Confies en el seu antivirus?

Poc després de publicar la meva ressenya sobre Tiranium Premium Security 2014, vaig rebre un missatge d’un investigador que feia servir el mànec Malware1. Va afirmar que Tiranium va abusar de diversos llocs web en línia de control de programari maliciós per reforçar-ne la taxa de detecció. La seva nota incloïa enllaços a vídeos que mostraven una versió anterior del programari que es connecta a VirusTotal, en particular (tot i que va admetre que ja no hi ha connexió directa). També va subministrar el que va dir que eren diversos missatges de correu electrònic de VirusTotal a Tiranium exigint que deixessin d’utilitzar el servei.

Vaig comprovar amb VirusTotal, però el meu contacte no va fer cap comentari per a la seva publicació. Vaig haver de determinar per mi mateix si això era cert, i si era un problema si fos així.

Què és VirusTotal

Per a aquells que no estiguin familiaritzats amb això, la cara pública de VirusTotal és un lloc web on podeu carregar un fitxer per veure si és maliciós. El lloc genera per primera vegada un hash per a l'arxiu: una empremta digital matemàtica única. Si el hash ja es troba a la base de dades (i la majoria), retorna els resultats emmagatzemats. Si no, comprova el fitxer amb una cinquantena de motors antivirus principals, que indica que el fitxer era maliciós. Google va adquirir VirusTotal fa uns dos anys.

El servei va més enllà de simplement comprovar fitxers. Segons el seu lloc web, "la missió de VirusTotal és ajudar a millorar la indústria antivirus i la seguretat i fer que Internet sigui un lloc més segur a través del desenvolupament d'eines i serveis gratuïts." Aquesta mateixa pàgina afirma que "Cap dels serveis o aplicacions que s'ofereixen públicament en aquest lloc no s'ha d'utilitzar en productes comercials, serveis comercials o amb cap finalitat comercial. De la mateixa manera, cap dels serveis no hauria de ser utilitzat com a substitut dels productes de seguretat. ".

És a dir, un producte que utilitza simplement els resultats de VirusTotal sense verificar independentment que el fitxer és malintencionat incompliria els termes del servei. I, de fet, un controvertit test de Kaspersky Lab fa diversos anys va demostrar que utilitzar una detecció cegament del lloc web és una mala idea.

Cavant amb WireShark

Segons Malware1, Tiranium primer comprova un fitxer sospitós mitjançant el seu client instal·lat localment. Si no hi ha coincidències, comprova l'hash del fitxer a VirusTotal. Només si no obté resultats de VirusTotal, s'invoca el seu propi escàner de núvols comportamentals.

Per iniciar la investigació, vaig crear versions modificades completament completes de la meva col·lecció de programari maliciós actual, canviant els noms de fitxer, modificant la mida del fitxer i ajustant alguns bytes no executables. Vaig comprovar el hash de cada fitxer contra VirusTotal, per estar segur que tots no estaven absents de la base de dades.

Amb la utilitat de seguiment de trànsit de xarxa de WireShark en funcionament, he llançat una exploració de Tiranium de la carpeta que conté aquests fitxers. Estranyament, l'exploració va funcionar durant hores, però no es va acabar mai i el nombre de fitxers escanejats no va canviar mai del seu zero inicial. Més tard vaig saber que això va ser perquè el servidor de núvols de comportament es va mantenir durant diverses hores.

De fet, en fer un registre al WireShark vaig veure que Tiranium va intentar una i altra vegada carregar fitxers al núvol comportamental, cada intent finalitzant un error. El que no vaig trobar va ser cap evidència de connexió directa amb VirusTotal o amb algun dels altres serveis que presumptament s'havien utilitzat en el passat.

Proves circumstancials

He traslladat alguns dels meus fitxers de prova a una altra carpeta i els he enviat a VirusTotal per comprovar-los. En tots els casos, la majoria dels motors antivirus els van detectar com a maliciosos; alguns van obtenir un reconeixement gairebé unànime com a programari maliciós.

Tan aviat com tots els fitxers foren processats per VirusTotal, de seguida vaig escanejar la carpeta amb Tiranium. Aquesta vegada va reconèixer aquests fitxers com a malware immediatament. Quan vaig escanejar els fitxers restants, els que no havia penjat, es va quedar bloquejat com abans. Tot i que encara no hi havia una connexió directa des del meu ordinador amb VirusTotal, sembla que he establert una clara cadena de causalitat.

