Відео: Настя и сборник весёлых историй (Листопад 2024)
Незабаром після публікації рецензії на Tiranium Premium Security 2014 я отримав повідомлення від дослідника за допомогою ручки Malware1. Він стверджував, що Tiranium зловживає різними веб-сайтами, що перевіряють зловмисне програмне забезпечення, щоб підвищити рівень виявлення. Його записка містила посилання на відео, на яких відображається старіша версія програмного забезпечення, що підключається до VirusTotal, зокрема (хоча він визнав, що більше немає прямого зв'язку). Він також надав те, що він сказав, що це ряд повідомлень від VirusTotal до Tiranium з вимогою припинити зловживати послугою.
Я перевірився у VirusTotal, але мій контакт відмовився коментувати публікацію. Я повинен був сам визначити, чи це правда, і чи це проблема, якщо так.
Що таке VirusTotal
Для тих, хто з ним не знайомий, публічне обличчя VirusTotal - це веб-сайт, на який ви можете завантажити файл, щоб побачити, чи є він шкідливим. Сайт спочатку генерує хеш для файлу - унікальний математичний відбиток. Якщо хеш вже є в його базі даних (і більшість є), він повертає збережені результати. Якщо ні, то він перевіряє файл із приблизно 50 основними антивірусними системами, повідомляючи про те, який позначив файл як шкідливий. Google придбав VirusTotal близько двох років тому.
Послуга виходить за рамки простої перевірки файлів. За даними веб-сайту, "місія VirusTotal - допомогти в удосконаленні антивірусної та безпекової галузі та зробити Інтернет безпечнішим місцем через розробку безкоштовних інструментів та послуг". На цій самій сторінці зазначено, що "Жодна із служб або додатків, що публічно пропонуються на цьому веб-сайті, не повинна використовуватися в комерційних продуктах, комерційних послугах або для будь-яких комерційних цілей. Таким же чином жодна з цих послуг не повинна використовуватися як заміна продуктів безпеки . "
Іншими словами, продукт, який просто використовував результати VirusTotal, не незалежно перевіряючи, що файл є шкідливим, порушує умови надання послуг. І справді, суперечливий тест лабораторії Касперського кілька років тому показав, що сліпе використання виявлення з веб-сайту - погана ідея.
Копати за допомогою WireShark
За інформацією Malware1, Tiranium спочатку перевіряє підозрюваний файл за допомогою свого локально встановленого клієнта. Якщо немає відповідності, він перевіряє хеш файлу на VirusTotal. Тільки якщо він не отримує результатів від VirusTotal, він викликає власний поведінковий хмарний сканер.
Щоб розпочати розслідування, я створив нові модифіковані версії моєї поточної колекції зловмисних програм, змінивши імена файлів, змінивши розмір файлу та налаштувавши кілька невиконаних байтів. Я перевіряв хеш кожного файлу на предмет VirusTotal, щоб бути впевненим, що всі вони відсутні у базі даних.
Запустивши утиліту простеження мережевого трафіку WireShark, я запустив сканування Tiranium папки, що містить ці файли. Як не дивно, сканування тривало годинами, але так і не закінчилося, а кількість сканованих файлів ніколи не змінювалася від початкового нуля. Пізніше я дізнався, що це було через те, що хмарний сервер поведінки не працював протягом декількох годин.
Дійсно, переглядаючи журнал WireShark, я міг помітити, що Tiranium намагався знову і знову завантажувати файли у поведінкову хмару, кожна спроба закінчувалася помилкою. Я не знайшов жодних доказів прямого зв’язку з VirusTotal або будь-яким іншим сервісом, який нібито використовувався в минулому.
Кругові докази
Я перемістив деякі мої тестові файли в іншу папку і подав їх на перевірку VirusTotal. У кожному випадку більшість антивірусних механізмів виявляли їх як шкідливі; деякі отримали майже одностайне визнання шкідливим програмним забезпеченням.
Як тільки всі файли були оброблені VirusTotal, я негайно просканував папку з Tiranium. Цього разу він відразу визнав ці файли шкідливими програмами. Коли я відсканував решта файлів, які я не завантажував, сканування застрягло, як і раніше. Хоча досі не було прямого зв’язку від мого комп’ютера до VirusTotal, схоже, я встановив чітку ланцюжок причинності.
