Dlaczego założyliśmy nową organizację ze stroną internetową CheckLab.pl?

Tajemnicze logo CheckLab od dłuższego czasu zajmuje widoczne miejsce w stopce portalu https://AVLab.pl. Nie bez powodu, ponieważ jest to graficzne obwieszczenie profesjonalnej usługi testów bezpieczeństwa. Ten dedykowany portal w całości jest poświęcony wyłącznie jednej dziedzinie, która została ściśle ukierunkowana na techniczne aspekty testowania rozwiązań do ochrony stacji roboczych i komputerów osobistych.

Organizacja CheckLab została założona w lipcu 2019 roku przez działającą od 2012 roku firmę AVLab.pl w branży bezpieczeństwa teleinformatycznego. Podstawowym celem organizacji CheckLab jest testowanie przydatności zabezpieczeń oraz wydawanie certyfikatów potwierdzających skuteczność ochrony przed złośliwym oprogramowaniem i cyberatakami, a także dostarczanie wyników do informacji publicznej przy zapewnieniu maksymalnej transparentności testów. Tych dodatkowych informacji związanych z testami jest tak dużo, że postanowiliśmy przygotować osobną stronę internetową.

Aby wyjaśnić jak bardzo skomplikowana jest procedura automatyzacji testów, musimy opisać kilka problemów, z którymi zmagaliśmy się przy monitorowaniu w czasie rzeczywistym aktywności produktów antywirusowych i szkodliwego oprogramowania. Tak naprawdę poniżej opisujemy to, co należy zrobić, aby duże, międzynarodowe korporacje, które dostarczają swoje rozwiązania i usługi bezpieczeństwa dla biznesu, zainteresowały się taką małą firmą, jaką jest AVLab. Dodatkowo w tym artykule chcemy podzielić się wiedzą i jednocześnie uświadomić czytelników jak wiele zagadnień okazało się skomplikowanych i ile czasu musieliśmy poświęcić na problemy z pozoru błahe. Jest to nasz pierwszy tak duży projekt, dlatego dopiero podejście inżynieryjne ujawniło skalę trudności.

Wszystkie instrukcje na temat metodologii oraz wykorzystywanych w testach narzędzi zostały opublikowane na stronie internetowej https://checklab.pl, a także w anglojęzycznym odpowiedniku https://checklab.pl/en.

Nad projektem CheckLab pracowaliśmy łącznie ponad dwa lata. W tym czasie zdołaliśmy zaprogramować skrypty w językach NodeJS i Python, które zarządzają całą procedurą testów. Bardzo ważna jest także strona internetowa CheckLab.pl, która wizualizuje ciekawe dane z testów oraz wszystko to, co dzieje się w warstwie niewidocznej, czyli na zapleczu administracyjnym.

Środowisko testowe: VMware, Citrix czy VirtualBox?

Początki były trudne. Należało zacząć od wyboru hiperwizora do zarządzania maszynami. Ze względów licencyjnych wybraliśmy darmowy VirtualBox. Początkowo spełniał nasze wymagania — posiadał wszystko czego potrzebowaliśmy, czyli dostępu do migawek i zarządzania z linii komend. Ponadto VirtualBox jest oprogramowaniem bezpłatnym do użytku komercyjnego. Tak czy owak po kilku tygodniach testów, zarejestrowaliśmy zbyt wiele nieoczekiwanych błędów. Wirtualizator zawieszał się w losowych momentach. Nie radził sobie z zarządzaniem wieloma maszynami w jednym czasie. Technologia VirtualBox była niedopracowana i mało wydajna. Uważamy, że VirtualBox jest dobrym rozwiązaniem, ale do niedużych projektów albo do zastosowania domowego. Następnie sprawdziliśmy VMware Workstation Pro oraz Citrix XenServer. Zdecydowaliśmy się na VMware, ponieważ produkt był łatwiejszy w obsłudze, posiadał większe wsparcie społeczności i bardziej pasował do naszych wymagań.

Dobór systemu operacyjnego jest ważny. Zdecydowaliśmy się na Windows 10 Pro, ponieważ jest najbardziej przyszłościowy.
Dobór systemu operacyjnego jest ważny. Zdecydowaliśmy się na Windows 10 Pro, ponieważ jest najbardziej przyszłościowy.

 

Aplikacja uruchomiona w terminalu, którą widać po lewej stronie zrzutu ekranu, została napisana w językach programowania NodeJS i Python. Jej zadaniem jest m.in. optymalizacja dostępnych zasobów np. aby nie dochodziło do zawieszenia się systemów lub innych nieoczekiwanych przestojów.

