Dlaczego założyliśmy nową organizację ze stroną internetową www.CheckLab.pl?
Tajemnicze logo CheckLab od dłuższego czasu zajmuje widoczne miejsce w stopce portalu AVLab. Nie bez powodu, ponieważ jest to graficzne obwieszczenie profesjonalnej usługi testów bezpieczeństwa. Ten dedykowany portal w całości jest poświęcony wyłącznie jednej dziedzinie, która została ściśle ukierunkowana na techniczne aspekty testowania rozwiązań do ochrony stacji roboczych i komputerów osobistych.
Organizacja CheckLab została założona w lipcu 2019 roku przez działającą od 2012 roku firmę AVLab.pl w branży bezpieczeństwa teleinformatycznego. Podstawowym celem organizacji CheckLab jest testowanie przydatności zabezpieczeń oraz wydawanie certyfikatów potwierdzających skuteczność ochrony przed złośliwym oprogramowaniem i cyberatakami, a także dostarczanie wyników do informacji publicznej przy zapewnieniu maksymalnej transparentności testów. Tych dodatkowych informacji związanych z testami jest tak dużo, że postanowiliśmy przygotować osobną stronę internetową.
Aby wyjaśnić jak bardzo skomplikowana jest procedura automatyzacji testów, musimy opisać kilka problemów, z którymi zmagaliśmy się przy monitorowaniu w czasie rzeczywistym aktywności produktów antywirusowych i szkodliwego oprogramowania. Tak naprawdę poniżej opisujemy to, co należy zrobić, aby duże, międzynarodowe korporacje, które dostarczają swoje rozwiązania i usługi bezpieczeństwa dla biznesu, zainteresowały się taką małą firmą, jaką jest AVLab. Dodatkowo w tym artykule chcemy podzielić się wiedzą i jednocześnie uświadomić czytelników jak wiele zagadnień okazało się skomplikowanych i ile czasu musieliśmy poświęcić na problemy z pozoru błahe. Jest to nasz pierwszy tak duży projekt, dlatego dopiero podejście inżynieryjne ujawniło skalę trudności.
Wszystkie instrukcje na temat metodologii oraz wykorzystywanych w testach narzędzi zostały opublikowane na stronie internetowej https://checklab.pl, a także w anglojęzycznym odpowiedniku https://checklab.pl/en.
Nad projektem CheckLab pracowaliśmy łącznie ponad dwa lata. W tym czasie zdołaliśmy zaprogramować skrypty w językach NodeJS i Python, które zarządzają całą procedurą testów. Bardzo ważna jest także strona internetowa CheckLab.pl, która wizualizuje ciekawe dane z testów oraz wszystko to, co dzieje się w warstwie niewidocznej, czyli na zapleczu administracyjnym.
Środowisko testowe: VMware, Citrix czy VirtualBox?
Początki były trudne. Należało zacząć od wyboru hiperwizora do zarządzania maszynami. Ze względów licencyjnych wybraliśmy darmowy VirtualBox. Początkowo spełniał nasze wymagania — posiadał wszystko czego potrzebowaliśmy, czyli dostępu do migawek i zarządzania z linii komend. Ponadto VirtualBox jest oprogramowaniem bezpłatnym do użytku komercyjnego. Tak czy owak po kilku tygodniach testów, zarejestrowaliśmy zbyt wiele nieoczekiwanych błędów. Wirtualizator zawieszał się w losowych momentach. Nie radził sobie z zarządzaniem wieloma maszynami w jednym czasie. Technologia VirtualBox była niedopracowana i mało wydajna. Uważamy, że VirtualBox jest dobrym rozwiązaniem, ale do niedużych projektów albo do zastosowania domowego. Następnie sprawdziliśmy VMware Workstation Pro oraz Citrix XenServer. Zdecydowaliśmy się na VMware, ponieważ produkt był łatwiejszy w obsłudze, posiadał większe wsparcie społeczności i bardziej pasował do naszych wymagań.
Aplikacja uruchomiona w terminalu, którą widać po lewej stronie zrzutu ekranu, została napisana w językach programowania NodeJS i Python. Jej zadaniem jest m.in. optymalizacja dostępnych zasobów np. aby nie dochodziło do zawieszenia się systemów lub innych nieoczekiwanych przestojów.