Можливо, це нормально?
Я звернувся до моїх зв'язків у антивірусній галузі, щоб побачити, що вони думають. Один дослідник зазначив, що антивірусні компанії можуть укласти контракт з VirusTotal, щоб автоматично отримувати будь-який зразок, який виявили інші, але їхній продукт пропустили. Однак це, схоже, не описувало ситуацію, яку я спостерігав.
Що ще важливіше, мій контакт із тиранієм підтвердив використання VirusTotal. "VirusTotal має конкретні умови використання", - сказав він. "Вони надсилають зразки компаніям. Тираній - одна з компаній, яка аналізує це, як і всі інші". Він зазначив, що час аналізу нових зразків може відрізнятися. "Інколи це займе години, колись хвилини, колись дні", - сказав він.
А може, ні
Сторінка кредитів VirusTotal перераховує всіх постачальників, які "інтегрували продукт, інструмент чи ресурс у VirusTotal, або внесли певний внесок". Ці постачальники підписали угоду, яка включає набір найкращих практик. Тиран не входить до списку компаній. Він не отримує зразки від VirusTotal, тому його використання не є «як усі».
Я на власну власну думку вирішив, що повідомлення електронної пошти, надані Malware1, що повідомляє Tiranium припинити зловживання VirusTotal, є справжніми. Я бачив докази того, що свого часу сама програма підключалася безпосередньо до VirusTotal для інформації, що, безумовно, є зловживанням. Але чи суто втілення вкрадає роботу інших постачальників, як стверджує Malware1? Не можу сказати остаточно, але моя довіра напевно похитнулася.
Потенційно небажані?
Мабуть, я не один. Під час дискусії на добре розціненому форумі з питань безпеки Wilders кілька членів висловлюють стурбованість продуктом. Насправді, під час цієї дискусії близько восьми місяців тому, ряд відомих антивірусних препаратів виявив Тираній як "потенційно небажану програму", яку слід видалити.
Навіть зараз Касперський виявляє один із двох основних файлів Tiranium як зловмисне програмне забезпечення, а ESET виявляє їх обидва. Fortinet визначає веб-сайт Tiranium як шкідливий, як і сервіс BrightCloud Webroot.
Тінисті поведінки
Я вказав на це виявлення своєму контакту з Касперським і запитав, чи може він пояснити, чому Tiranium позначений як шкідливе програмне забезпечення. Він замислювався над питанням із значно більшою майстерністю, ніж я міг зібрати, і придумав багато. "Вони використовують більше п'яти різних обскураторів, щоб притупити свій код, і немає цифрового підпису", - сказав він. "Це трохи божевільно і виглядає далеко не законно". Тут немає курильного пістолета, але таких та інших зловмисних програм було достатньо для того, щоб продукт потрапив під позначку. Він також знайшов трафік із сервера, на який посилаються VT (VirusTotal), Anubis та VirScan, що пропонує певну залежність від сторонніх джерел.
Люди BrightCloud не змогли точно визначити причину того, що веб-сайт Tiranium став позначеним як ризикований. Однак вони зазначили, що IP-адресу Tiranium надається досить багато фішингових веб-сайтів. Сторінка безпечного перегляду Google для домену olympe.in, що використовується Tiranium, мала деякі тривожні новини: "З 1341 сторінок, які ми перевірили на сайті за останні 90 днів, 13 сторінок призвели до завантаження та встановлення зловмисного програмного забезпечення без згоди користувача . "
У своєму огляді я сказав, що Tiranium - це перше зусилля, але не готове кинути виклик нашим декільком антивірусним продуктам Choice of Editors. Зараз я відчуваю, що компанії потрібно як вдосконалити продукт, так і повернути мені довіру професіоналізмом та прозорістю. Виправіть орфографічні та граматичні помилки, вирийте обфускування, підпишіть цифровим файлом виконувані файли та переконайтеся, що він інтегрується з Центром дій Windows. Утримуйтесь від будь-якого використання сторонніх продуктів, які не є повністю прозорими. Окремий веб-хостинг від серверів, на яких розміщено зловмисне програмне забезпечення. Поки що я рекомендую дотримуватися наших антивірусних програм з вибору редакторів.