은 NuSpyCheck 유틸리티입니다 (스파이웨어가 더 널리 보급 된 나이 전). 모든 샘플을 처리 한 후 깨끗한 테스트 시스템에서 NuSpyCheck를 실행합니다. 우리는 종종 멀웨어 추적이라고 생각하는 것 중 일부가 이미 시스템에 존재하는 것으로 판명되었습니다. 이 경우 NuSpyCheck를 편집 모드로 전환하고 제거합니다.
하나 더 큰 수렁이 있고 그것은 중요한 것입니다. 테스트 사이에 가상 머신을 깨끗한 스냅 샷으로 재설정하고, 각 샘플을 시작하고 실행이 완료된 후 NuSpyCheck로 시스템을 확인합니다. 여기에도 데이터 캡처 중에 나타나는 것처럼 보이는 추적이 항상 있지만 테스트 시간에는 표시되지 않습니다. 아마도 일시적인 것일 수 있습니다. 또한 많은 맬웨어 샘플이 매번 다르게 파일과 폴더에 대해 임의로 생성 된 이름을 사용합니다. 이러한 다형성 트레이스의 경우 "8 자리 실행 파일 이름"과 같은 패턴을 설명하는 메모를 추가합니다.
이 마지막 단계에서 몇 개의 샘플이 더 나옵니다. 데이터 포인트를 모두 제거하면 측정 할 것이 없기 때문입니다. 남아있는 것은 다음 맬웨어 샘플 세트가됩니다. 원래 400 개에서 500 개까지의 URL은 일반적으로 약 30 개입니다.
랜섬웨어 예외
악명 높은 Petya와 같은 시스템 잠금 장치 랜섬웨어는 하드 드라이브를 암호화하여 사용자가 몸값을 지불 할 때까지 컴퓨터를 사용할 수 없게 만듭니다. 보다 일반적인 파일 암호화 랜섬웨어 유형은 백그라운드에서 파일을 암호화합니다. 그들이 더러운 행동을했을 때, 몸값에 대한 큰 요구가 나타납니다. 안티 바이러스가 이들 중 하나를 놓친 것을 탐지하는 유틸리티는 필요하지 않습니다. 멀웨어 자체가 평범합니다.
많은 보안 제품이 기본 안티 바이러스 엔진 외에 랜섬웨어 보호 계층을 추가하고 있습니다. 말이 되네요 안티 바이러스가 트로이 목마 공격을 놓치면 새 서명을받은 후 며칠 내에 해결 될 것입니다. 그러나 랜섬웨어를 놓치면 운이 없습니다. 가능한 경우 기본 바이러스 백신 구성 요소를 비활성화하고 랜섬웨어 보호 시스템만으로 파일과 컴퓨터를 안전하게 유지할 수 있는지 테스트합니다.
이 샘플이 아닌 것
대규모 안티 바이러스 테스트 랩은 정적 파일 인식 테스트를 위해 수천 개의 파일을 사용하고 동적 테스트를 위해 수백 개의 파일을 사용할 수 있습니다 (샘플을 시작하고 안티 바이러스가 무엇을하는지 확인). 우리는 그것을 시도하지 않습니다. 30 개 홀수 샘플을 통해 안티 바이러스가 공격을 처리하는 방식을 파악할 수 있으며 실험실에서 결과가 나오지 않으면 다시 넘어갈 수 있습니다.
우리는 랜섬웨어, 트로이 목마, 바이러스 등을 포함하여 많은 종류의 맬웨어가 혼합되도록 노력합니다. 또한 잠재적으로 원치 않는 응용 프로그램 (PUA)도 포함되어 있으므로 필요한 경우 테스트 대상 제품에서 PUA 감지 기능을 설정해야합니다.
일부 맬웨어 응용 프로그램은 가상 컴퓨터에서 실행중인시기를 감지하고 불쾌한 활동을 삼가십시오. 괜찮아; 우리는 그것들을 사용하지 않습니다. 일부는 활성화되기 몇 시간 또는 며칠을 기다립니다. 다시 한번, 우리는 그것들을 사용하지 않습니다.
실습 맬웨어 방지 테스트에서 이러한 비하인드 스토리를 통해 안티 바이러스 보호가 실제로 얼마나 멀리 진행 될지에 대한 통찰력을 얻을 수 있기를 바랍니다. 언급 한 바와 같이, 대규모 실험실과 같은 방식으로 바이러스 백신 연구원으로 구성된 전담 팀이 없지만 다른 곳에서는 찾을 수 없다는 사실을보고합니다.