Nasz system testujący może być uruchomiony na dowolnej dystrybucji Linux. Nawet na domowym komputerze, który udźwignie przynajmniej jeden system wirtualny. W obecnej wersji aplikacja jest skalowalna, dlatego może wykorzystywać dostępne zasoby na tradycyjnym serwerze dedykowanym lub na serwerze w chmurze. Przy kilkudziesięciu maszynach działających w jednym czasie duża moc obliczeniowa jest niezbędna. Już z doświadczenia wiemy, że najważniejsze są bardzo szybkie dyski. Dyski talerzowe typu SAS Enterprise mają zbyt małą przepustowość. Podobnie z dyskami SSD SATA III. Najlepiej sprawdzają się komercyjne dyski NVMe, które są dostępne w ofercie np. OVH, Hetzner albo Oktawave. Dużą rolę odgrywa procesor i pamięć RAM. Im więcej zasobów, tym wydajniej może działać system gościa. W obecnej chwili dysponujemy serwerem o kilkudziesięciu rdzeniach CPU, bardzo szybkich dyskach i wystarczającej ilości pamięci RAM, aby uruchomić wiele maszyn w jednym czasie.
System testujący składa się z kilku komponentów
Cała aplikacja testująca jest jak jeden organizm zbudowany z poszczególnych elementów, w którym każdy działa osobno i jednocześnie współpracuje z pozostałymi. Stworzyliśmy tak naprawdę aplikację, która robi dokładnie to samo co człowiek, lecz nieporównywalnie szybciej i wydajniej, ponieważ w jednym czasie może zarządzać nieograniczoną ilością maszyn wirtualnych — wykonuje dużą ilość operacji, gdyż nie jest ograniczony ludzką biomechaniką.
Elementy, z których składa się nasza aplikacja do testów, to:
Lokalny serwer DNS i HTTP/S
Lokalny serwer DNS i HTTP/S odpowiada za „wystawienie” próbki złośliwego oprogramowania pod losowy adres URL, który będzie przekazany do komponentu zarządzającego testami. Z tego adresu URL będzie pobierany wirus do systemu operacyjnego przez przeglądarkę Chrome.
Sieci honeypotów
Próbki wykorzystywane w naszych testach pochodzą z ataków na honeypoty. Są to pułapki, których zadaniem jest udawanie celu podatnego na ataki i przechwytywanie złośliwego oprogramowania. Wykorzystujemy honeypoty niskointeraktywne i wysokointeraktywne. Wszystkie z nich symulują usługi takie jak: SSH, HTTP, HTTPS, SMB, FTP, TFTP, rzeczywisty system Windows i serwer poczty. Korzystamy także z publicznych feedów ze złośliwym oprogramowaniem.
Importer
Jest to ten element aplikacji, który raz na dobę loguje się do honeypotów i pobiera przechwycone szkodliwe oprogramowanie. Następnie oblicza sumę kontrolną każdego pliku i porównuje z tymi w bazie danych. Odbiorcy naszych testów mają pewność, że nigdy nie będziemy analizować dwóch takich samych wirusów.
Zarządca
Jest to najważniejszy element aplikacji. Automatyzuje całą procedurę testów:
- Zarządza sieciami honeypotów.
- Zarządza pobieraniem złośliwego oprogramowania.
- Analizuje złośliwe oprogramowanie w Windows 10 sprawdzając, czy każdy wirus nadaje się do testów (tj. czy jest w stanie zainfekować Windows 10).
- Zarządza maszynami wirtualnymi.
- Wykonuje automatyczne operacje testowania próbek wirusów na wszystkich produktach bezpieczeństwa w każdej maszynie.
- Analizuje logi, przekazując je ze systemów gościa do hosta.
- Zarządza logami testowanych rozwiązań bezpieczeństwa.
- Po analizie każdej próbki wirusa wysyła informacje diagnostyczne do bazy danych.
Zarządca wykorzystuje interfejs API VMware do pilnowania, aby maszyny były uruchamiane w jednym czasie. Reaguje na błędy przy analizie i jeśli jest to konieczne, powtarza operacje (np. jeżeli z jakiegoś powodu system się zawiesi). Dzięki temu szkodliwe oprogramowanie ustawione jest w kolejce, więc mamy pewność, że wszystkie rozwiązania ochronne zostaną przetestowane w tym samym czasie na tej samej próbce wirusa.
Analizator
Jest to ważny element systemu testującego, który po pierwsze loguje zdarzenia wykonane w Windows 10 przez złośliwe oprogramowanie, a po drugie wychwytuje informacje o zareagowaniu produktu bezpieczeństwa na złośliwe oprogramowanie.