Nasz system testujący może być uruchomiony na dowolnej dystrybucji Linux. Nawet na domowym komputerze, który udźwignie przynajmniej jeden system wirtualny. W obecnej wersji aplikacja jest skalowalna, dlatego może wykorzystywać dostępne zasoby na tradycyjnym serwerze dedykowanym lub na serwerze w chmurze. Przy kilkudziesięciu maszynach działających w jednym czasie duża moc obliczeniowa jest niezbędna. Już z doświadczenia wiemy, że najważniejsze są bardzo szybkie dyski. Dyski talerzowe typu SAS Enterprise mają zbyt małą przepustowość. Podobnie z dyskami SSD SATA III. Najlepiej sprawdzają się komercyjne dyski NVMe, które są dostępne w ofercie np. OVH, Hetzner albo Oktawave. Dużą rolę odgrywa procesor i pamięć RAM. Im więcej zasobów, tym wydajniej może działać system gościa. W obecnej chwili dysponujemy serwerem o kilkudziesięciu rdzeniach CPU, bardzo szybkich dyskach i wystarczającej ilości pamięci RAM, aby uruchomić wiele maszyn w jednym czasie.  

System testujący składa się z kilku komponentów

Cała aplikacja testująca jest jak jeden organizm zbudowany z poszczególnych elementów, w którym każdy działa osobno i jednocześnie współpracuje z pozostałymi. Stworzyliśmy tak naprawdę aplikację, która robi dokładnie to samo co człowiek, lecz nieporównywalnie szybciej i wydajniej, ponieważ w jednym czasie może zarządzać nieograniczoną ilością maszyn wirtualnych — wykonuje dużą ilość operacji, gdyż nie jest ograniczony ludzką biomechaniką.

Elementy, z których składa się nasza aplikacja do testów, to:

 

Lokalny serwer DNS i HTTP/S

Lokalny serwer DNS i HTTP/S odpowiada za „wystawienie” próbki złośliwego oprogramowania pod losowy adres URL, który będzie przekazany do komponentu zarządzającego testami. Z tego adresu URL będzie pobierany wirus do systemu operacyjnego przez przeglądarkę Chrome.

Dzięki własnemu serwerowi DNS i HTTP/S mamy kontrolę nad ruchem sieciowym.
Dzięki własnemu serwerowi DNS i HTTP/S mamy kontrolę nad ruchem sieciowym.

 

Sieci honeypotów

Próbki wykorzystywane w naszych testach pochodzą z ataków na honeypoty. Są to pułapki, których zadaniem jest udawanie celu podatnego na ataki i przechwytywanie złośliwego oprogramowania. Wykorzystujemy honeypoty niskointeraktywne i wysokointeraktywne. Wszystkie z nich symulują usługi takie jak: SSH, HTTP, HTTPS, SMB, FTP, TFTP, rzeczywisty system Windows i serwer poczty. Korzystamy także z publicznych feedów ze złośliwym oprogramowaniem.

Mapa wskazuje na lokalizacje serwerów, które pełnią rolę honeypotów.
Mapa wskazuje na lokalizacje serwerów, które pełnią rolę honeypotów.
Sumy kontrolne szkodliwego oprogramowania na jednym z honeypotów.
Sumy kontrolne szkodliwego oprogramowania na jednym z honeypotów.

 

Importer

Jest to ten element aplikacji, który raz na dobę loguje się do honeypotów i pobiera przechwycone szkodliwe oprogramowanie. Następnie oblicza sumę kontrolną każdego pliku i porównuje z tymi w bazie danych. Odbiorcy naszych testów mają pewność, że nigdy nie będziemy analizować dwóch takich samych wirusów.

Najpierw aplikacja loguje się do honeypota i pobiera przechwycone złośliwe oprogramowanie.
Najpierw aplikacja loguje się do honeypota i pobiera przechwycone złośliwe oprogramowanie.

 

Zarządca

Jest to najważniejszy element aplikacji. Automatyzuje całą procedurę testów:

  • Zarządza sieciami honeypotów.
  • Zarządza pobieraniem złośliwego oprogramowania.
  • Analizuje złośliwe oprogramowanie w Windows 10 sprawdzając, czy każdy wirus nadaje się do testów (tj. czy jest w stanie zainfekować Windows 10).
  • Zarządza maszynami wirtualnymi.
  • Wykonuje automatyczne operacje testowania próbek wirusów na wszystkich produktach bezpieczeństwa w każdej maszynie.
  • Analizuje logi, przekazując je ze systemów gościa do hosta.
  • Zarządza logami testowanych rozwiązań bezpieczeństwa.
  • Po analizie każdej próbki wirusa wysyła informacje diagnostyczne do bazy danych.
Próbka szkodliwego oprogramowania jest pobierana do systemu przez prawdziwą przeglądarkę Chrome.
Próbka szkodliwego oprogramowania jest pobierana do systemu przez prawdziwą przeglądarkę Chrome.

 

Zarządca wykorzystuje interfejs API VMware do pilnowania, aby maszyny były uruchamiane w jednym czasie. Reaguje na błędy przy analizie i jeśli jest to konieczne, powtarza operacje (np. jeżeli z jakiegoś powodu system się zawiesi). Dzięki temu szkodliwe oprogramowanie ustawione jest w kolejce, więc mamy pewność, że wszystkie rozwiązania ochronne zostaną przetestowane w tym samym czasie na tej samej próbce wirusa.

