Videó: Michael Jackson - Billie Jean (Official Video) (November 2024)
Röviddel a Tiranium Premium Security 2014 áttekintés közzététele után üzenetet kaptunk egy kutatótól, amely a Malware1 fogantyút használja. Azt állította, hogy a Tiranium visszaéltek különféle online rosszindulatú programokat ellenőrző weboldalakkal annak felismerése érdekében. Jegyzete tartalmazott linkeket olyan videókhoz, amelyek a VirusTotalhoz csatlakozó szoftver régebbi verzióját mutatják (bár elismerte, hogy nincs közvetlen kapcsolat). Azt is közölte, hogy számos, a VirusTotal-tól a Tiranium felé küldött e-mailt igényelt, hogy hagyják abba a szolgáltatás visszaélését.
Ellenőriztem a VirusTotal segítségével, de a kapcsolattartóom elutasította a kommentálást a közzététel céljából. Saját magamnak kellett eldöntenem, hogy ez igaz-e, és ha igen, akkor ez problémát jelent-e.
Mi a VirusTotal?
Azok számára, akik nem ismerik azt, a VirusTotal nyilvános arca egy olyan webhely, ahol feltölthet egy fájlt, hogy megbizonyosodjon arról, hogy rosszindulatú-e. A webhely először kivonatot generál a fájl számára - egy egyedi matematikai ujjlenyomatot. Ha a hash már szerepel az adatbázisában (és a legtöbb is), akkor a tárolt eredményeket adja vissza. Ha nem, akkor körülbelül 50 fő víruskereső motorral ellenőrzi a fájlt, és jelentést készít arról, hogy a fájlt rosszindulatúként jelölte meg. A Google körülbelül két évvel ezelőtt szerezte meg a VirusTotal szoftvert.
A szolgáltatás túlmutat a fájlok ellenőrzésén. Webhelye szerint "a VirusTotal küldetése az, hogy segítse az antivírusok és a biztonsági ipar fejlesztését, és hogy az internetet biztonságosabbá tegye az ingyenes eszközök és szolgáltatások fejlesztésével". Ugyanezen az oldalon kijelenti: "A webhelyen nyilvánosan kínált szolgáltatások vagy alkalmazások egyikét sem szabad felhasználni kereskedelmi termékekben, kereskedelmi szolgáltatásokban vagy bármilyen üzleti célra. Ugyanígy, a szolgáltatások egyikét sem szabad felhasználni biztonsági termékek helyettesítésére..”
Más szavakkal: egy termék, amely egyszerűen felhasználta a VirusTotal eredményeit anélkül, hogy függetlenül igazolta volna, hogy a fájl rosszindulatú, megsérti a szolgáltatási feltételeket. És valóban, a Kaspersky Lab évekkel ezelőtt vitatott tesztje azt mutatta, hogy rossz észlelés a weboldalon történő észlelés vakon történő használata.
Ásás a WireShark segítségével
A Malware1 szerint a Tiranium először egy gyanús fájlt ellenőrzi a helyileg telepített kliens segítségével. Ha nincs egyezés, ellenőrzi a fájl kivonatát a VirusTotalon. Csak akkor, ha a VirusTotal nem kap eredményt, hívja fel a magatartási felhő-szkennerét.
A vizsgálat megkezdése érdekében készítettem vadonatúj módosított verziókat a jelenlegi malware-gyűjteményemből, megváltoztattam a fájlneveket, megváltoztattam a fájl méretét, és hozzáigazítottam néhány nem végrehajtható bájtot. Ellenőriztem az egyes fájlok kivonatát a VirusTotal alapján, hogy megbizonyosodjak arról, hogy az összes hiányzik-e az adatbázisból.
A WireShark hálózati forgalomkövetési segédprogram futásakor elindítottam az ezeket a fájlokat tartalmazó mappa Tiranium vizsgálatát. Különös módon a beolvasás órákig tartott, de soha nem fejeződött be, és a beolvasott fájlok száma soha nem változott a kezdeti nulláról. Később megtudtam, hogy ennek oka az volt, hogy a viselkedésbeli felhőkiszolgáló több órán át nem működött.
Valójában, megnézve a WireShark naplót, láttam, hogy a Tiranium újra és újra megpróbálta fájlokat feltölteni a viselkedési felhőbe, mindegyik kísérlet hibával végződött. Nem találtam bizonyítékot a VirusTotal-hoz vagy a múltban állítólag használt egyéb szolgáltatásokhoz való közvetlen kapcsolatról.
Közvetett bizonyíték
Néhány tesztfájlt áthelyeztem egy másik mappába, és ellenőrzés céljából elküldtem a VirusTotal-hoz. A víruskereső motorok többsége minden esetben rosszindulatúnak találta őket; néhányan egyhangúan felismerték malware-ként.
Amint az összes fájlt a VirusTotal feldolgozta, azonnal átvizsgáltam a mappát Tiraniummal. Ezúttal a fájlokat azonnal malwareként ismerte fel. Amikor a maradék fájlokat beszkenneltem, azokat, amelyeket még nem töltöttem fel, a beolvasás elakadt, mint korábban. Míg a számítógépem és a VirusTotal között még mindig nem volt közvetlen kapcsolat, úgy tűnik, hogy egyértelmű okozati összefüggést hoztam létre.
