CheckLab​

PROFESJONALNE TESTY BEZPIECZEŃSTWA

CheckLab

Dlaczego założyliśmy nową organizację ze stroną internetową www.CheckLab.pl?

Organizacja CheckLab została założona w lipcu 2019 roku przez działającą od 2012 roku firmę AVLab.pl w branży bezpieczeństwa teleinformatycznego. Podstawowym celem organizacji CheckLab jest testowanie przydatności zabezpieczeń oraz wydawanie certyfikatów potwierdzających skuteczność ochrony przed złośliwym oprogramowaniem i cyberatakami, a także dostarczanie wyników do informacji publicznej przy zapewnieniu maksymalnej transparentności testów. 

Tych dodatkowych informacji związanych z testami jest tak dużo, że postanowiliśmy przygotować osobną stronę internetową.

System testujący składa się z kilku komponentów

Cała aplikacja testująca jest jak jeden organizm zbudowany z poszczególnych elementów, w którym każdy działa osobno i jednocześnie współpracuje z pozostałymi. Stworzyliśmy tak naprawdę aplikację, która robi dokładnie to samo co człowiek, lecz nieporównywalnie szybciej i wydajniej, ponieważ w jednym czasie może zarządzać nieograniczoną ilością maszyn wirtualnych — wykonuje dużą ilość operacji, gdyż nie jest ograniczony ludzką biomechaniką.

Elementy, z których składa się nasza aplikacja do testów, to:

Lokalny serwer DNS i HTTP/S

Lokalny serwer DNS i HTTP/S odpowiada za „wystawienie” próbki złośliwego oprogramowania pod losowy adres URL, który będzie przekazany do komponentu zarządzającego testami. Z tego adresu URL będzie pobierany wirus do systemu operacyjnego przez przeglądarkę Chrome.

Dzięki własnemu serwerowi DNS i HTTP/S mamy kontrolę nad ruchem sieciowym.
Mapa wskazuje na lokalizacje serwerów, które pełnią rolę honeypotów.
Sieci honeypotów

Próbki wykorzystywane w naszych testach pochodzą z ataków na honeypoty. Są to pułapki, których zadaniem jest udawanie celu podatnego na ataki i przechwytywanie złośliwego oprogramowania. Wykorzystujemy honeypoty niskointeraktywne i wysokointeraktywne. Wszystkie z nich symulują usługi takie jak: SSH, HTTP, HTTPS, SMB, FTP, TFTP, rzeczywisty system Windows i serwer poczty. Korzystamy także z publicznych feedów ze złośliwym oprogramowaniem.

Importer

Jest to ten element aplikacji, który raz na dobę loguje się do honeypotów i pobiera przechwycone szkodliwe oprogramowanie. Następnie oblicza sumę kontrolną każdego pliku i porównuje z tymi w bazie danych. Odbiorcy naszych testów mają pewność, że nigdy nie będziemy analizować dwóch takich samych wirusów.

Najpierw aplikacja loguje się do honeypota i pobiera przechwycone złośliwe oprogramowanie.
Próbka szkodliwego oprogramowania jest pobierana do systemu przez prawdziwą przeglądarkę Chrome.
Zarządca

Jest to najważniejszy element aplikacji. Automatyzuje całą procedurę testów:

  • Zarządza sieciami honeypotów.
  • Zarządza pobieraniem złośliwego oprogramowania.
  • Analizuje złośliwe oprogramowanie w Windows 10 sprawdzając, czy każdy wirus nadaje się do testów (tj. czy jest w stanie zainfekować Windows 10).
  • Zarządza maszynami wirtualnymi.
  • Wykonuje automatyczne operacje testowania próbek wirusów na wszystkich produktach bezpieczeństwa w każdej maszynie.
  • Analizuje logi, przekazując je ze systemów gościa do hosta.
  • Zarządza logami testowanych rozwiązań bezpieczeństwa.
  • Po analizie każdej próbki wirusa wysyła informacje diagnostyczne do bazy danych.

Zarządca wykorzystuje interfejs API VMware do pilnowania, aby maszyny były uruchamiane w jednym czasie. Reaguje na błędy przy analizie i jeśli jest to konieczne, powtarza operacje (np. jeżeli z jakiegoś powodu system się zawiesi). Dzięki temu szkodliwe oprogramowanie ustawione jest w kolejce, więc mamy pewność, że wszystkie rozwiązania ochronne zostaną przetestowane w tym samym czasie na tej samej próbce wirusa.

Analizator

Jest to ważny element systemu testującego, który po pierwsze loguje zdarzenia wykonane w Windows 10 przez złośliwe oprogramowanie, a po drugie wychwytuje informacje o zareagowaniu produktu bezpieczeństwa na złośliwe oprogramowanie.

Logi ze systemu Windows zawierają m.in. informacje o tym, czy testowane rozwiązanie wykryło zagrożenie. W tym konkretnym przykładzie analizator „widzi”, że oprogramowanie Bitdefender przeniosło wirusa do kwarantanny.

Logi są generowane przy pomocy zewnętrznych narzędzi jak i systemowych.
Przykładowa aktywność jednej z próbek ransomware. Parser wykrył 796 potencjalnych wskaźników złośliwego oprogramowania.
Parser

Decyduje na podstawie wprowadzonych wytycznych, czy złośliwe oprogramowanie zainfekowało system, a także czy produkt bezpieczeństwa zareagował na wirusa. Skrypt przeszukuje logi pod kątem aktywności wirusów i reakcji produktu bezpieczeństwa na złośliwą aktywność. Zdobyte w ten sposób wskaźniki są przekazywane do bazy danych.

Strona internetowa

Dzięki stronie internetowej nie musimy ręcznie filtrować bazy danych. Z tego poziomu mamy dostęp do szczegółów z zaplecza administracyjnego. Dane diagnostyczne pozwalają wizualizować wyniki w postaci wykresów oraz tabelek.

Strona internetowa CheckLab.pl

CheckLab

PROFESSIONAL TESTING SERVICE

Partnerzy

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!

Treść serwisu prawnie chroniona © 2020 AVLab.pl |  Polityka prywatności