 

Analizator

Jest to ważny element systemu testującego, który po pierwsze loguje zdarzenia wykonane w Windows 10 przez złośliwe oprogramowanie, a po drugie wychwytuje informacje o zareagowaniu produktu bezpieczeństwa na złośliwe oprogramowanie.

Logi ze systemu Windows zawierają m.in. informacje o tym, czy testowane rozwiązanie wykryło zagrożenie. W tym konkretnym przykładzie analizator „widzi”, że oprogramowanie Bitdefender przeniosło wirusa do kwarantanny.
Logi ze systemu Windows zawierają m.in. informacje o tym, czy testowane rozwiązanie wykryło zagrożenie. W tym konkretnym przykładzie analizator „widzi”, że oprogramowanie Bitdefender przeniosło wirusa do kwarantanny.

 

Parser

Decyduje na podstawie wprowadzonych wytycznych, czy złośliwe oprogramowanie zainfekowało system, a także czy produkt bezpieczeństwa zareagował na wirusa. Skrypt przeszukuje logi pod kątem aktywności wirusów i reakcji produktu bezpieczeństwa na złośliwą aktywność. Zdobyte w ten sposób wskaźniki są przekazywane do bazy danych.

Przykładowa aktywność jednej z próbek ransomware. Parser wykrył 796 potencjalnych wskaźników złośliwego oprogramowania.
Przykładowa aktywność jednej z próbek ransomware. Parser wykrył 796 potencjalnych wskaźników złośliwego oprogramowania.

 

Strona internetowa

Dzięki stronie internetowej nie musimy ręcznie filtrować bazy danych. Z tego poziomu mamy dostęp do szczegółów z zaplecza administracyjnego. Dane diagnostyczne pozwalają wizualizować wyniki w postaci wykresów oraz tabelek.

Strona internetowa CheckLab
Strona internetowa CheckLab

Szczegółowa metodologia

Jest to artykuł opisujący genezę powstawania projektu CheckLab. Nie chcemy, aby był przepełniony technicznymi informacjami, ponieważ jest ich bardzo dużo. Szczegółową metodologię można znaleźć na stronie https://checklab.pl w sekcji:

Te problemy dały nam w kość

Było trudno. Czasami bardzo trudno. Nie raz utknęliśmy w martwym punkcie. Nie poddawaliśmy się. Wymagało to dziesiątek godzin testowania, sprawdzania wielu ustawień w systemie i poprawiania skryptów do automatyzacji.

Problemy, które najbardziej dały nam w kość, opisujemy poniżej. Prosimy, aby mieć na uwadze, że prawdopodobnie nie wszystkie zdarzenia występują przy normalnym korzystaniu z komputera. Te niespodzianki dawały o sobie znać wówczas, jeżeli chcieliśmy zautomatyzować wszystkie czynności za pomocą VMware API:

  • Wyłączenie UAC w panelu sterowania nie było respektowane przy niektórych rozszerzeniach plików-wirusów. Rozwiązaniem problemu okazało się wyłączenie UAC w rejestrze Windows. W przeciwnym wypadku nie mogliśmy pominąć potwierdzenia UAC za pomocą API VMware.
  • Pobieranie złośliwego oprogramowania przez przeglądarkę Chrome było jedną z najtrudniejszych procedur do zautomatyzowania. Dlaczego? Jeżeli plik zawiera dowolne rozszerzenie, to w nowych wersjach Chrome (także w Firefox) nie jest możliwe wyłączenie okna informującego o szkodliwości pliku — nawet po wyłączeniu flagi w chrome://settings odpowiadającej za bezpieczeństwo.
  • Maszyny są zarządzane przez API oprogramowania VMware. Problem w tym, że dokładnie nie wiadomo, kiedy po zalogowaniu do systemu usługa sieciowa zostaje całkowicie uruchomiona. W związku z tym nie było możliwe zautomatyzowanie kroków od uruchomienia przeglądarki do pobrania wirusa z parametrem: „chrome.exe hxxp://IP/malware_sampledoc”. Ten sposób nie działał, ponieważ usługa sieciowa w pierwszych sekundach po zalogowaniu nie była gotowa do pracy.
  • Wyłączenie antywirusa Windows Defender przynosiło efekty dopiero po zmianie opcji w Edycji Grupy. Antywirus przeszkadzałby w analizowaniu złośliwego oprogramowania i wysyłał pliki do chmury Microsoft. Tego nie chcieliśmy. Jedna z maszyn pełni funkcję systemu-piaskownicy bez produktu zabezpieczającego. Analizujemy tu szkodliwe oprogramowanie pod kątem złośliwej aktywności, dlatego natywna ochrona firmy Microsoft przeszkadzałaby w testach.  
  • Uruchamianie wirusów przez API nie było optymalną metodą odwzorowania sytuacji prawdziwej. Zamiast tego poprawiliśmy się i obecnie robimy to tak, jakby użytkownik uruchamiał dowolne programy w systemie, klikając w foldery i aplikacje.
  • Logowanie pewnych zdarzeń nie było możliwe, jeżeli akcje były wykonywane z uprawnieniami ring(-1) z poziomu API VMware. Hipernadzorca działa „poniżej” systemu Windows, dlatego niektóre zdarzenia nie mogą być zapisane w Windows. Zrezygnowaliśmy z robienia czegokolwiek za pomocą tej metody. Zamiast tego skupiliśmy się na procesach i usługach w Windows, które natywnie uruchamiają złośliwe oprogramowanie i analizują logi.
  • Wykorzystanie darmowego rozwiązania do analizy logów okazało się zbyt skomplikowane lub niemożliwe, mając na uwadze nasze wymagania. Potrzebowaliśmy narzędzia, które będzie robiło konkretne rzeczy — nie tylko analizowało zdarzenia złośliwego oprogramowania, ale przede wszystkim wykrywało reakcję produktu na złośliwy plik (np. to, czy antywirus wyświetlił okienko ostrzegawcze albo przeniósł plik do kwarantanny).
  • Testy z wieloma produktami bezpieczeństwa wymagały serwera dedykowanego, co niestety znacznie podnosiło koszty projektu. W tej chwili nasza aplikacja testująca sama zarządza dostępnymi zasobami i uruchamia optymalną ilość maszyn w jednym czasie — tak na wypadek, aby nie doszło do nieplanowanego zawieszenia się systemu albo hipernadzorcy.