Talán rendben van?
Megkerestem a kapcsolataimat az antivírus-iparban, hogy megnézzem, mit gondoltak. Az egyik kutató rámutatott, hogy az antivírus cégek szerződést köthetnek a VirusTotal-lal, hogy automatikusan fogadjanak minden olyan mintát, amelyet mások észleltek, de a termékük hiányzott. Úgy tűnik azonban, hogy ez nem írja le a megfigyelt helyzetet.
Ennél is fontosabb, hogy a tiranium-kapcsolatom megerősítette a VirusTotal használatát. "A VirusTotalnak speciális használati feltételei vannak" - mondta. "Mindeket küldnek a vállalatoknak. A tiranium az egyik olyan vállalat, amely ezt elemzi, mint mindenki más." Ezt követően megjegyezte, hogy az új minták elemzésének ideje változhat. "Néha ez órákig tart, néha percekig, néha napokig" - mondta.
Vagy talán nem
A VirusTotal jóváírások oldal felsorolja azokat az eladókat, akik "egy terméket, eszközt vagy erőforrást beépítettek a VirusTotalba, vagy valamilyen módon hozzájárultak". Ezek a gyártók megállapodást írtak alá, amely magában foglalja a bevált gyakorlatok sorozatát. A tirán nem tartozik a jegyzett társaságok közé. Nem veszi a mintákat a VirusTotal-tól, így használata nem "mint a többi".
Saját megelégedésére határoztam meg, hogy a Malware1 által küldött e-mailek valódi üzenetekkel szólítják meg a Tiraniumot, hogy hagyja abba a VirusTotal visszaélését. Láttam olyan bizonyítékokat, hogy egy időben maga az alkalmazás közvetlenül kapcsolódott a VirusTotalhoz információkért, ami határozottan visszaélés. De vajon jelenlegi inkarnációja ellopja-e más gyártók munkáját, ahogy a Malware1 állítja? Nem tudom határozottan mondani, de a bizalom minden bizonnyal megrázott.
Potenciálisan nem kívánt?
Nyilvánvalóan nem vagyok egyedül. A jól átgondolt Wilders Security fórumról folytatott vitában több tag kifejezi aggodalmát a termék iránt. Valójában a vita körülbelül nyolc hónappal ezelõtt számos ismert vírusvédelmi termék a tiraniumot „potenciálisan nem kívánt alkalmazásnak” találta, amelyet el kell távolítani.
A Kaspersky ma már a Tiranium két fő fájljának egyikét rosszindulatú programként is felismeri, az ESET pedig mindkettőt. A Fortinet a Tiranium webhelyét rosszindulatúnak tekinti, mint a Webroot BrightCloud szolgáltatása.
Árnyas viselkedés
Rámutattam erre a felismerésre a Kaspersky kapcsolattartómmal és megkérdeztem, hogy magyarázza-e a Tiranium miért rosszindulatú programként való megjelölését. Jelentősen több készséggel merült fel a kérdésbe, mint amennyit tudtam összegyűjteni, és nagyon sokkal felmerült. "Több mint öt különféle obfuzátort használnak, hogy eltakarítsák a kódjukat, és nincs digitális aláírása" - mondta. "Kicsit őrült, és messze néz ki a legititől." Itt nincs dohányzó pisztoly, de ezek és más rosszindulatú programok viselkedése elegendő volt a termék megjelöléséhez. Ugyancsak a VT (VirusTotal), az Anubis és a VirScan hivatkozású szerver forgalmát találta, ami arra utal, hogy valamilyen módon támaszkodhat harmadik fél forrásaira.
A BrightCloud emberek nem tudták pontosan meghatározni azt az okát, hogy a Tiranium webhelyét kockázatosként jelölték meg. Ugyanakkor rámutattak arra, hogy a Tiranium IP-címét meglehetősen sok adathalász webhely osztja meg. A Tiranium által használt olympe.in domain Google biztonságos böngészési oldalán nyugtalanító hírek voltak: "A webhelyen az elmúlt 90 nap során tesztelt 1341 oldal közül 13 oldal 13 oldal okozott rosszindulatú szoftverek letöltését és telepítését felhasználói hozzájárulás nélkül..”
A felülvizsgálatomban azt mondtam, hogy a tiranium jó első erőfeszítés, de még nem áll készen arra, hogy megtámadja több szerkesztőnk Choice víruskereső termékeit. Most úgy érzem, hogy a cégnek mind a termék fejlesztésével, mind a professzionalizmus és az átláthatóság révén visszanyernie kell a bizalmat. Javítsa ki a helyesírási és nyelvtani hibákat, szüntesse meg az obfuzikációt, írja alá digitálisan a futtatható fájlokat, és ellenőrizze, hogy azok integrálódnak-e a Windows Action Centerbe. Tartózkodjon olyan harmadik fél általi felhasználástól, amely nem teljesen átlátszó. Elkülönítse a webtárhelyet a rosszindulatú programokat tároló szerverekről. Jelenleg azt javaslom, hogy tartsa be az Editors 'Choice vírusvédelmi termékeinket.
