«Крадут» ли антивирусы обнаружение с VirusTotal?

Доверяете ли Вы своему антивирусу?

Вскоре после публикации обзора Tiranium Premium Security 2014 эксперт интернет-портала PC Magazine Н. Дж. Рубенкинг получил сообщения от исследователя, известного под ником Malware1. Он утверждал, что Tiranium злоупотребляет различными онлайн сервисами антивирусной проверки файлов для повышения своего уровня обнаружения. Его заметка включала ссылки на видео, которое демонстрировало, как старая версия программы соединялась с сервером VirusTotal (хотя исследователь признал, что прямое соединение в новой версии уже не применяется). Malware1 также сообщил о письмах от VirusTotal в адрес Tiranium с просьбами прекратить злоупотребление сервисом.

Рубенкинг обратился к официальному представителю VirusTotal, но тот опроверг данную информацию. Эксперту PC Magazine ничего не оставалось, как самому разобраться с в этом спорном вопросе.

Подробнее о VirusTotal

Для тех, кто незнаком с сервисом, поясним, что главным лицом VirusTotal является веб-сайт, с помощью которого любой пользователь может загрузить файл и проверить его на предмет вредоносного кода. Первоначально сайт генерирует хеш-сумму файла - уникальный математический “отпечаток пальцев”. Если конкретная хеш-сумма уже имеется в базе данных (а большинство файлов уже есть в VirusTotal) сервис возвращает сохраненные результаты. Если файла в базе нет, он проверяется с помощью 50 основных антивирусных движков, оповещая пользователя о том, какие именно антивирусные движки пометили файл как вредоносный. VirusTotal был приобретен Google два года назад.

Сервис не ограничивается простой проверкой файлов. Согласно официальному веб-сайту: “Главная задача VirusTotal - помочь улучшить индустрию компьютерной безопасности и антивирусного ПО и сделать Интернет более безопасным путем развития бесплатных инструментов и сервисов”. Все та же страница уведомляет: “Ни одна служба или приложение на данном сайте не могут быть использованы в коммерческих продуктах, коммерческих службах или в любых других коммерческих целях. Таким же образом, ни одна из услуг не может быть использована для замены антивирусных продуктов”.

Другими словами, продукт, который использует результаты VirusTotal без независимой самостоятельной проверки зловредности файла нарушает условия предоставления услуг. Действительно, несколько лет назад спорный тест от "Лаборатории Касперского" показал, что слепое использование результатов сайта является совсем плохой идеей.

Разбираемся в проблеме вместе с WireShark

Согласно Malware1, Tiranium первоначально проверял файлы помощью установленного локального клиента. Если совпадения не было обнаружено, антивирус проверял хеш-сумму на VirusTotal. Если результаты от VirusTotal также отсутствовали, запускался облачный поведенческий сканер.

Для проведения независимого расследования была подготовлена коллекция новейших модифицированных версий вредоносных программ. Все исходные образцы были переименованы, их размер был изменен и были скорректированы некоторые неисполняемые байты кода. Хеш-сумма всех файлов была проверена на VirusTotal, чтобы убедиться, что файлы не значатся в базе данных сервиса.

Затем была запущена утилита отслеживания сетевого трафика WireShark и инициировано сканирование папки с угрозами средствами Tiranium. Как ни странно, сканирование выполнялось несколько часов, но так и не закончилось, а счетчик проверенных файлов не изменил своего первоначального нулевого значения. Впоследствии выяснилось, что сервер облачного сканера был недоступен в течение нескольких часов.

Действительно, при просмотре логов WireShark четко прослеживалось, что Tiranium снова и снова пытался загрузить файлы на сервер облачного поведенческого сканера, но каждая операция заканчивалась ошибкой. К сожалению, так и не удалось найти прямые доказательства подключения к VirusTotal или другому онлайн сервису для анализа файлов, которые, как утверждалось, использовались Tiranium для увеличения уровня обнаружения.

Косвенные доказательства

Часть тестовых файлов была перемещена в отдельную папку и направлена в VirusTotal для анализа. В каждом случае, большинство антивирусных движков обнаружили в них вредоносную природу, а некоторые были распознаны практически единогласно.

