Redakčný test antimalvérového riešenia ESET Internet Security

Otestovali sme fungovanie riešenia od ESETu na ochranu pred škodlivým kódom a ďalšími hrozbami prichádzajúcimi z internetu, hlavne z príloh elektronickej pošty, prípadne škodlivého kódu, ktorý si do počítača „zavlečiete“ na prenosných pamäťových médiách USB.

Takýto test je časovo náročný a, samozrejme, treba zvoliť vhodnú metodiku, aby prebiehal v izolovanom prostredí. Je nevyhnutné počítať aj s možnosťou, že s niektorou z nových, mimoriadne rafinovaných hrozieb si ani renomované bezpečnostné riešenie neporadí. Ďalšia požiadavka, ktorú som stanovil, je tá, že test sa musí uskutočniť v reálnych podmienkach. Aplikovať v počítači vlastnú zbierku alebo niektorú zo známych zbierok vírusov nemá význam, tieto vírusy už dodávateľ antimalvérového riešenia určite otestoval. Pri teste som sa preto zameral na reálne a hlavne aktuálne hrozby. Test prebiehal na mojom redakčnom e-mailovom účte. Metodika by sa dala zhrnúť jednou vetou: budem sa správať nezodpovedne ako zvedavý laický používateľ, ktorý je dôverčivý, takže otvorí každú prílohu e-mailov, ktoré mu prišli. Sám z vlastného podnetu som nerobil nič rizikové, nenavštevoval som podozrivé stránky, nesťahoval som aplikácie ani multimediálne súbory z ruských, či ázijských torrentov ani nič podobné. 

 Bolo však treba vyriešiť, ako takýto test urobiť bezpečne. Počítač, ktorý používam denne na prácu a na ktorom aj čítam a vybavujem e-maily, mám prepojený s viacerými cloudovými účtami, s ktorými sa synchronizuje všetok obsah okrem multimédií. Tie sa zasa synchronizujú s domácim NAS serverom. Takže keby náhodou cez antimalvérovú ochranu prenikol nejaký ransomvér, ktorý šifruje dokumenty a súbory, synchronizačný mechanizmus by sa postaral o to, aby boli takto znehodnotené aj ich kópie v cloude. Preto som v aplikácii Outlook vytvoril priečinok Karanténa, do ktorého som presúval všetky podozrivé e-maily. Na druhom počítači, na ktorom som plánoval simulovať nezodpovedné správanie, som nainštaloval len operačný systém, aplikáciu Adobe Reader, pretože mnoho falošných súborov sa maskuje ako PDF, a takisto aplikácie balíka Office. Tie som neinštaloval z predplateného Office 365, aby som nemusel prihlásiť testovaný počítač do cloudového konta, ale z inštalačných súborov. No a nainštaloval som, samozrejme, ESET Internet Security. Toto bezpečnostné riešenie eliminuje rôzne typy hrozieb vrátane vírusov, rootkitov a spajvéru a blokuje malvér, ktorý sa pokúša zašifrovať vaše dáta. Takisto chráni počítač pred pokusmi falošných stránok získať prístup k súkromným údajom, ako sú heslá či detaily platobných kariet. Testovaný počítač bol pripojený k internetu a k môjmu redakčnému účtu. Vždy, keď som na pracovnom počítači presunul podozrivý e-mail do karantény, v najkratšom možnom čase som otvoril jeho prílohy na druhom, testovacom počítači.

Podozrivé e-maily v karanténe. Screenshot je z pracovného počítača, kde som prílohy neotváral.
 

Počas mesiaca testovania od 10. 12. 2018 do 10. 1. 2019 sa v zložke Karanténa ocitlo 9 e-mailov, všetky s prílohami. Do testu som nezaradil notoricky známe e-maily typu „vaše iCloud konto čoskoro exspiruje, prihláste sa (na podvodnej stránke) a predĺžte si ho“. Rovnako ani správy, ktoré predstierali, že sú zo slovenských bánk, a žiadali heslá na internet banking. Metodika testovania bola založená na princípe, že používateľ sa bude správať dôverčivo a nezodpovedne, no nie je úplne hlúpy.  Na testovanom počítači som pri inštalácii antimalvérového riešenia aktivoval aj ochranu bankovníctva a online platieb, ktorá pridáva ďalšiu bezpečnostnú vrstvu do internetového prehliadača. Tá vytvorí izolovaný sandbox, brániaci iným aplikáciám, aby mali prístup do tohto procesu. Iné aplikácie potom nemôžu zisťovať zoznam navštívených stránok ani skenovať znaky zadávané na klávesnici a zisťovať tak používateľské mená, heslá či čísla kreditných kariet. Po začiatku testu som sa, samozrejme, na reálny internetbanking už nikdy neprihlasoval.