Parser
Decyduje na podstawie wprowadzonych wytycznych, czy złośliwe oprogramowanie zainfekowało system, a także czy produkt bezpieczeństwa zareagował na wirusa. Skrypt przeszukuje logi pod kątem aktywności wirusów i reakcji produktu bezpieczeństwa na złośliwą aktywność. Zdobyte w ten sposób wskaźniki są przekazywane do bazy danych.
Strona internetowa
Dzięki stronie internetowej nie musimy ręcznie filtrować bazy danych. Z tego poziomu mamy dostęp do szczegółów z zaplecza administracyjnego. Dane diagnostyczne pozwalają wizualizować wyniki w postaci wykresów oraz tabelek.
Szczegółowa metodologia
Jest to artykuł opisujący genezę powstawania projektu CheckLab. Nie chcemy, aby był przepełniony technicznymi informacjami, ponieważ jest ich bardzo dużo. Szczegółową metodologię można znaleźć na stronie https://checklab.pl w sekcji:
- FAQ: https://checklab.pl/faq
- Metodologia w trzech krokach:
- Pozyskiwanie wirusów z honeypotów: https://checklab.pl/metodologia/pozyskiwanie-wirusow-z-honeypotow
- Analizowanie logów systemowych: https://checklab.pl/metodologia/analizowanie-logow-systemowych
- Metody wykonywania automatycznych testów: https://checklab.pl/metodologia/metody-wykonywania-automatycznych-testow
- Ostatnie wynik: https://checklab.pl/wyniki
- Przyznane nagrody: https://checklab.pl/nagrody
Te problemy dały nam w kość
Było trudno. Czasami bardzo trudno. Nie raz utknęliśmy w martwym punkcie. Nie poddawaliśmy się. Wymagało to dziesiątek godzin testowania, sprawdzania wielu ustawień w systemie i poprawiania skryptów do automatyzacji.
Problemy, które najbardziej dały nam w kość, opisujemy poniżej. Prosimy, aby mieć na uwadze, że prawdopodobnie nie wszystkie zdarzenia występują przy normalnym korzystaniu z komputera. Te niespodzianki dawały o sobie znać wówczas, jeżeli chcieliśmy zautomatyzować wszystkie czynności za pomocą VMware API:
- Wyłączenie UAC w panelu sterowania nie było respektowane przy niektórych rozszerzeniach plików-wirusów. Rozwiązaniem problemu okazało się wyłączenie UAC w rejestrze Windows. W przeciwnym wypadku nie mogliśmy pominąć potwierdzenia UAC za pomocą API VMware.
- Pobieranie złośliwego oprogramowania przez przeglądarkę Chrome było jedną z najtrudniejszych procedur do zautomatyzowania. Dlaczego? Jeżeli plik zawiera dowolne rozszerzenie, to w nowych wersjach Chrome (także w Firefox) nie jest możliwe wyłączenie okna informującego o szkodliwości pliku — nawet po wyłączeniu flagi w chrome://settings odpowiadającej za bezpieczeństwo.
- Maszyny są zarządzane przez API oprogramowania VMware. Problem w tym, że dokładnie nie wiadomo, kiedy po zalogowaniu do systemu usługa sieciowa zostaje całkowicie uruchomiona. W związku z tym nie było możliwe zautomatyzowanie kroków od uruchomienia przeglądarki do pobrania wirusa z parametrem: „
chrome.exe hxxp://IP/malware_sampledoc
”. Ten sposób nie działał, ponieważ usługa sieciowa w pierwszych sekundach po zalogowaniu nie była gotowa do pracy. - Wyłączenie antywirusa Windows Defender przynosiło efekty dopiero po zmianie opcji w Edycji Grupy. Antywirus przeszkadzałby w analizowaniu złośliwego oprogramowania i wysyłał pliki do chmury Microsoft. Tego nie chcieliśmy. Jedna z maszyn pełni funkcję systemu-piaskownicy bez produktu zabezpieczającego. Analizujemy tu szkodliwe oprogramowanie pod kątem złośliwej aktywności, dlatego natywna ochrona firmy Microsoft przeszkadzałaby w testach.
- Uruchamianie wirusów przez API nie było optymalną metodą odwzorowania sytuacji prawdziwej. Zamiast tego poprawiliśmy się i obecnie robimy to tak, jakby użytkownik uruchamiał dowolne programy w systemie, klikając w foldery i aplikacje.
