VirusTotal ocenianie bezpieczeństwa plików część 2

VirusTotal część 2

Ten wpis jest częścią drugą opisu działania aplikacji VirusTotal. W części pierwszej skupiliśmy się na ogólnym przedstawieniu podstawowych funkcji, oraz na strukturze tytułowego serwisu. Tym razem przeanalizujemy i wyciągniemy wnioski z kilku przykładowych analiz.

Proponuje pewne wyzwanie, przed każdym z przykładów umieszczę kontekst oraz link do wyników analizy virustotal. Jeżeli chcesz, możesz samodzielnie ocenić czy plik jest bezpieczny, a potem sprawdzić poniżej, czy miałeś rację. 

Zanim zaczniemy, chciałbym wyjaśnić jeszcze jedną kwestię, otóż każda firma decyduje samodzielnie jakie zasoby przeznacza na użytek serwisu virustotal. Oznacza to, że mimo braku wykrycia zagrożenia przez dany silnik antywirusowy, może ono być wykrywane w przypadku użycia programu w prawdziwych warunkach (zainstalowanego na komputerze).

Przykład 1 

Kontekst: Szukałeś pewnego programu do edycji zdjęć, udało ci się go znaleźć na dosyć podejrzanej stronie, zdecydowałeś się więc sprawdzić instalator w aplikacji VirusTotal.

Link:

https://www.virustotal.com/gui/file/24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c/detection

poniżej jest odpowiedź, jeśli chcesz, możesz samodzielnie ocenić plik i sprawdzić, czy miałeś rację:

Mamy tutaj pierwszą przykładową analizę. W tym przypadku sprawa wygląda dosyć prosto. Pole detekcji pokazuje aż 69 wykryć. Dodatkowo zwróćmy uwagę na ich nazwy. Każdy z silników antywirusowych poza informacją na temat zagrożenia pokazuje, jak zostało ono sklasyfikowane.

Niestety nazwy nie są normalizowane, dlatego często konieczne jest wyszukiwanie na stronie producenta informacji odnośnie typu wykrytego złośliwego oprogramowania.

Tutaj możemy zobaczyć jak przykładowo zagrożenie sklasyfikował F-Secure. Skopiujmy więc nazwę wykrycia i sprawdźmy za pomocą google, co ono oznacza.

Na stronie producenta możemy zobaczyć szczegóły dotyczące wykrycia. Jak widzimy mamy do czynienia z osławionym ransomware WannaCry. Dodatkowo z bardzo dużym prawdopodobieństwem możemy powiedzieć, że plik został ręcznie zaklasyfikowany. Dlaczego?

Pakiety antywirusowe poza wykrywaniem znanych zagrożeń, posiadają moduły pozwalające na wykrywanie również tych nieznanych. Robią to poprzez analizę zachowania oraz zawartości programu. Tego typu detekcje oznaczane są zazwyczaj przez użycie w nazwie słów: Gen, heur, suspicious, score, użycie znaku % lub podanie informacji typu “detected” bez żadnych szczegółów. W naszym przykładzie możemy przyjąć z bardzo dużym prawdopodobieństwem, że ten konkretny plik został ręcznie dopisany do listy zagrożeń. Oznacza to, że bez dalszej analizy możemy przyjąć, że mamy do czynienia z prawdziwym zagrożeniem:

WerdyktRansomware 

Przykład 2

Kontekst: Planowałeś zmienić swoją przeglądarkę, na najnowszą wersję Firefox, wszedłeś na stronę która wydawała ci się oficjalną, po czym pobrałeś instalator. 

Link:

https://www.virustotal.com/gui/file/a7c2774be5c99c3248979f52b2dacb82f915a6a210f3ccd159bad8fa117dc835/detection

poniżej jest odpowiedź, jeśli chcesz, możesz samodzielnie ocenić plik i sprawdzić, czy miałeś rację:

Tym razem sprawa jest bardziej skomplikowana. Widzimy, że nasz program został wykryty przez dwa silniki antywirusowe. 