Musím konštatovať, že ani v jednom prípade som sa pri identifikácii podozrivého mailu nemýlil. Každý z nich obsahoval prílohu, po ktorej  otvorení bezpečnostné riešenie ESET Internet Security zareagovalo, hrozbu identifikovalo a eliminovalo. Príloha s názvom Swift Copy.xlsx v e-mailovej správe od firmy Baishanggang Industry (s ktorou takmer denne obchodujem – to bol, pravdaže, žart) obsahovala malvér typu trójskeho koňa VBA/Trojan Downloader Agent. ESET Internet Security oznámil, že súbor bol vyliečený. Ten istý typ škodlivého kódu, ale rôzne jeho varianty boli ukryté aj v dokumentoch Word. Samozrejme, zaujímalo ma, ako sa bude príloha e-mailu správať po vyliečení. Dokumenty sa v aplikáciách Excel, resp. Word dali otvoriť, pričom v ich obsahu bola rôznym spôsobom zakomponovaná výzva, aby používateľ tlačidlom Enable Editing (Povoliť úpravy) prešiel z chráneného do normálneho režimu. Po vyliečení súborov som výzvu poslúchol a nič sa nestalo, dokument sa zobrazil rovnako ako v chránenom režime. V zmysle pravidla „dôveruj, ale preveruj“ som začal analyzovať obsah dokumentov. Znie to zložito, ale je to veľmi jednoduché. Stačí v dokumente s príponou .docx, alebo .xlsx premenovať príponu na .zip a takto odmaskovaný skomprimovaný priečinok otvoriť. Obsahuje hlavne súbory XML, obrázky a niekoľko ďalších súborov. Nič podozrivé som tam nenašiel.  

Príklad identifikovania hrozby
 

V ďalšom e-maile od „Google“, ktorý prišiel z adresy info@asahi21.sakura.ne.jp (čudné, že v Google už konečne nezriadia pre zamestnancov vlastnú doménu J ), bolo upozornenie o hodnotnej výhre s dodatkom, že podrobnosti sú v priloženom súbore PDF. Pri jeho otváraní antimalvér identifikoval hrozbu typu PDF/Fraud_AHN a avizoval, že súbor bol odstránený. Neúspešný pokus o opätovné otvorenie súboru PDF v prílohe túto informáciu potvrdil. V niekoľkých e-mailoch boli skomprimované súbory nazvané rôzne, napríklad Project + Order Book. Súbory s príponou ZIP sa dajú rozbaliť priamo pomocou prieskumníka. Po ich rozbalení som zistil, že obsahujú jednu alebo viac aplikácií. V súlade so zvolenou metodikou som ich spustil. ESET identifikoval, že ide o hrozby typu Win32/Injector ECMC a súbory z priečinka, kam som ich rozbalil, vymazal. Pokus som zopakoval ešte raz, znovu som rozbalil archív zip. Potom som sa pokúsil takto vzniknutý priečinok prekopírovať. ESET zareagoval, len čo som po označení priečinka použil klávesovú skratku Ctrl + C, a oznámil mi, že súbory vymazal. Na otvorenie archívu typu RAR som použil prvú z ponúkaných aplikácií vo Windows store – Rar Zip Extractor Pro. Po potvrdení, aby aplikácia rozbalila súbory z archívu e-mailovej prílohy do implicitne nastaveného adresára, ESET oznámil, že „bola zachytená hrozba v súbore na vašom počítači a súbor bol odstránený“.

Resumé

Podľa priebehu a výsledkov testu nie je prekvapujúce, že bezpečnostné riešenie ESET Internet Security zachytilo všetky hrozby ukrývajúce sa v prílohách deviatich podozrivých e-mailov. Napokon je to celosvetovo uznávané bezpečnostné riešenie, ktoré prešlo oveľa náročnejšími testami, než bol ten náš. Prekvapením však bol počet hrozieb. Ako som avizoval v úvode, pri simulovaní bežného používateľa som nerobil nič, čo by viedlo k potenciálnemu ohrozeniu testovaného počítača, len som dôverčivo a nezodpovedne reagoval na hrozby, ktoré prišli zvonku. A to som sa pred testom správal zodpovedne, nikdy som sa e-mailovou adresou neprihlasoval na žiadne stránky s výnimkou renomovaných e-shopov a portálov typu booking či stránok leteckých spoločností pri objednávaní leteniek. Dá sa odôvodnene predpokladať, že bežný používateľ svoju e-mailovú adresu sem-tam niekde zadá, takže mu pravdepodobne príde ešte viac e-mailov s nebezpečným prílohami. Niekedy sa takáto správa dá odhaliť na prvý pohľad, hlavne ak obsahuje anglické alebo prekladačom skomolené preložené texty, inokedy je natoľko sofistikovaný, že aj odborník zaváha. Preto je dobré mať bezpečnostné riešenie, na ktoré sa môžete spoľahnúť. Náš test v plnom rozsahu potvrdil spoľahlivosť ESET Internet Security.