CheckLab.pl — efekty ponad 1000 godzin pracy

Efekty naszej pracy można zobaczyć na stronie internetowej https://checklab.pl. Dostępna jest również wersja anglojęzyczna https://checklab.pl/en.

Załączamy kilka zrzutów ekranu z zaplecza administracyjnego. Nie możemy pokazać wszystkiego, ponieważ zaprogramowanie niektórych komponentów kosztowało mnóstwo pieniędzy, więc są objęte tajemnicą przedsiębiorstwa.

Wynik działania ransomware jest przekazywany z Windows do hosta w celu parsowania logów.
Wynik działania ransomware jest przekazywany z Windows do hosta w celu parsowania logów.
Prawidłowa reakcja antywirusa Avast na zagrożenie. Kopiujemy logi systemowe oraz logi antywirusa do hosta w celu parsowania.
Prawidłowa reakcja antywirusa Avast na zagrożenie. Kopiujemy logi systemowe oraz logi antywirusa do hosta w celu parsowania.
Na hoście mamy zapisane szczegółowe logi dla pełnej transparentności oraz uzyskania dokładnych wyników.
W hoście mamy zapisane szczegółowe logi dla pełnej transparentności oraz uzyskania dokładnych wyników.

 

Poniżej załączamy przykładowy wynik z działania systemu testującego. Dzięki takim szczegółom każdy producent będzie mógł przeanalizować wszystkie nieścisłości dla każdej z testowanych próbek złośliwego oprogramowania. W poniższym przykładzie podajemy wynik z testów Avast Free Antivirus.

