Video: Поздравление на День Матери (Septembra 2024)
Krátko po zverejnení mojej recenzie na produkt Tiranium Premium Security 2014 som dostal správu od výskumníka pomocou rukoväte Malware1. Tvrdil, že spoločnosť Tiranium zneužívala rôzne internetové stránky na kontrolu škodlivého softvéru, aby zvýšila mieru svojej detekcie. Jeho poznámka zahŕňala odkazy na videá ukazujúce najmä staršiu verziu softvéru pripájajúceho sa k VirusTotal (hoci pripustil, že už neexistuje priame spojenie). Dodal tiež to, čo povedal, množstvo e-mailov od spoločnosti VirusTotal po spoločnosť Tiranium, v ktorých požadovali, aby prestali zneužívať túto službu.
Overil som sa pomocou VirusTotal, ale môj kontakt odmietol komentovať zverejnenie. Musel som si sám určiť, či je to pravda a či to predstavuje problém.
Čo je VirusTotal
Pre tých, ktorí s ňou nie sú oboznámení, je verejnou tvárou VirusTotal web, na ktorý môžete nahrať súbor a zistiť, či je škodlivý. Stránka najprv vygeneruje hash súboru - jedinečný matematický odtlačok prsta. Ak je hash už vo svojej databáze (a väčšina z nich je), vráti uložené výsledky. Ak nie, skontroluje súbor s asi 50 hlavnými antivírusovými modulmi a nahlási, ktorý súbor označil ako škodlivý. Spoločnosť Google získala VirusTotal asi pred dvoma rokmi.
Táto služba ide nad rámec jednoduchej kontroly súborov. Podľa jej webovej stránky je „úlohou VirusTotal pomáhať pri zlepšovaní antivírusového a bezpečnostného priemyslu a prostredníctvom rozvoja bezplatných nástrojov a služieb urobiť z internetu bezpečnejšie miesto.“ Na tej istej stránke sa uvádza, že „Žiadna zo služieb alebo aplikácií verejne ponúkaných na tejto stránke by sa nemala používať v komerčných produktoch, komerčných službách alebo na akékoľvek obchodné účely. Rovnakým spôsobom by žiadna zo služieb nemala byť použitá ako náhrada za bezpečnostné produkty.."
Inými slovami, produkt, ktorý jednoducho použil výsledky VirusTotal bez nezávislého overenia, či je súbor škodlivý, by porušoval podmienky poskytovania služby. A skutočne kontroverzný test spoločnosti Kaspersky Lab pred niekoľkými rokmi ukázal, že slepé používanie detekcie z webovej stránky je zlý nápad.
Kopanie pomocou WireShark
Podľa Malware1 Tiranium najskôr skontroluje podozrivý súbor pomocou lokálne nainštalovaného klienta. Ak neexistuje žiadna zhoda, skontroluje hash súboru na VirusTotal. Iba ak nezíska žiadne výsledky z VirusTotal, vyvolá svoj vlastný behaviorálny cloudový skener.
Aby som začal vyšetrovanie, vytvoril som úplne nové modifikované verzie mojej súčasnej kolekcie škodlivého softvéru, zmenil som názvy súborov, zmenil veľkosť súboru a vyladil niektoré nevykonateľné bajty. Overil som si hash každého súboru proti VirusTotal, aby som sa ubezpečil, že všetky chýbali v databáze.
Keď je spustený nástroj na sledovanie sieťovej prevádzky WireShark, spustil som Tiranium skenovanie zložky obsahujúcej tieto súbory. Je zvláštne, že kontrola trvala hodiny, ale nikdy sa neskončila a počet kontrolovaných súborov sa nikdy nezmenil z pôvodnej nuly. Neskôr som sa dozvedel, že je to preto, že cloudový server správania bol na niekoľko hodín mimo prevádzky.
Po prečítaní protokolu WireShark som skutočne videl, že Tiranium sa znova a znova snažil nahrať súbory do cloudu správania, pričom každý pokus skončil chybou. Nezistil som žiadny dôkaz o priamom spojení so VirusTotal ani s inými službami, ktoré sa údajne používali v minulosti.
Okolité dôkazy
Niektoré testovacie súbory som presunul do iného priečinka a odoslal ich na kontrolu do VirusTotal. Väčšina antivírusových programov ich v každom prípade zistila ako škodlivé; niektoré dostali takmer jednomyseľné uznanie ako malware.
Hneď ako boli všetky súbory spracované programom VirusTotal, okamžite som prehľadal priečinok s Tiranium. Tentoraz okamžite rozpoznal tieto súbory ako malware. Keď som prehľadával zostávajúce súbory, tie, ktoré som nenahral, skenovanie zostalo ako predtým. Aj keď z môjho počítača stále nebolo priame spojenie s programom VirusTotal, zdá sa, že som si vytvoril jasný reťazec príčinných súvislostí.
Možno je to v poriadku?
