ビデオ: ãçã»ifæ¦è¨ããã¼ã·ã£ã¤ã³ã¹ã¿æ¦ããã¹æ¦ã (十一月 2024)
Tiranium Premium Security 2014のレビューを公開した直後に、ハンドルMalware1を使用している研究者からメッセージを受け取りました。 彼は、TiraniumがさまざまなオンラインマルウェアチェックWebサイトを悪用して、その検出率を強化したと主張しました。 彼のメモには、特にVirusTotalに接続する古いバージョンのソフトウェアを示すビデオへのリンクが含まれていました(ただし、直接接続はもはや存在しないと認めましたが)。 彼はまた、VirusTotalからTiraniumへのサービスの悪用を停止するよう要求する多数の電子メールであると言ったことを伝えました。
VirusTotalで確認しましたが、連絡先は公開に関するコメントを拒否しました。 これが真実かどうか、そしてもしそうなら問題を構成するかどうかを自分で判断しなければなりませんでした。
VirusTotalとは
それに慣れていない人にとって、VirusTotalの顔は、ファイルをアップロードして悪意のあるファイルかどうかを確認できるWebサイトです。 サイトは最初にファイルのハッシュを生成します。これは一意の数学的指紋です。 ハッシュが既にデータベースにある場合(ほとんどの場合)、保存された結果を返します。 そうでない場合は、約50の主要なウイルス対策エンジンでファイルをチェックし、ファイルに悪意のあるフラグを立てたものを報告します。 Googleは約2年前にVirusTotalを買収しました。
このサービスは、単にファイルをチェックするだけではありません。 ウェブサイトによると、「VirusTotalの使命は、無料のツールとサービスの開発を通じて、ウイルス対策およびセキュリティ業界の改善を支援し、インターネットをより安全な場所にすることです。」 同じページには、「このサイトで公に提供されるサービスやアプリケーションは、商用製品、商用サービス、またはあらゆるビジネス目的で使用されるべきではありません。同様に、セキュリティ製品の代替として使用されるべきサービスはありません」
つまり、ファイルが悪意があることを独立して検証せずにVirusTotalの結果を単純に使用した製品は、利用規約に違反することになります。 実際、数年前のカスペルスキーによる論争の的となったテストでは、Webサイトからの検出を盲目的に使用することは悪い考えであることが示されました。
WireSharkで掘る
Malware1によると、Tiraniumはまずローカルにインストールされたクライアントを使用して疑わしいファイルをチェックします。 一致するものがない場合、VirusTotalでファイルのハッシュをチェックします。 VirusTotalから結果が得られない場合にのみ、独自のビヘイビアクラウドスキャナーを呼び出します。
調査を開始するために、現在のマルウェアコレクションの最新の修正バージョンを作成し、ファイル名を変更し、ファイルサイズを変更し、実行不可能なバイトを微調整しました。 VirusTotalに対して各ファイルのハッシュをチェックし、すべてがデータベースにないことを確認しました。
WireSharkネットワークトラフィックトレースユーティリティを実行した状態で、これらのファイルを含むフォルダーのTiraniumスキャンを開始しました。 奇妙なことに、スキャンは何時間も実行されましたが、終了することはなく、スキャンされたファイルのカウントは最初のゼロから変化しませんでした。 これは、ビヘイビアクラウドサーバーが数時間ダウンしたためであることが後でわかりました。
実際、WireSharkログを熟読すると、Tiraniumがビヘイビアクラウドへのファイルのアップロードを何度も試行し、各試行がエラーで終了することがわかりました。 私が見つけられなかったの は 、VirusTotalまたは過去に使用されたとされる他のサービスへの直接接続の証拠でした。
状況証拠
テストファイルの一部を別のフォルダーに移動し、VirusTotalに送信して確認しました。 いずれの場合も、大多数のウイルス対策エンジンがそれらを悪意のあるものとして検出しました。 一部は、マルウェアとしてほぼ全員一致で認識されました。
VirusTotalによってすべてのファイルが処理されるとすぐに、私はすぐにTiraniumでフォルダをスキャンしました。 今回はそれらのファイルをマルウェアとしてすぐに認識しました。 残りのファイル(アップロードしていないファイル)をスキャンしたとき、スキャンは以前のようにスタックしました。 コンピューターからVirusTotalへの直接的な接続はまだありませんでしたが、明らかに因果関係のチェーンを確立したようです。
たぶん大丈夫?