[2019-07-23 17:09:57.120] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Fetching snapshots for machine
[2019-07-23 17:09:57.617] [DEBUG] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Does snapshot przed exists? Answer: true
[2019-07-23 17:09:57.618] [DEBUG] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Snapshot przed found
[2019-07-23 17:09:58.034] [DEBUG] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Does snapshot przed_2019-07-22 exists? Answer: false
[2019-07-23 17:09:58.442] [DEBUG] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Does snapshot przed_2019-07-23 exists? Answer: true
[2019-07-23 17:09:58.443] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Prepare to restore snapshot: przed_2019-07-23
[2019-07-23 17:09:58.864] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Snapshot has been restored
[2019-07-23 17:09:58.865] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] Start tests!
[2019-07-23 17:09:58.866] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Prepare to restore snapshot: przed_2019-07-23
[2019-07-23 17:09:59.300] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Snapshot has been restored
[2019-07-23 17:09:59.301] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Going to start VM
[2019-07-23 17:10:08.093] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - VM has been started
[2019-07-23 17:10:08.095] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Wait for it, next copyWhiteList function call in: in 2 minutes, countdown...
[2019-07-23 17:10:38.101] [DEBUG] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Wait for next copyWhiteList function call for: in 2 minutes
[2019-07-23 17:11:08.099] [DEBUG] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Wait for next copyWhiteList function call for: in a minute
[2019-07-23 17:11:38.102] [DEBUG] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Wait for next copyWhiteList function call for: in a few seconds
[2019-07-23 17:12:08.098] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] Starting copy whitelist files from /home/test/BackEnd-develop/src/vmwarerunner/whitelist to C:\Users\perun\Documents\av\obserwator
[2019-07-23 17:12:08.107] [DEBUG] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] Found 1 files to copy
[2019-07-23 17:12:08.950] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] Starting download gFY6J_2019-07-23_exe from http://micro51139soft.com/sandbox/2019-07-23/gFY6J_2019-07-23_exe to C:\Users\perun\Downloads
[2019-07-23 17:12:20.845] [WARN] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] Chrome killed, file should be downloaded and saved
[2019-07-23 17:12:20.847] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] Start checking if file: gFY6J_2019-07-23_exe exists in C:\Users\perun\Downloads\gFY6J_2019-07-23_exe
[2019-07-23 17:12:21.390] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File gFY6J_2019-07-23_exe has been checked and it's in path C:\Users\perun\Downloads\gFY6J_2019-07-23_exe
[2019-07-23 17:12:21.391] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] Starting move gFY6J_2019-07-23_exe from C:\Users\perun\Documents\av\src to C:\Users\perun\Documents\av\dst
[2019-07-23 17:12:22.872] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File gFY6J_2019-07-23_exe moved to C:\Users\perun\Documents\av\dst as gFY6J_2019-07-23_exe.exe
[2019-07-23 17:12:22.873] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] Start checking if file: gFY6J_2019-07-23_exe exists in C:\Users\perun\Documents\av\dst\gFY6J_2019-07-23_exe.exe
[2019-07-23 17:12:23.470] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File gFY6J_2019-07-23_exe has been checked and it's in path C:\Users\perun\Documents\av\dst\gFY6J_2019-07-23_exe.exe
[2019-07-23 17:12:23.471] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] Start runObserver, timeout: 5 minutes
[2019-07-23 17:12:24.143] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Wait for it, next runSample function call in: in a few seconds, countdown...
[2019-07-23 17:12:36.152] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] Starting sample: gFY6J_2019-07-23_exe.exe
[2019-07-23 17:12:38.029] [DEBUG] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] Sample executed
[2019-07-23 17:12:38.029] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Wait for it, next finishObserver function call in: in 5 minutes, countdown...
[2019-07-23 17:13:08.032] [DEBUG] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Wait for next finishObserver function call for: in 5 minutes
[2019-07-23 17:13:38.034] [DEBUG] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Wait for next finishObserver function call for: in 4 minutes
[2019-07-23 17:14:08.036] [DEBUG] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Wait for next finishObserver function call for: in 4 minutes
[2019-07-23 17:14:38.037] [DEBUG] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Wait for next finishObserver function call for: in 3 minutes
[2019-07-23 17:15:08.038] [DEBUG] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Wait for next finishObserver function call for: in 3 minutes
[2019-07-23 17:15:38.039] [DEBUG] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Wait for next finishObserver function call for: in 2 minutes
[2019-07-23 17:16:08.041] [DEBUG] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Wait for next finishObserver function call for: in 2 minutes
[2019-07-23 17:16:38.043] [DEBUG] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Wait for next finishObserver function call for: in a minute
[2019-07-23 17:17:08.044] [DEBUG] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Wait for next finishObserver function call for: in a few seconds
[2019-07-23 17:17:41.965] [DEBUG] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] Observer terminated
[2019-07-23 17:17:47.638] [DEBUG] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] Report converted
[2019-07-23 17:17:48.208] [DEBUG] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] We are going to copy raport_timeline.csv file to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/gFY6J_2019-07-23_exe.report.csv
[2019-07-23 17:17:50.969] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File copied as /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/gFY6J_2019-07-23_exe.report.csv
[2019-07-23 17:17:50.970] [DEBUG] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] Moving sample file from /home/test/BackEnd-develop/src/../malware/sandbox/2019-07-23/gFY6J_2019-07-23_exe to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/gFY6J_2019-07-23_exe
[2019-07-23 17:17:50.972] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File gFY6J_2019-07-23_exe successfully moved from pre_sandbox to sandbox
[2019-07-23 17:17:50.973] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] Starting to parse report /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/gFY6J_2019-07-23_exe.report.csv
[2019-07-23 17:17:52.435] [DEBUG] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] Report parsed, and have 228 indicators
[2019-07-23 17:17:53.647] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\Amsi.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\Amsi.log
[2019-07-23 17:17:54.408] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\anen.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\anen.log
[2019-07-23 17:17:55.050] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\arpot.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\arpot.log
[2019-07-23 17:17:55.708] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\aswAr.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\aswAr.log
[2019-07-23 17:17:56.876] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\AvastSvc.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\AvastSvc.log
[2019-07-23 17:17:57.751] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\AvastUI.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\AvastUI.log
[2019-07-23 17:17:58.380] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\BCUEngine-trace.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\BCUEngine-trace.log
[2019-07-23 17:17:59.021] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\Browser-Cleanup.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\Browser-Cleanup.log
[2019-07-23 17:17:59.658] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\BugReport.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\BugReport.log