- Logowanie pewnych zdarzeń nie było możliwe, jeżeli akcje były wykonywane z uprawnieniami ring(-1) z poziomu API VMware. Hipernadzorca działa „poniżej” systemu Windows, dlatego niektóre zdarzenia nie mogą być zapisane w Windows. Zrezygnowaliśmy z robienia czegokolwiek za pomocą tej metody. Zamiast tego skupiliśmy się na procesach i usługach w Windows, które natywnie uruchamiają złośliwe oprogramowanie i analizują logi.
- Wykorzystanie darmowego rozwiązania do analizy logów okazało się zbyt skomplikowane lub niemożliwe, mając na uwadze nasze wymagania. Potrzebowaliśmy narzędzia, które będzie robiło konkretne rzeczy — nie tylko analizowało zdarzenia złośliwego oprogramowania, ale przede wszystkim wykrywało reakcję produktu na złośliwy plik (np. to, czy antywirus wyświetlił okienko ostrzegawcze albo przeniósł plik do kwarantanny).
- Testy z wieloma produktami bezpieczeństwa wymagały serwera dedykowanego, co niestety znacznie podnosiło koszty projektu. W tej chwili nasza aplikacja testująca sama zarządza dostępnymi zasobami i uruchamia optymalną ilość maszyn w jednym czasie — tak na wypadek, aby nie doszło do nieplanowanego zawieszenia się systemu albo hipernadzorcy.
CheckLab.pl — efekty ponad 1000 godzin pracy
Efekty naszej pracy można zobaczyć na stronie internetowej https://checklab.pl. Dostępna jest również wersja anglojęzyczna https://checklab.pl/en.
Załączamy kilka zrzutów ekranu z zaplecza administracyjnego. Nie możemy pokazać wszystkiego, ponieważ zaprogramowanie niektórych komponentów kosztowało mnóstwo pieniędzy, więc są objęte tajemnicą przedsiębiorstwa.
Poniżej załączamy przykładowy wynik z działania systemu testującego. Dzięki takim szczegółom każdy producent będzie mógł przeanalizować wszystkie nieścisłości dla każdej z testowanych próbek złośliwego oprogramowania. W poniższym przykładzie podajemy wynik z testów Avast Free Antivirus.
[2019-07-23 17:09:57.120] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Fetching snapshots for machine [2019-07-23 17:09:57.617] [DEBUG] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Does snapshot przed exists? Answer: true [2019-07-23 17:09:57.618] [DEBUG] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Snapshot przed found [2019-07-23 17:09:58.034] [DEBUG] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Does snapshot przed_2019-07-22 exists? Answer: false [2019-07-23 17:09:58.442] [DEBUG] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Does snapshot przed_2019-07-23 exists? Answer: true [2019-07-23 17:09:58.443] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Prepare to restore snapshot: przed_2019-07-23 [2019-07-23 17:09:58.864] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Snapshot has been restored [2019-07-23 17:09:58.865] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] Start tests! [2019-07-23 17:09:58.866] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Prepare to restore snapshot: przed_2019-07-23 [2019-07-23 17:09:59.300] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Snapshot has been restored [2019-07-23 17:09:59.301] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Going to start VM [2019-07-23 17:10:08.093] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - VM has been started [2019-07-23 17:10:08.095] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Wait for it, next copyWhiteList function call in: in 2 minutes, countdown... [2019-07-23 17:10:38.101] [DEBUG] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Wait for next copyWhiteList function call for: in 2 minutes [2019-07-23 17:11:08.099] [DEBUG] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Wait for next copyWhiteList function call for: in a minute [2019-07-23 17:11:38.102] [DEBUG] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Wait for next copyWhiteList function call for: in a few seconds [2019-07-23 17:12:08.098] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] Starting copy whitelist files from /home/test/BackEnd-develop/src/vmwarerunner/whitelist to C:UsersperunDocumentsavobserwator [2019-07-23 17:12:08.107] [DEBUG] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] Found 1 files to copy [2019-07-23 17:12:08.950] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] Starting download gFY6J_2019-07-23_exe from http://micro51139soft.com/sandbox/2019-07-23/gFY6J_2019-07-23_exe to C:UsersperunDownloads [2019-07-23 17:12:20.845] [WARN] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] Chrome killed, file should be downloaded and saved [2019-07-23 17:12:20.847] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] Start checking if file: gFY6J_2019-07-23_exe exists in C:UsersperunDownloadsgFY6J_2019-07-23_exe [2019-07-23 17:12:21.390] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File gFY6J_2019-07-23_exe has been checked and it's in path C:UsersperunDownloadsgFY6J_2019-07-23_exe [2019-07-23 17:12:21.391] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] Starting move gFY6J_2019-07-23_exe from C:UsersperunDocumentsavsrc to C:UsersperunDocumentsavdst [2019-07-23 17:12:22.872] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File gFY6J_2019-07-23_exe moved to C:UsersperunDocumentsavdst as gFY6J_2019-07-23_exe.exe [2019-07-23 17:12:22.873] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] Start checking if file: gFY6J_2019-07-23_exe exists in C:UsersperunDocumentsavdstgFY6J_2019-07-23_exe.exe [2019-07-23 17:12:23.470] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File gFY6J_2019-07-23_exe has been checked and it's in path C:UsersperunDocumentsavdstgFY6J_2019-07-23_exe.exe [2019-07-23 17:12:23.471] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] Start runObserver, timeout: 5 minutes [2019-07-23 17:12:24.143] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Wait for it, next runSample function call in: in a few seconds, countdown... [2019-07-23 17:12:36.152] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] Starting sample: gFY6J_2019-07-23_exe.exe [2019-07-23 17:12:38.029] [DEBUG] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] Sample executed [2019-07-23 17:12:38.029] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Wait for it, next finishObserver function call in: in 5 minutes, countdown... [2019-07-23 17:13:08.032] [DEBUG] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Wait for next finishObserver function call for: in 5 minutes [2019-07-23 