Podobnie jak wcześniej przeanalizujmy nazwy klasyfikujące wykrycia. Pamiętasz, jak w poprzednim przykładzie powiedziałem, jak zazwyczaj oznaczane są automatyczne wykrycia?

Zobaczmy treść opisów:

Cylance opisało plik jako “Unsafe” ,raczej nie za dużo mówi nam to o typie zagrożenia. MaxSecure oznaczyło plik jako Trojan.Malware.121218.susgen

Słowo gen sugeruje nam, że mamy do czynienia z automatyczną klasyfikacją. Natomiast oprogramowanie Cylance należy do tak zwanych antywirusów nowej generacji, w której w głównej mierze zagrożenia są wykrywane w sposób automatyczny, jako że nie mamy żadnych szczegółów dotyczących rodzaju zagrożenia, możemy śmiało przyjąć, że oba wykrycia są automatyczne (nie zostały ręcznie dodane).

No dobra, ale tak naprawdę informacja ta nie gwarantuje nam, że plik jest bezpieczny. Jest to natomiast cenna wskazówka mówiąca, że może to być tzw. “false positive”, czyli błędne wykrycie pliku jako niebezpieczny. Konieczne jest jednak sprawdzenie kolejnej zakładki “Details”.

Plik jest bardzo młody, pierwszy raz został przeskanowany 25.01.2023. Teraz ważna kwestia, oprogramowanie, które zostało umieszczone w serwisie virustotal, niedawno (kilka dni temu), wymaga szczególnej czujności.

Twórcy złośliwego oprogramowania, doskonale wiedzą, czy ich plik jest wykrywany przez silniki antywirusowe. Dlatego zazwyczaj tworzą oprogramowanie w taki sposób, aby automatyczne moduły nie były w stanie go wykryć. Konieczna jest wtedy ręczna klasyfikacja, na którą potrzeba czasu.

Mając młody plik z niedużą liczbą wykryć, w których wszystkie są automatyczne, nie możemy traktować tego wyniku jako z góry błędny.

Patrząc dalej, widzimy, że nazwy programu również nie są w żaden sposób podejrzane.

Ostatnie pole dotyczy cyfrowego podpisu pliku:

Podpis cyfrowy wygląda na prawidłowy, został on wystawiony firmie Mozilla, która jest twórcą przeglądarki Firefox.

Zakładka behavior, również nie pokazuje niczego niepokojącego.

Biorąc pod uwagę to, że program pobraliśmy z “oficjalnej” strony, liczba wykryć jest nieduża, są to tylko wykrycia automatyczne, program nie zachowuje się w sposób podejrzany oraz to, że plik jest podpisany przez odpowiednią firmę. Możemy z dużym prawdopodobieństwem założyć, że jest to wynik fałszywie pozytywny.

WerdyktFalse positive

Przykład 3

Kontekst: Postanowiłeś pobrać program do tworzenia archiwów WinRAR, wpisałeś nazwę w google i pobrałeś plik, ze strony która wyglądała na oficjalną.

Link:

https://www.virustotal.com/gui/file/541502bdb1f119cd5df1393e7fd79f17e787c7bd52e4193d8bba3ef150390ce2/details

poniżej jest odpowiedź, jeśli chcesz, możesz samodzielnie ocenić plik i sprawdzić, czy miałeś rację:

Mamy do czynienia z dosyć kłopotliwą sytuacją, otóż plik został oznaczony przez trzy silniki, natomiast opisy każdego z nich są dosyć ogólne. Nie są to nazwy mówiące nam, że mamy do czynienia z automatycznym wykryciem, jak i również nie sugerują ręcznej klasyfikacji. 

W takiej sytuacji warto założyć, że zostały one ręcznie dodane, choć tak naprawdę nie sposób tego stwierdzić po samych wynikach.

Zakładka “Details” pokazuje nam, że badany plik jest młody i występuje pod różnymi dziwnymi nazwami. 