[2019-07-23 17:18:00.285] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\BugReport.status copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\BugReport.status
[2019-07-23 17:18:00.910] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\ccr.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\ccr.log
[2019-07-23 17:18:01.550] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\CommChannel.Protocol.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\CommChannel.Protocol.log
[2019-07-23 17:18:02.176] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\commonpriv.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\commonpriv.log
[2019-07-23 17:18:02.819] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\commonpriv.log.lock copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\commonpriv.log.lock
[2019-07-23 17:18:03.456] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\detections.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\detections.log
[2019-07-23 17:18:05.019] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\event_manager.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\event_manager.log
[2019-07-23 17:18:05.753] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\FilterEngine.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\FilterEngine.log
[2019-07-23 17:18:06.377] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\FwServ.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\FwServ.log
[2019-07-23 17:18:07.033] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\Hns.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\Hns.log
[2019-07-23 17:18:07.798] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\HtmlRemoteContent.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\HtmlRemoteContent.log
[2019-07-23 17:18:08.532] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\idp-removal.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\idp-removal.log
[2019-07-23 17:18:09.218] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\idp2.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\idp2.log
[2019-07-23 17:18:09.892] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\idpagent.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\idpagent.log
[2019-07-23 17:18:10.827] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\idpagent.log.1 copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\idpagent.log.1
[2019-07-23 17:18:11.880] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\idpagent.log.2 copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\idpagent.log.2
[2019-07-23 17:18:12.613] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\idpagent.log.lock copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\idpagent.log.lock
[2019-07-23 17:18:13.426] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\idpagentdetection.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\idpagentdetection.log
[2019-07-23 17:18:14.160] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\idpagentdetection.log.lock copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\idpagentdetection.log.lock
[2019-07-23 17:18:14.788] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\idpagentmonitor.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\idpagentmonitor.log
[2019-07-23 17:18:15.520] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\idpagentmonitor.log.lock copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\idpagentmonitor.log.lock
[2019-07-23 17:18:16.143] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\idpluascript.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\idpluascript.log
[2019-07-23 17:18:16.801] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\idpluascript.log.1 copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\idpluascript.log.1
[2019-07-23 17:18:17.424] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\idpluascript.log.lock copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\idpluascript.log.lock
[2019-07-23 17:18:18.115] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\js_console.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\js_console.log
[2019-07-23 17:18:18.831] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\lim.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\lim.log
[2019-07-23 17:18:19.457] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\mywin.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\mywin.log
[2019-07-23 17:18:20.116] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\opm.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\opm.log
[2019-07-23 17:18:20.739] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\prod_lis.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\prod_lis.log
[2019-07-23 17:18:21.364] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\psi.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\psi.log
[2019-07-23 17:18:21.987] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\psi.log.lock copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\psi.log.lock
[2019-07-23 17:18:22.616] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\removal.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\removal.log
[2019-07-23 17:18:23.348] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\removal.log.lock copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\removal.log.lock
[2019-07-23 17:18:23.974] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\Rep.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\Rep.log
[2019-07-23 17:18:24.598] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\scans.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\scans.log
[2019-07-23 17:18:25.239] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\secapi.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\secapi.log
[2019-07-23 17:18:25.974] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\secapi.log.lock copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\secapi.log.lock
[2019-07-23 17:18:26.595] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\selfdef.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\selfdef.log
[2019-07-23 17:18:27.223] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\StreamFilter.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\StreamFilter.log
[2019-07-23 17:18:27.865] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\StreamingUpdate.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\StreamingUpdate.log
[2019-07-23 17:18:28.489] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\szb.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\szb.log
[2019-07-23 17:18:29.111] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\UITracking.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\UITracking.log
[2019-07-23 17:18:29.739] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\UrlInfoQuery.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\UrlInfoQuery.log
[2019-07-23 17:18:30.363] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\vps.1.etl copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\vps.1.etl
[2019-07-23 17:18:31.004] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\vps.2.etl copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\vps.2.etl
[2019-07-23 17:18:31.628] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\vps.3.etl copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\vps.3.etl
[2019-07-23 17:18:32.253] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\vps.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\vps.log
[2019-07-23 17:18:32.943] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] File c:\ProgramData\AVAST Software\Avast\log\wsc.log copied to /home/test/BackEnd-develop/src/../malware/testing/Avast Free Antivirus/2019-07-23/8b124559bc26103c2a45f32af4d292567f8f0d63f2aa5ff439f8eb516199039f_gFY6J_2019-07-23_exe/17-09-57/c:\ProgramData\AVAST Software\Avast\log\wsc.log
[2019-07-23 17:18:32.944] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] Indicators extracted, saving them into db
[2019-07-23 17:18:39.463] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] Indicators saved in database
[2019-07-23 17:18:39.464] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] Saving summary of indicators into db for Avast Free Antivirus
[2019-07-23 17:18:39.535] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] Summary saved in database
[2019-07-23 17:18:39.536] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - [ID:16] Finished test
[2019-07-23 17:18:39.536] [INFO] [TESTING] [fc14cba4-aa85-4369-bceb-c7e907154bd3] [Avast Free Antivirus] - Going to shutdown VM