17:13:38.034] [DEBUG] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Wait for next finishObserver function call for: in 4 minutes [2019-07-23 17:14:08.036] [DEBUG] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Wait for next finishObserver function call for: in 4 minutes [2019-07-23 17:14:38.037] [DEBUG] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Wait for next finishObserver function call for: in 3 minutes [2019-07-23 17:15:08.038] [DEBUG] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Wait for next finishObserver function call for: in 3 minutes [2019-07-23 17:15:38.039] [DEBUG] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Wait for next finishObserver function call for: in 2 minutes [2019-07-23 17:16:08.041] [DEBUG] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Wait for next finishObserver function call for: in 2 minutes [2019-07-23 17:16:38.043] [DEBUG] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Wait for next finishObserver function call for: in a minute [2019-07-23 17:17:08.044] [DEBUG] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Wait for next finishObserver function call for: in a few seconds [2019-07-23 17:17:41.965] [DEBUG] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] Observer terminated [2019-07-23 17:17:47.638] [DEBUG] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] Report converted [2019-07-23 17:17:48.208] [DEBUG] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] We are going to copy raport_timeline.csv file to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/gFY6J_2019-07-23_exe.report.csv [2019-07-23 17:17:50.969] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File copied as /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/gFY6J_2019-07-23_exe.report.csv [2019-07-23 17:17:50.970] [DEBUG] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] Moving sample file from /home/test/BackEnd-develop/src/../malware/sandbox/2019-07-23/gFY6J_2019-07-23_exe to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/gFY6J_2019-07-23_exe [2019-07-23 17:17:50.972] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File gFY6J_2019-07-23_exe successfully moved from pre_sandbox to sandbox [2019-07-23 17:17:50.973] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] Starting to parse report /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/gFY6J_2019-07-23_exe.report.csv [2019-07-23 17:17:52.435] [DEBUG] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] Report parsed, and have 228 indicators [2019-07-23 17:17:53.647] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogAmsi.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogAmsi.log [2019-07-23 17:17:54.408] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastloganen.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastloganen.log [2019-07-23 17:17:55.050] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogarpot.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogarpot.log [2019-07-23 17:17:55.708] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogaswAr.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogaswAr.log [2019-07-23 17:17:56.876] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogAvastSvc.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogAvastSvc.log [2019-07-23 17:17:57.751] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogAvastUI.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogAvastUI.log [2019-07-23 17:17:58.380] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogBCUEngine-trace.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogBCUEngine-trace.log [2019-07-23 17:17:59.021] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogBrowser-Cleanup.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogBrowser-Cleanup.log [2019-07-23 17:17:59.658] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogBugReport.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogBugReport.log [2019-07-23 17:18:00.285] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogBugReport.status copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogBugReport.status [2019-07-23 17:18:00.910] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogccr.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogccr.log [2019-07-23 17:18:01.550] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogCommChannel.Protocol.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogCommChannel.Protocol.log [2019-07-23 17:18:02.176] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogcommonpriv.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogcommonpriv.log [2019-07-23 17:18:02.819] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogcommonpriv.log.lock copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogcommonpriv.log.lock [2019-07-23 17:18:03.456] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogdetections.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogdetections.log [2019-07-23 17:18:05.019] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogevent_manager.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogevent_manager.log [2019-07-23 17:18:05.753] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogFilterEngine.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogFilterEngine.log [2019-07-23 17:18:06.377] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogFwServ.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogFwServ.log [2019-07-23 17:18:07.033] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogHns.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogHns.log [2019-07-23 17:18:07.798] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogHtmlRemoteContent.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogHtmlRemoteContent.log [2019-07-23 17:18:08.532] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogidp-removal.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogidp-removal.log [2019-07-23 17:18:09.218] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogidp2.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogidp2.log [2019-07-23 17:18:09.892] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogidpagent.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogidpagent.log [2019-07-23 17:18:10.827] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogidpagent.log.1 copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogidpagent.log.1 [2019-07-23 17:18:11.880] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogidpagent.log.2 copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogidpagent.log.2 [2019-07-23 17:18:12.613] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogidpagent.log.lock copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogidpagent.log.lock [2019-07-23 17:18:13.426] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogidpagentdetection.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogidpagentdetection.log [2019-07-23 17:18:14.160] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogidpagentdetection.log.lock copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogidpagentdetection.log.lock [2019-07-23 17:18:14.788] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogidpagentmonitor.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogidpagentmonitor.log [2019-07-23 17:18:15.520] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogidpagentmonitor.log.lock copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogidpagentmonitor.log.lock [2019-07-23 17:18:16.143] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogidpluascript.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogidpluascript.log [2019-07-23 17:18:16.801] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogidpluascript.log.1 copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogidpluascript.log.1 [2019-07-23 17:18:17.424] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogidpluascript.log.lock copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogidpluascript.log.lock [2019-07-23 17:18:18.115] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogjs_console.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogjs_console.log [2019-07-23 17:18:18.831] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastloglim.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastloglim.log [2019-07-23 17:18:19.457] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogmywin.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogmywin.log [2019-07-23 17:18:20.116] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogopm.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogopm.log [2019-07-23 17:18:20.739] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogprod_lis.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogprod_lis.log [2019-07-23 17:18:21.364] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogpsi.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogpsi.log [2019-07-23 17:18:21.987] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogpsi.log.lock copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogpsi.log.lock [2019-07-23 17:18:22.616] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogremoval.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogremoval.log [2019-07-23 17:18:23.348] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogremoval.log.lock copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogremoval.log.lock [2019-07-23 17:18:23.974] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogRep.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogRep.log [2019-07-23 17:18:24.598] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogscans.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogscans.log [2019-07-23 17:18:25.239] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogsecapi.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogsecapi.log [2019-07-23 17:18:25.974] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogsecapi.log.lock copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogsecapi.log.lock [2019-07-23 17:18:26.595] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogselfdef.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogselfdef.log [2019-07-23 17:18:27.223] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogStreamFilter.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogStreamFilter.log [2019-07-23 17:18:27.865] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogStreamingUpdate.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogStreamingUpdate.log [2019-07-23 17:18:28.489] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogszb.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogszb.log [2019-07-23 17:18:29.111] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogUITracking.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogUITracking.log [2019-07-23 17:18:29.739] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogUrlInfoQuery.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogUrlInfoQuery.log [2019-07-23 17:18:30.363] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogvps.1.etl copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogvps.1.etl [2019-07-23 17:18:31.004] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogvps.2.etl copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogvps.2.etl [2019-07-23 17:18:31.628] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogvps.3.etl copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogvps.3.etl [2019-07-23 17:18:32.253] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogvps.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogvps.log [2019-07-23 17:18:32.943] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:ProgramDataAVAST SoftwareAvastlogwsc.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:ProgramDataAVAST SoftwareAvastlogwsc.log [2019-07-23 17:18:32.944] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] Indicators extracted, saving them into db [2019-07-23 17:18:39.463] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] Indicators saved in database [2019-07-23 17:18:39.464] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] Saving summary of indicators into db for Avast Free Antivirus [2019-07-23 17:18:39.535] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] Summary saved in database [2019-07-23 17:18:39.536] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] Finished test [2019-07-23 17:18:39.536] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Going to shutdown VM
Działanie naszego systemu testującego w praktyce
Etap pierwszy — weryfikacja próbki. Aplikacja testująca uruchamia analizator:Sandbox. Jest to normalny system operacyjny pozbawiony ochrony, w którym sprawdzamy, czy próbki złośliwego oprogramowania mogą przejść do następnego etapu (muszą być w stanie zainfekować system).
