La semana pasada escribí sobre los documentos que los miembros de AMTSO acababan de aceptar.
Durante las próximas semanas, explicaré en detalle el contenido de cada uno de los documentos y por qué son importantes.
El primer documento que estudiaremos será el de Las mejores prácticas para validar las muestras (Best Practices for Validation of Samples), pdf en inglés.
Las muestras que se toman son un componente crucial de una buena prueba. Existen aspectos importantes, como que los productos estén configurados de manera apropiada y que se interpreten los resultados del análisis de forma óptima.
Pero cuando pensamos en pruebas, las muestras son lo primero y más importante que pasa por nuestra mente.
Cuando hablamos de validación, nos referimos de manera estricta a asegurarnos de que todas las muestras utilizadas funcionen. Así que esto no incluye definir la relevancia ni la clasificación de las muestras.
¿Por qué es importante la validación? Porque los archivos que no se pueden cargar no representan ninguna amenaza para el usuario. Por esta razón, los programas de seguridad no los detectan, ni deberían hacerlo.
El tener estos archivos entre las muestras influiría en los resultados de la prueba. Veamos un ejemplo teórico: Tenemos un gran gusano de red de 100KB, que los productos antivirus A, B y D lo detectan, pero el C no lo hace.
Ahora veamos qué sucede cuando el gusano se carga. Mientras el gusano trata de infectar un ‘honey pot’ la conexión se rompe cuando se han transferido tan solo 80KB del archivo.
De pronto los resultados de la prueba comienzan a variar:
- El producto A sigue detectando el archivo porque tiene una signatura en los primeros 80KB del archivo original.
- El producto B deja de detectar el archivo porque su signatura estaba basada en los últimos 20KB del archivo.
- El producto C nota que hay una diferencia entre la información en el encabezado PE y el tamaño real del archivo y comienza a detectarlo de forma heurística.
- El producto D deja de detectarlo porque tiene un modo de detección basado en emulación. Como el archivo ya no se puede cargar, no puede emularse.
El documento se concentra principalmente en la validación de archivos PE (portátiles ejecutables) porque éstos conforman la mayor parte del malware hoy en día. Lo ideal sería que quien esté manejando las muestras trate de ejecutar la prueba en un ambiente seguro para obtener los resultados más precisos. Si esto no es posible por razones como tiempo o recursos, el documento presenta algunos datos para revisar de forma estadística si una muestra puede cargarse.
Aquí puede leer los documentos recién publicados.
Revisión de los documentos de AMTSO