Działanie naszego systemu testującego w praktyce

Etap pierwszy — weryfikacja próbki. Aplikacja testująca uruchamia analizator:Sandbox. Jest to normalny system operacyjny pozbawiony ochrony, w którym sprawdzamy, czy próbki złośliwego oprogramowania mogą przejść do następnego etapu (muszą być w stanie zainfekować system).

 

Etap drugi — testowanie antywirusów. Aplikacja testująca uruchamia analizator:Testing. Jeżeli próbka była złośliwa, to jest poddawana testom bezpieczeństwa z zainstalowanymi rozwiązaniami do ochrony stacji roboczych.

Specjalne podziękowania

Przemysław Czekaj z ProCoder.pl

Szczególne podziękowania kierujemy do Przemysława Czekaja z firmy ProCode za zaprogramowanie całego backendu na podstawie wytycznych, a także za wniesienie dodatkowego know-how. Profesjonalne podejście do realizowanego projektu od fazy planowania, po testowanie i wdrożenie, aktywną pomoc i doradztwo z zakresu funkcjonowania i usprawniania aplikacji. To zasługuje na wyróżnienie! Zaangażowanie Przemysława w budowę i rozwój projektu pozwala nam w dalszym ciągu współpracować. Potrzebowaliśmy prawdziwego fachowca i z takim udało się nawiązać współpracę. Rekomendujemy Przemysława za bardzo dobrą znajomość systemu Linux — jako eksperta z zakresu projektowania aplikacji, programowania, korzystania z API zewnętrznych produktów.

Rafał Pogroszewski z CreLab.pl

Dziękujemy Rafałowi Pogroszewskiemu za przygotowanie graficzne strony, logotypu i certyfikatów CheckLab. Z Rafałem aktywnie współpracujemy na AVLab. Rekomendujemy jego firmę CreLab za bardzo dobre podejście do klienta — skrupulatne badanie wymagań przed i w trakcie realizacji projektu graficznego.

Robert Grzegorzak z RoburStudio.com

Dziękujemy Robertowi Grzegorzakowi za pomoc w konfiguracji strony internetowej. Z Grzegorzem współpracowaliśmy kilka lat na AVLab.

Firma SmartBees.pl

Dziękujemy firmie SmartBees.pl, która powiązała stronę internetową z zapleczem administracyjnym. Na podstawie encji z bazy danych wdrożyli wizualizację wykresów, tabelek i innych szczegółów. Dzięki ich pracy możliwe jest obserwowanie wyników na wykresach i tabelkach, które są teraz zrozumiałe dla człowieka.

Bartłomiej Hawrot z AVLab.pl

Dziękujemy Bartłomiejowi Hawrotowi za wielokrotne przygotowywanie serwera dedykowanego z różną konfiguracją i nieustanną opiekę techniczną. I to już od kilku lat. Jego wiedza jest nieoceniona, a zdobyte doświadczenie przy zarządzaniu i konfiguracji stron rządowych przekłada się na bezpieczeństwo i wydajności naszych serwerów.

Mateusz Kurlit z AVLab.pl

Podziękowania kierujemy do Mateusza Kurlita za przygotowywanie strony CheckLab w wersji angielskiej. Z Mateuszem współpracujemy od kilku lat przy tłumaczeniu prawie wszystkiego, jeśli chodzi o artykuły i testy.

Podziękowania kierujemy też do pozostałych osób , które przekazywały swoją wiedzę i chciały pozostać anonimowe.

Jakie mamy plany na przyszłość?

Plany są ambitne, ale wymagają czasu i środków. Przede wszystkim chcemy dostarczać firmom dodatkowe usługi. W testach chcemy uzupełnić wektor przesyłania złośliwego oprogramowania o kolejne protokoły. Na pewno znacznie skomplikuje to automatyzację, dlatego potrzebujemy czasu i dodatkowego budżetu. Chcemy ulepszyć funkcjonalność analizatora wirusów i logowania zdarzeń w Windows za pomocą publicznego oprogramowania Sysmon. Chcielibyśmy oddać do rąk użytkowników interfejs do przesyłania plików. Takie pliki mogłyby być dodawane do naszych testów. Ale przede wszystkim nie chcemy tworzyć drugiego portalu VirusTotal.

VirusTotal nie nadaje się do wydawania opinii na temat tego „czy i który” antywirus cokolwiek wykrywa. Postaramy się to poniżej udowodnić.

Przy okazji różnych kampanii ze spamem na wielu technicznych portalach da się przeczytać, że „tylko kilka antywirusów wykrywa zagrożenie”. Jest to półprawda, ponieważ VirusTotal nie powinien być używany do wydawania takich opinii. W związku z tym osoba nietechniczna, która czyta takie informacje, może dojść do błędnego przekonania, że nie warto inwestować w bezpieczeństwo.

Udowodnimy poniżej, że wynik ze skanowania na VirusTotal nie ma wiele wspólnego z rzeczywistym reagowaniem na uruchamiane zagrożenia w prawdziwym systemie operacyjnym. Podobne doświadczenie przeprowadziliśmy w kwietniu 2019 roku. Przydało się ono do zaprezentowania faktów dotyczących rzetelnego testowania. Na konferencji Check Point Experience 2019 w Łodzi udowodniliśmy, że VirusTotal jest pomocny w analizie złośliwego oprogramowania, ale kompletnie nie nadaje się do przeprowadzania nawet amatorskich testów, ponieważ:

Stworzyliśmy cztery zagrożenia. Trzy z nich nie były wykrywane przez silnik Check Point zastosowany na VirusTotal. W prawdziwym scenariuszu rozwiązanie od Check Point wykryło wszystkie zagrożenia.
Stworzyliśmy cztery zagrożenia. Trzy z nich nie były wykrywane przez silnik Check Point zastosowany na VirusTotal. W prawdziwym scenariuszu rozwiązanie Check Point wykryło wszystkie zagrożenia.