Etap drugi — testowanie antywirusów. Aplikacja testująca uruchamia analizator:Testing. Jeżeli próbka była złośliwa, to jest poddawana testom bezpieczeństwa z zainstalowanymi rozwiązaniami do ochrony stacji roboczych.
Specjalne podziękowania
Przemysław Czekaj z ProCoder.pl
Szczególne podziękowania kierujemy do Przemysława Czekaja z firmy ProCode za zaprogramowanie całego backendu na podstawie wytycznych, a także za wniesienie dodatkowego know-how. Profesjonalne podejście do realizowanego projektu od fazy planowania, po testowanie i wdrożenie, aktywną pomoc i doradztwo z zakresu funkcjonowania i usprawniania aplikacji. To zasługuje na wyróżnienie! Zaangażowanie Przemysława w budowę i rozwój projektu pozwala nam w dalszym ciągu współpracować. Potrzebowaliśmy prawdziwego fachowca i z takim udało się nawiązać współpracę. Rekomendujemy Przemysława za bardzo dobrą znajomość systemu Linux — jako eksperta z zakresu projektowania aplikacji, programowania, korzystania z API zewnętrznych produktów.
Rafał Pogroszewski z CreLab.pl
Dziękujemy Rafałowi Pogroszewskiemu za przygotowanie graficzne strony, logotypu i certyfikatów CheckLab. Z Rafałem aktywnie współpracujemy na AVLab. Rekomendujemy jego firmę CreLab za bardzo dobre podejście do klienta — skrupulatne badanie wymagań przed i w trakcie realizacji projektu graficznego.
Robert Grzegorzak z RoburStudio.com
Dziękujemy Robertowi Grzegorzakowi za pomoc w konfiguracji strony internetowej. Z Grzegorzem współpracowaliśmy kilka lat na AVLab.
Firma SmartBees.pl
Dziękujemy firmie SmartBees.pl, która powiązała stronę internetową z zapleczem administracyjnym. Na podstawie encji z bazy danych wdrożyli wizualizację wykresów, tabelek i innych szczegółów. Dzięki ich pracy możliwe jest obserwowanie wyników na wykresach i tabelkach, które są teraz zrozumiałe dla człowieka.
Bartłomiej Hawrot z AVLab.pl
Dziękujemy Bartłomiejowi Hawrotowi za wielokrotne przygotowywanie serwera dedykowanego z różną konfiguracją i nieustanną opiekę techniczną. I to już od kilku lat. Jego wiedza jest nieoceniona, a zdobyte doświadczenie przy zarządzaniu i konfiguracji stron rządowych przekłada się na bezpieczeństwo i wydajności naszych serwerów.
Mateusz Kurlit z AVLab.pl
Podziękowania kierujemy do Mateusza Kurlita za przygotowywanie strony CheckLab w wersji angielskiej. Z Mateuszem współpracujemy od kilku lat przy tłumaczeniu prawie wszystkiego, jeśli chodzi o artykuły i testy.
Podziękowania kierujemy też do pozostałych osób , które przekazywały swoją wiedzę i chciały pozostać anonimowe.
Jakie mamy plany na przyszłość?
Plany są ambitne, ale wymagają czasu i środków. Przede wszystkim chcemy dostarczać firmom dodatkowe usługi. W testach chcemy uzupełnić wektor przesyłania złośliwego oprogramowania o kolejne protokoły. Na pewno znacznie skomplikuje to automatyzację, dlatego potrzebujemy czasu i dodatkowego budżetu. Chcemy ulepszyć funkcjonalność analizatora wirusów i logowania zdarzeń w Windows za pomocą publicznego oprogramowania Sysmon. Chcielibyśmy oddać do rąk użytkowników interfejs do przesyłania plików. Takie pliki mogłyby być dodawane do naszych testów. Ale przede wszystkim nie chcemy tworzyć drugiego portalu VirusTotal.
Przy okazji różnych kampanii ze spamem na wielu technicznych portalach da się przeczytać, że „tylko kilka antywirusów wykrywa zagrożenie”. Jest to półprawda, ponieważ VirusTotal nie powinien być używany do wydawania takich opinii. W związku z tym osoba nietechniczna, która czyta takie informacje, może dojść do błędnego przekonania, że nie warto inwestować w bezpieczeństwo.