アンチウイルス業界の関係者に連絡して、彼らの考えを確認しました。 ある研究者は、ウイルス対策企業がVirusTotalと契約して、他の人が検出したが製品が見逃したサンプルを自動的に受信できると指摘しました。 しかし、それは私が観察した状況を説明していないようでした。
さらに重要なことは、私のTiraniumの連絡先がVirusTotalの使用を確認したことです。 「VirusTotalには特定の使用条件があります」と彼は言いました。 「彼らはサンプルを企業に送っています。他のすべての企業と同様に、ティラニウムはそれを分析している企業の1つです。」 彼はさらに、新しいサンプルを分析する時間はさまざまであることに注意しました。 「これには数時間、数分、数日かかることがある」と彼は言った。
またはそうでないかもしれません
VirusTotalクレジットページには、「VirusTotalに製品、ツール、またはリソースを統合したか、何らかの形で貢献した」すべてのベンダーが一覧表示されます。 これらのベンダーは、ベストプラクティスのセットを含む契約に署名しています。 ティラニウムは上場企業ではありません。 VirusTotalからサンプルを受け取っていないので、その使用は「他のすべてと同じ」ではありません。
MalTotal1が提供する、TiraniumにVirusTotalの誤用をやめるように指示する電子メールが本物であることに満足していると判断しました。 かつて、アプリケーション自体がVirusTotalに直接接続して情報を取得していたという証拠を見てきましたが、これは間違いなく悪用です。 しかし、Malware1が主張するように、現在の化身は他のベンダーの仕事を盗んでいますか? はっきりとは言えませんが、私の信頼は間違いなく揺れています。
望ましくない可能性がありますか?
どうやら私は一人ではありません。 よく知られているWilders Securityフォーラムでの議論で、数人のメンバーが製品について懸念を表明しています。 実際、約8か月前のこの議論の時点で、多くの有名なアンチウイルス製品が、削除すべき「潜在的に望ましくないアプリケーション」としてTiraniumを検出しました。
現在でも、KasperskyはTiraniumの2つのメインファイルの1つをマルウェアとして検出し、ESETはそれらの両方を検出します。 フォーティネットは、WebrootのBrightCloudサービスがそうであるように、TiraniumのWebサイトを悪意があると識別します。
日陰の行動
Kasperskyの連絡先にこの検出を指摘し、Tiraniumがマルウェアとしてフラグ付けされた理由を説明してもらえないかと尋ねました。 彼は私が召集できるよりもはるかに高いスキルで質問を掘り起こし、多くのことを思いつきました。 「彼らはコードを難読化するために5つ以上の異なる難読化ツールを使用しており、デジタル署名はありません」と彼は言いました。 ここには喫煙銃はありませんが、これらおよびその他のマルウェアのような動作は、製品にフラグを立てるのに十分でした。 また、サーバーからのトラフィックがVT(VirusTotal)、Anubis、およびVirScanを参照していることを発見し、サードパーティのソースに何らかの依存を示唆しています。
BrightCloudの人々は、TiraniumのWebサイトが危険であるとフラグ付けされた理由を特定できませんでした。 しかし、彼らはTiraniumのIPアドレスがかなりの数のフィッシングWebサイトで共有されていることを指摘しました。 Tiraniumが使用するolympe.inドメインのGoogleの安全なブラウジングページには、いくつかの憂慮すべきニュースがありました。「過去90日間にサイトでテストした1341ページのうち、13ページでユーザーの同意なしに悪意のあるソフトウェアがダウンロードおよびインストールされました」
私のレビューで、Tiraniumは良い最初の努力であると言いましたが、エディターズチョイスのいくつかのウイルス対策製品に挑戦する準備はできていません。 会社は製品を改善し、プロフェッショナリズムと透明性に対する信頼を取り戻す必要があると今感じています。 スペルおよび文法エラーを修正し、難読化を捨て、実行可能ファイルにデジタル署名し、それがWindowsのアクションセンターと統合されていることを確認します。 完全に透明ではないサードパーティ製品の使用は控えてください。 マルウェアをホストするサーバーからWebホスティングを分離します。 今のところ、エディターズチョイスのウイルス対策製品を使用することをお勧めします。