Natiahla som sa na svoje spojenia v antivírusovom priemysle, aby som zistila, čo si myslia. Jeden výskumný pracovník poukázal na to, že antivírusové spoločnosti sa môžu s VirusTotal zmluvne dohodnúť na automatickom prijatí vzorky, ktorú ostatní zistili, ale jej produkt nevynechal. Nezdalo sa však, že by opísal situáciu, ktorú som pozoroval.
Ešte dôležitejšie je, že môj kontakt s Tiránom potvrdil použitie VirusTotal. „VirusTotal má špecifické podmienky použitia, “ uviedol. "Posielajú vzorky spoločnostiam. Tiranium je jednou zo spoločností, ktoré to analyzujú, rovnako ako všetky ostatné." Ďalej poznamenal, že čas na analýzu nových vzoriek sa môže líšiť. „Niekedy to bude trvať hodiny, niekedy minúty, niekedy aj dni, “ povedal.
Alebo možno nie
Na stránke CreditTotal kreditov sú uvedení všetci dodávatelia, ktorí „do programu VirusTotal integrovali produkt, nástroj alebo zdroj alebo nejakým spôsobom prispeli“. Títo predajcovia podpísali dohodu, ktorá obsahuje súbor osvedčených postupov. Tiranium nepatrí medzi kótované spoločnosti. Neprijíma vzorky z VirusTotal, takže jeho použitie nie je „ako všetky ostatné“.
Rozhodol som sa k vlastnej spokojnosti, že e-maily poskytnuté spoločnosťou Malware1, ktoré spoločnosti Tiranium hovoria, aby prestali zneužívať VirusTotal, sú skutočné. Videl som dôkazy, že sa samotná aplikácia pripojila priamo k VirusTotal pre informáciu, čo je určite zneužitie. Je však jeho súčasná inkarnácia krádežou práce iných predajcov, ako tvrdí Malware1? Nemôžem definitívne povedať, ale moja dôvera je určite otrasená.
Potenciálne nechcené?
Zrejme nie som sám. V diskusii o dobre známom fóre spoločnosti Wilders Security vyjadrilo niekoľko členov obavy z tohto produktu. V skutočnosti, v čase tejto diskusie asi pred ôsmimi mesiacmi, množstvo známych antivírusových produktov detegovalo Tiranium ako „potenciálne nežiaducu aplikáciu“, ktorú treba odstrániť.
Už teraz Kaspersky detekuje jeden z dvoch hlavných súborov Tiranium ako malware a ESET ich zistí. Fortinet identifikuje webovú stránku spoločnosti Tiranium ako škodlivú, rovnako ako službu BrightCloud spoločnosti Webroot.
Temné správanie
Túto detekciu som poukázal na môj kontakt s Kaspersky a opýtal som sa, či by mohol vysvetliť, prečo bol Tiranium označený ako malware. Vrhol sa na otázku s podstatne vyššou schopnosťou, ako som dokázal zozbierať, a prišiel s mnohými. „Používajú viac ako päť rôznych obfuskátorov na zahmlievanie ich kódu a neexistuje žiadny digitálny podpis, “ povedal „Je to trochu šialené a vyzerá ďaleko od legitímnosti.“ Nie je tu žiadna fajčiarska pištoľ, ale toto a ďalšie škodlivé správanie bolo dostatočné na označenie produktu. Našiel tiež prenos zo servera odkazujúci na VT (VirusTotal), Anubis a VirScan, čo naznačuje určité spoliehanie sa na zdroje tretích strán.
Ľudia BrightCloud nemohli určiť dôvod, prečo bola webová stránka spoločnosti Tiranium označená ako riskantná. Poukázali však na to, že adresa IP spoločnosti Tiranium sa zdieľa s niekoľkými webmi neoprávnene získavajúcimi údaje. Bezpečná prehliadacia stránka spoločnosti Google pre doménu olympe.in, ktorú používa Tiranium, obsahovala alarmujúce správy: „Z 1341 stránok, ktoré sme testovali na webe za posledných 90 dní, viedlo 13 stránok k stiahnutiu a inštalácii škodlivého softvéru bez súhlasu používateľa.."
V mojej recenzii som uviedol, že Tiranium je dobrá prvá snaha, ale nie je pripravená napadnúť naše niekoľko antivírusových produktov s možnosťou výberu editorov. Teraz cítim, že spoločnosť musí vylepšiť produkt a znovu získať svoju dôveru v profesionalitu a transparentnosť. Opravte pravopisné a gramatické chyby, zahĺbte zahmlievanie, digitálne podpíšte spustiteľné súbory a uistite sa, že je integrovaný s centrom akcií Windows. Vyhnite sa akémukoľvek použitiu produktov tretích strán, ktoré nie sú úplne transparentné. Oddeľte webhosting od serverov, ktoré hostia škodlivý softvér. Zatiaľ vám odporúčame držať sa antivírusových produktov Editors 'Choice.