Udowodnimy poniżej, że wynik ze skanowania na VirusTotal nie ma wiele wspólnego z rzeczywistym reagowaniem na uruchamiane zagrożenia w prawdziwym systemie operacyjnym. Podobne doświadczenie przeprowadziliśmy w kwietniu 2019 roku. Przydało się ono do zaprezentowania faktów dotyczących rzetelnego testowania. Na konferencji Check Point Experience 2019 w Łodzi udowodniliśmy, że VirusTotal jest pomocny w analizie złośliwego oprogramowania, ale kompletnie nie nadaje się do przeprowadzania nawet amatorskich testów, ponieważ:
Zastosowane w VirusTotal silniki antywirusowe działają z linii poleceń. W związku z tym mogą nie mieć dostępu do funkcjonalności, które wchodzą w skład prawdziwych pakietów zabezpieczających. Udowadnia to praktyczne podejście do testowania. Na przykład złośliwe oprogramowanie, które będzie zablokowane przez moduł firewall, w prawdziwym scenariuszu nie będzie zablokowane przez silnik antywirusowy na VirusTotal.
Jak czytamy w oficjalnym dokumencie, silniki antywirusowe na VirusTotal są wersjami binarnymi, działającymi z linii poleceń. Nie będą zachowywać się dokładnie tak samo jak wersje, które instalujemy na komputerach. Czyli mówiąc inaczej używane silniki na VirusTotal zazwyczaj nie posiadają zapory ogniowej, skanowania w chmurze, piaskownicy, HIPS, DLP, blokowania wirusów skryptowych i innych modułów.
W VirusTotal jesteśmy zmęczeni powtarzaniem, że usługa nie została zaprojektowana jako narzędzie do przeprowadzania antywirusowych analiz porównawczych, ale jako narzędzie, które sprawdza podejrzane próbki za pomocą kilku rozwiązań antywirusowych i pomaga laboratoriom antywirusowym, przesyłając im szkodliwe oprogramowanie, które nie wykrywają. Osoby korzystające z VirusTotal do przeprowadzania antywirusowych analiz porównawczych powinny wiedzieć, że popełniają wiele ukrytych błędów w swojej metodologii.
Z tego powodu dołączamy się do prośby serwisu VirusTotal i uczulamy, aby nie wydawać nieprawdziwych opinii o produktach zabezpieczających.
To jest pierwszy istotny powód, który pokazuje, aby nie kierować się opinią ze skanowania VirusTotal. Drugi powód prawdopodobnie jest bardziej istotny, ale nie jest udokumentowany:
Wrzucane złośliwe oprogramowanie przez panel internetowy do serwisu VirusTotal NIE JEST URUCHAMIANE w określonych przypadkach. Przeprowadzana jest statyczna analiza pliku tj. obliczane są sumy kontrolne, wyodrębniane są biblioteki DLL, funkcje Windows API są pokazywane, powiązania z innymi złośliwymi kampaniami są ujawniane. Każdy plik jest skanowany przez silnik antywirusowy, jednak analiza dynamiczna jest wykonywana tylko dla plików binarnych. W związku z tym przeanalizowane pliki EXE pokażą aktywność wirusa, ale np. skrypty .VBS, złośliwe faktury .PDF albo makrowirusy w pikach .DOCX już nie zawsze.
My w swoich testach bezpieczeństwa uruchamiamy każdy złośliwy plik i wykorzystujemy prawdziwe wersje programów antywirusowych, czyli te które są instalowane przez użytkowników na ich komputerach. Następnie zbieramy logi z całego systemu Windows: z aktywności złośliwego oprogramowania i reagowania testowanego produktu na zagrożenie. Dzięki temu nasze testy są popularne i cieszą się dobrą opinią wśród społeczności oraz samych producentów rozwiązań ochronnych.
Jeszcze tylko jedna myśl
Całkowity koszt projektu nieznacznie przekroczył 100 000 PLN. Trudno powiedzieć czy to dużo, czy mało. Na pewno to zależy od zasobności budżetu. W naszej mikro skali jest to bardzo dużo. Inwestycja została sfinansowana z prywatnych pieniędzy (bez dotacji). Teraz tylko czekamy na realizację testów z korzyścią dla internautów, producentów oraz naszego małego biznesu.
Zachęcamy do odwiedzania strony internetowej https://checklab.pl, która w całości poświęcona jest testom bezpieczeństwa. Prosimy też nie zapominać o https://avlab.pl, który od 2012 roku nieprzerwanie pełni ważną rolę edukacyjną.
Czy ten artykuł był pomocny?
Oceniono: 0 razy