Potser està bé?

Vaig contactar amb les meves connexions a la indústria antivirus per veure què pensaven. Un investigador va assenyalar que les empreses antivirus poden contractar-se amb VirusTotal per rebre automàticament qualsevol mostra que d’altres persones detectessin però el seu producte perdut. Tot i això, no semblava descriure la situació que observava.

Més important encara, el meu contacte Tiranium va confirmar l’ús de VirusTotal. "VirusTotal té termes d'ús específics", va dir. "Envien mostres a les empreses. El tiranium és una de les empreses que analitzen això, com totes les altres". Va indicar que el temps per analitzar noves mostres pot variar. "De vegades això passarà hores, a vegades minuts, a vegades dies", va dir.

O Potser no

La pàgina de crèdits de VirusTotal mostra tots els venedors que han "integrat un producte, una eina o un recurs a VirusTotal o han contribuït d'alguna manera". Aquests venedors han signat un acord que inclou un conjunt de bones pràctiques. Tiranium no es troba entre les empreses que figuren. No rep mostres de VirusTotal, per la qual cosa el seu ús no és "com tots els altres".

He determinat la meva pròpia satisfacció que els correus electrònics subministrats per Malware1 dient a Tiranium que deixi d’utilitzar malament VirusTotal són reals. He vist proves que en un moment l’aplicació mateixa es va connectar directament a VirusTotal per obtenir informació, que és definitivament un abús. Però, la seva encarnació actual robant la feina d'altres venedors, tal com afirma Malware1? No puc dir definitivament, però la meva confiança està definitivament disminuïda.

Potencialment no desitjat?

Segons sembla, no estic sol. En una discussió sobre el conegut fòrum Wilders Security, diversos membres expressen la seva preocupació pel producte. De fet, en el moment d’aquesta discussió de fa vuit mesos, diversos productes antivirus coneguts van detectar Tiranium com una “aplicació potencialment no desitjada” que s’hauria d’eliminar.

Encara ara, Kaspersky detecta un dels dos fitxers principals de Tiranium com a programari maliciós i ESET els detecta. Fortinet identifica el lloc web de Tiranium com a maliciós, com fa el servei BrightCloud de Webroot.

Comportaments ombrívols

Vaig assenyalar aquesta detecció al meu contacte Kaspersky i em vaig preguntar si podia explicar per què es va marcar Tiranium com a programari maliciós. Va posar-se en qüestió amb una habilitat molt més gran que la que vaig poder reunir, i va trobar-ne un munt. "Estan utilitzant més de cinc obfuscators diferents per ofuscar el seu codi i no hi ha signatura digital", va dir "És una mica boig i sembla lluny de ser legítim". Aquí no hi ha cap arma per fumar, però aquestes i altres conductes similars a programari maliciós van ser suficients perquè el producte estigui marcat. També va trobar trànsit del servidor fent referència a VT (VirusTotal), Anubis i VirScan, cosa que suggeria algun tipus de confiança en fonts de tercers.

La gent de BrightCloud no va poder identificar el motiu pel qual el lloc web de Tiranium es va marcar com a arriscat. Tot i això, van assenyalar que l’adreça IP de Tiranium es comparteix amb bastants llocs web de pesca. La pàgina de navegació segura de Google per al domini olympe.in usada per Tiranium va tenir algunes notícies alarmants: "De les 1341 pàgines que vam provar al lloc durant els darrers 90 dies, 13 pàgines van causar la descàrrega i la instal·lació de programari maliciós sense el consentiment de l'usuari. ".

Vaig dir a la meva ressenya que Tiranium és un primer esforç, però no està preparat per a desafiar els nostres productes antivirus de diversos Editors 'Choice. Ara sento que l'empresa necessita millorar el producte i recuperar la meva confiança amb professionalitat i transparència. Arregleu els errors d’ortografia i gramàtica, traqueu l’ofuscació, signeu digitalment els fitxers executables i assegureu-vos que s’integra amb el Centre d’Acció de Windows. Abstenir-se de l'ús de productes de tercers que no siguin del tot transparents. Separeu l’allotjament web dels servidors que allotgen programari maliciós. Ara per ara, us recomano que us enganxeu amb els nostres productes antivirus dels nostres Editors 'Choice.