После того, как файлы были проверены VirusTotal, содержащая их папка была просканирована Tiranium. На этот раз антивирус сразу же распознал файлы как вредоносные. При сканировании остальных файлов, которые не загружались на сайт сервиса, сканирование зависало как раньше. В то время как не было обнаружено прямой связи компьютера с сервисом VirusTotal, четкая следственная связь была выявлена.

Может это нормально?

Рубенкинг обратился к представителям антивирусной индустрии, чтобы узнать их мнение в данном вопросе. Один исследователь отметил, что антивирусные вендоры могут заключать сделки о сотрудничестве с VirusTotal, чтобы автоматически получать образцы, которые были обнаружены движками конкурентов, но пропущены собственной антивирусной технологией. Тем не менее, данная информация не объясняет ситуацию с французским продуктом.

Самый важный комментарий был получен от представителя Tiranium. Он заявил: “VirusTotal имеет специфические условия использования. Они отправляют вредоносные образцы в компании. Tiranium, также, как и другие компании, анализирует эти данные”. Специалист Tiranium прокомментировал, что время анализа может различаться: "Иногда данная процедура продолжается часами, иногда минутами, иногда днями".

А может нет?

Отдельная страница VirusTotal содержит список вендоров, которые интегрировали решения или ресурсы VirusTotal. Данные вендоры подписали соглашение, которое включает набор лучших практик. Tiranium не значится в списке данных компаний. Таким образом, французский вендор не получает образцы от сервиса.

Теперь становится ясно, что сообщения, которые были предоставлены Malware1, в которых VirusTotal просит прекратить неправомерное использование услуг являются настоящими. Действительно, ранние версии антивируса напрямую подключались к VirusTotal, а это грубое нарушение правил сервиса. Крадет ли текущая версия антивируса результаты работы других вендоров? В любом случае, уровень доверия значительно понижен.

Потенциально нежелательное ПО?

В оживленной дискуссии на форуме Wilders Security несколько экспертов выразили озабоченность по поводу продукта. Действительно, на момент начала дискуссии, т.е. около восьми месяцев назад, многие антивирусные продукты распознавали Tiranium как "потенциально нежелательное ПО", которое должно быть удалено.

Даже сейчас, Kaspersky распознает один из двух главных файлов Tiranium в качестве вредоносной программы, а ESET блокирует оба файла. Fortinet и сервис BrightCloud от Webroot находят веб-сайт Tiranium опасным.

Темная активность

За разъяснениями по поводу обнаружения вредоносной активности в файлах Tiranium Рубенкинг обратился к представителю "Лаборатории Касперского". Оказалось, что он очень хорошо был осведомлен о ситуации с Tiranium. Он пояснил: "Они используют более пяти различных механизмов обфускации чтобы скрыть исходный код, и они не используют цифровую подпись. Это очень неправильный подход, все представлено так, как будто программа не легитимна". Действительно, данных признаков уже достаточно, чтобы большинство механизмов поведенческого анализа пометили файл как вредоносный. Представитель Kaspersky рассказал об обнаружении трафика от сервера, ссылающегося на VirusTotal, Anubis и VirScan, подтверждая зависимость от сторонних источников данных.

Специалисты BrightCloud не смогли пояснить, почему веб-сайт Tiranium является опасным. Тем не менее, они заявили, что на идентичном IP-адресе размещены несколько фишинг-сайтов. После проверки домена Tiranium olympe.in с помощью страницы безопасного серфинга от Google появились тревожные новости: “Из 1341 протестированных за последние 90 дней страниц, 13 страниц содержат вредоносное ПО, загружаемое и устанавливаемое без ведома пользователя”.

В своем обзоре Рубенкинг сказал, что Tiranium продемонстрировал стремительное начало, но пока еще не готов присоединиться к носителям звания “Выбор редакции” портала PC Magazine. Теперь становится ясно, что для того, чтобы вернуть доверие, вендор должен не только улучшить продукт, но и продемонстрировать профессионализм и прозрачность. Предстоит большая работа: устранение грамматических ошибок и ошибок в правописание, отказ от обфускации кода, подписание цифровой подписью файлов и устранение проблем с интеграцией с центром поддержки Windows. А главное, нужно отказаться от использования результатов сторонних продуктов, которое не является прозрачным и переместить официальный веб-сайт на сервера, свободные от ресурсов с вредоносным ПО.

Перевод Comss.ru. По материалам интернет-портала SecurityWatch