Występowanie różnych nazw składających się z liczb i liter, nie jest tak naprawdę podejrzane. Są to nazwy programów, pod którymi użytkownicy wrzucali dany plik. Dosyć często możesz spotkać się z tego typu zapisem, zarówno w złośliwym jak i bezpiecznym oprogramowaniu.

Natomiast podejrzane jest coś, czego nie możemy tu zobaczyć. Mianowicie plik nie jest podpisany. 

W zależności od tego, jaki program jest przez nas analizowany, powinniśmy brać pod uwagę różne kryteria. 

Zasada jest dosyć prosta, im firma jest większa lub im bardziej program jest popularny, tym większa jest szansa, że plik jest przez nią podpisany. Brak podpisu przy prostych programach małych producentów, mających niedużą liczbę pobrań nie jest czymś podejrzanym. Natomiast bardziej popularne programy zazwyczaj podpis posiadają.

Zakładka behavior dodatkowo oznaczyła podejrzane zachowanie pliku. W tym przypadku “Sigma Rules”.

Sytuacja nie jest klarowna, natomiast biorąc pod uwagę to, że program WinRAR jest bardzo popularny, brak podpisu cyfrowego producenta, wykrycie zagrożenia przez trzy silniki (w tym google) oraz podejrzane zachowanie programu sugeruje nam, że plik jest prawdopodobnie niebezpieczny i powinniśmy upewnić się raz jeszcze czy pobraliśmy go z oficjalnej strony.

Ten konkretny plik znajdował się na stronie, która udawała oficjalną witrynę WinRAR, atakujący wykupili reklamę w google, przez co ich witryna pojawiała się jako jeden z pierwszych wyników w wyszukiwarce.

WerdyktSuspicious/malware

Przykład 4

Kontekst: Szukałeś programu do nagrywania ekranu Bandicam, wpisałeś nazwę w google, po czym wszedłeś na stronę wyglądającą na oficjalną. 

Link:

https://www.virustotal.com/gui/file/0b5061df740fb71bdc7ba238b1b8c6654ddb2e839c1cd1af3c321179182fc777/details

poniżej jest odpowiedź, jeśli chcesz, możesz samodzielnie ocenić plik i sprawdzić, czy miałeś rację:

Ponownie mamy do czynienia z niedużą liczbą wykryć, Kaspersky zaklasyfikował zagrożenie jako AdWare, natomiast jest to klasyfikacja automatyczna (słowo heur). Drugim silnikiem jest comodo, który stwierdził, że aplikacja jest niepożądana, bez podania szczegółów.

Na tej podstawie nie możemy ocenić bezpieczeństwa pliku. Sprawdźmy więc zakładkę “Details”.

Plik ma już kilka miesięcy, więc do nowych nie należy. Dodatkowo jest podpisany:

Wszystko wygląda dobrze, no właśnie nie, kolejna ważna sprawa zawsze upewniaj się, czy podpis cyfrowy należy do producenta oprogramowania. Firma “Eclipse” nie jest producentem programu bandicam.

Dodatkowo zobaczmy nazwy programu:

W tym momencie powinna zapalić się czerwona lampka, występowanie programu pod różnymi nazwami opisującymi inne programy jest bardzo podejrzane. O ile “losowe” liczby i litery nie są niczym dziwnym, to podszywanie się jednego programu pod kilka innych już tak.

Dodatkowo w zakładce behavior mamy informacje o podejrzanym zachowaniu programu.

Mimo niedużej liczby detekcji, z bardzo dużym prawdopodobieństwem możemy powiedzieć, że mamy do czynienia z niepożądanym lub złośliwym oprogramowaniem. 

Ten konkretny plik pobierany był po kliknięciu w reklamę, znajdującą się na jednej ze stron z oprogramowaniem (reklama z guzikiem download). Z całą pewnością możemy powiedzieć, że nie powinniśmy zakładać, że jest on bezpieczny. 

WerdyktSuspicious/malware

Scroll to Top