Zastosowane w VirusTotal silniki antywirusowe działają z linii poleceń. W związku z tym mogą nie mieć dostępu do funkcjonalności, które wchodzą w skład prawdziwych pakietów zabezpieczających. Udowadnia to praktyczne podejście do testowania. Na przykład złośliwe oprogramowanie, które będzie zablokowane przez moduł firewall, w prawdziwym scenariuszu nie będzie zablokowane przez silnik antywirusowy na VirusTotal.

Jak czytamy w oficjalnym dokumencie, silniki antywirusowe na VirusTotal są wersjami binarnymi, działającymi z linii poleceń. Nie będą zachowywać się dokładnie tak samo jak wersje, które instalujemy na komputerach. Czyli mówiąc inaczej używane silniki na VirusTotal zazwyczaj nie posiadają zapory ogniowej, skanowania w chmurze, piaskownicy, HIPS, DLP, blokowania wirusów skryptowych i innych modułów.

W VirusTotal jesteśmy zmęczeni powtarzaniem, że usługa nie została zaprojektowana jako narzędzie do przeprowadzania antywirusowych analiz porównawczych, ale jako narzędzie, które sprawdza podejrzane próbki za pomocą kilku rozwiązań antywirusowych i pomaga laboratoriom antywirusowym, przesyłając im szkodliwe oprogramowanie, które nie wykrywają. Osoby korzystające z VirusTotal do przeprowadzania antywirusowych analiz porównawczych powinny wiedzieć, że popełniają wiele ukrytych błędów w swojej metodologii.

źródło: https://support.virustotal.com/hc/en-us/articles/115002094589-Why-do-not-you-include-statistics-comparing-antivirus-performance

Z tego powodu dołączamy się do prośby serwisu VirusTotal i uczulamy, aby nie wydawać nieprawdziwych opinii o produktach zabezpieczających.

To jest pierwszy istotny powód, który pokazuje, aby nie kierować się opinią ze skanowania VirusTotal. Drugi powód prawdopodobnie jest bardziej istotny, ale nie jest udokumentowany:

Wrzucane złośliwe oprogramowanie przez panel internetowy do serwisu VirusTotal NIE JEST URUCHAMIANE w określonych przypadkach. Przeprowadzana jest statyczna analiza pliku tj. obliczane są sumy kontrolne, wyodrębniane są biblioteki DLL, funkcje Windows API są pokazywane, powiązania z innymi złośliwymi kampaniami są ujawniane. Każdy plik jest skanowany przez silnik antywirusowy, jednak analiza dynamiczna jest wykonywana tylko dla plików binarnych. W związku z tym przeanalizowane pliki EXE pokażą aktywność wirusa, ale np. skrypty .VBS, złośliwe faktury .PDF albo makrowirusy w pikach .DOCX już nie zawsze.

My w swoich testach bezpieczeństwa uruchamiamy każdy złośliwy plik i wykorzystujemy prawdziwe wersje programów antywirusowych, czyli te które są instalowane przez użytkowników na ich komputerach. Następnie zbieramy logi z całego systemu Windows: z aktywności złośliwego oprogramowania i reagowania testowanego produktu na zagrożenie. Dzięki temu nasze testy są popularne i cieszą się dobrą opinią wśród społeczności oraz samych producentów rozwiązań ochronnych.

Jeszcze tylko jedna myśl

Całkowity koszt projektu nieznacznie przekroczył 100 000 PLN. Trudno powiedzieć czy to dużo, czy mało. Na pewno to zależy od zasobności budżetu. W naszej mikro skali jest to bardzo dużo. Inwestycja została sfinansowana z prywatnych pieniędzy (bez dotacji). Teraz tylko czekamy na realizację testów z korzyścią dla internautów, producentów oraz naszego małego biznesu.

Zachęcamy do odwiedzania strony internetowej https://checklab.pl, która w całości poświęcona jest testom bezpieczeństwa. Prosimy też nie zapominać o https://avlab.pl, który od 2012 roku nieprzerwanie pełni ważną rolę edukacyjną.

Komentarze

Zdzich pon., 02.09.2019 - 11:38

Spróbujcie przetestować pliki z artykułów na https://kapitanhack.pl - ciekawe jak wygląda rozpoznawanie tego typu "świeżo tworzonych zagrożeń" ...

Adrian Ścibor pon., 02.09.2019 - 12:57

Znamy :) Pliki tam używane są zazwyczaj generowane w Metasploicie, więc są bez trudu wykrywane przez dobre programy zabezpieczające.

Dodane przez Zdzich w odpowiedzi na

Dodaj komentarz