Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

VirusTotal dla twórców złośliwego oprogramowania?

30 września 2013, 23:54 | Aktualności | komentarzy 10

Jakiś czas temu polecaliśmy świetny serwis VirusTotal, jako doskonałe narzędzie umożliwiające równoczesne przeskanowanie dowolnych plików za pomocą kilkudziesięciu różnych rozwiązań antywirusowych. Spójrzmy na podobny serwis, który w przeciwieństwie do VT może okazać się przydatny przede wszystkim… twórcom złośliwego oprogramowania.

VirusTotal to popularny serwis internetowy, umożliwiający przeskanowanie niemal dowolnych zbiorów pod kątem obecności złośliwego oprogramowania z wykorzystaniem kilkudziesięciu różnych technologii antywirusowych.

Należący obecnie do firmy Google, VT pozwala również na wygodne wykrywanie złośliwych witryn internetowych, a od niedawna posiada również funkcję analizowania zrzutów ruchu sieciowego.

Wydawać by się mogło, że w takiej sytuacji twórcy wirusów, robaków i rozmaitych botów są stałymi użytkownikami tej popularnej usługi, na bieżąco testując odporność swych dzieł na wykrycie.

Tak jednak nie jest, gdyż VirusTotal gromadzi oraz analizuje wszystkie przesłane informacje. Co więcej, wszystkie podejrzane wyniki są udostępniane wszystkim zaangażowanym w ten projekt producentom rozwiązań ochronnych oraz innym użytkownikom usługi.

Twórcy oraz infrastruktura ByteScannera

Twórcy oraz infrastruktura ByteScannera

W efekcie twórcy podejrzanego oprogramowania unikają tego serwisu jak ognia, tak by producenci antywirusów nie otrzymali przypadkiem premierowych próbek, co znacznie mogłoby ograniczyć skuteczność nowych ataków.

Programiści pracujący po ciemnej stronie mocy są więc skazani na własne testy niewykrywalności antywirusowej lub też… inne serwisy podobne do ViusTotala, lecz pozbawione jego „wad”.

Przykładem takiego serwisu jest powstały niedawno ByteScanner, który oferuje darmowe (nie jest wymagana nawet rejestracja) wieloplatformowe testy antywirusowe. W ramach tego przedsięwzięcia znajdziemy wyraźne zapewnienie (w deklarowanych warunkach świadczenia usługi) o tym, że jakiekolwiek próbki nie są przekazywane producentom antywirusów.

[Q] Can you guarantee that the results will not be spread?

[A] Yes, we can guarantee that the results of your file will not be spread to any antivirus companies.

Czyli w wolnym tłumaczeniu, twórcy ByteScannera wyraźnie deklarują całkowitą ochronę wszelkich wyników przed ujawnieniem.

Kto więc będzie używał tego typu serwisu? Prawdopodobnie twórcy złośliwego oprogramowania zainteresują się jego możliwościami oraz prostotą i wygodą obsługi przy jednoczesnym braku wspomnianych „wad” najbardziej znanego serwisu tego typu.

Czy jednak ByteScanner ma również jakieś zupełnie legalne zastosowania? Twórcy deklarują chęć pomocy programistom testującym własne programy pod kątem fałszywych wykryć antywirusowych. Jest to zapewne jedna z możliwości.

Oczywiście również, gdy prowadzimy testy penetracyjne z wykorzystaniem ciekawych technik unikania antywirusów może nam zależeć na tym, by nasze rozwiązania pozostały powszechnie nieznane.

Miejmy tylko nadzieję, że ByteScanner rzeczywiście będzie wykorzystywany przede wszystkim w tego typu zastosowaniach, a nie przyczyni się do jeszcze większego wysypu „niewykrywalnych” złośliwych programów.

– Wojciech Smol, (wojciech.smol<at>sekurak.pl)

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. soal

    Pewnie „ciemna strona mocy” już korzysta z tego serwisu ;)

    Odpowiedz
  2. Darek

    Jedyną prawdziwą ochroną danych przed ich ujawnieniem jest niezapisywanie ich. Inaczej zwykły nakaz sądowy jest w zupełności wystarczający.

    Odpowiedz
  3. Darek

    Btw. czas komentarzy coś się przesuwa o godzinę :)

    Odpowiedz
    • Powinno chyba być już dobrze? ;)

      Odpowiedz
  4. gh

    Ale od kiedy piszący trojany wrzucają zainfekowany swoim wirusem plik na jakiekolwiek serwery aby sprawdzić ich wykrywalność?

    Przecież instaluje się XP na wirtualbox a na nim po kolei kilka antywirusów. Aktualizuje się ich bazy do najnowszych, następnie wyłącza internet i skanuje się swój plik. Potem przywraca się kopię „świeżego” XP (plik .vdi) instaluje następny antywirus, aktualizuje się jego bazę, wyłącza sieć itd po kolei z pozostałymi antywirami. Oczywiście można sobie przygotować kilka .vdi z zainstalowanymi już antywirami aby było szybciej.

    Odpowiedz
    • gh,
      To taka procedurka z własnego laboratorium niewykrywalności wirusowej ;)?

      Odpowiedz
  5. @gh: tak, ale jeśli byś skorzystał z takiego serwisu to ten efekt osiągniesz szybciej

    Odpowiedz
  6. afjoi

    @Kable Światłowodowe
    automatyzacja twoim przyjacielem

    Odpowiedz
  7. Ninja

    Gdybym był z „ciemnej strony mocy”, nie używałbym takiego serwisu (kłóci się to z moją osobistą doktryną ograniczonego zaufania), tylko nadal testował niewykrywalność złośliwego kodu w domowym zaciszu na wirtualnym sprzęcie.

    Odpowiedz
  8. nshadov

    Problem po „ciemnej stronie mocy” to nie wypychanie na świat nowych „odmian”, które szybko zostaną wykryte i zablokowane/usunięte. @gh: dbanie o taką infrastrukturę kosztuje dużo zachodu („zdobycie” licencji, utrzymanie aktualności, sporo AV jest ze sobą niekompatybilnych, potrzebujesz różnych wersji OS – XP/7/8 … 32/64bit).

    Dlatego za taką usługę autorzy malware normalnie muszą płacić. Część plusów takiego serwisu opisał również Wojtek w artykule (darmowy, szeroko dostępny). Z kolei wątpię, żeby poważne ekipy się nim zainteresowały właśnie z uwagi na to co Ninja napisał.

    Odpowiedz

Odpowiedz