it-swarm.com.de

Was ist zu tun, wenn versehentlich der Quellcode für Malware gefunden wurde?

Ich bin neulich versehentlich zu einer zwielichtigen Seite gegangen, und heute habe ich festgestellt, dass in meinem Cache eine Textdatei liegt. Und nachdem ich den Inhalt der Datei gelesen habe, habe ich festgestellt, dass es sich um den Quellcode für potenziell neue Malware handelt, die eine Sicherheitsanfälligkeit in einem Sicherheitsprogramm ausnutzt.

Jetzt möchte ich es an meinen Antiviren-Anbieter senden. Sende ich es jedoch nur als Textdatei (da sie es kompilieren müssten, um eine Virensignatur zu erhalten, und ich nicht weiß, wie automatisiert der Prozess ist ), oder sollte ich es in meine IDE stecken, es erstellen und dann die erstellte Version an sie senden, oder wie soll ich es an sie senden? Auf die sicherste und verantwortungsvollste Weise.

41
user67447

sollte ich es in meine IDE stecken, es erstellen und dann die erstellte Version an sie senden

Das ist keine gute Option. Sofern es keinen Grund zu der Annahme gibt, dass der Malware-Autor und Sie eine gemeinsame Entwicklungsumgebung haben, auf die der AV-Anbieter nicht angemessen zugreifen kann, kann der AV-Anbieter dies selbst tun und wird dies tun, wenn er der Meinung ist, dass dies hilfreich ist. Es ist sehr wahrscheinlich, dass sie die Frage besser beantworten können: "Wie könnte die veröffentlichte Malware aussehen und wie können wir die gesamte Vielfalt der Malware erkennen, die wir wahrscheinlich sehen werden, um diesen Fehler anzugreifen?" als Sie können, weil es genau in ihrer Branche liegt.

Bedenken Sie: Da Sie nicht böswillig sind, wird dies in Ihren Händen zum Proof-of-Concept-Exploit-Code. Es könnte beabsichtigt sein , Malware zu sein, und Sie haben den Fehler nicht selbst entdeckt, aber abgesehen von den Details zu Kredit und Priorität sind Sie dabei Grundsätzlich die gleiche Position in Bezug auf die Offenlegung, in der Sie sich befinden würden, wenn Sie den Fehler selbst entdeckt und diesen Code geschrieben hätten, um zu beweisen, dass er ausnutzbar ist.

Zumindest sollten Sie:

  • Suchen Sie online nach erkennbaren kurzen Abschnitten des Codes, um sicherzustellen, dass dieser bestimmte Quellcode noch nicht veröffentlicht wurde. Ich weiß, dass Sie etwas anderes abgeleitet haben, aber ich kann das quälende Gefühl nicht loswerden, dass dies möglicherweise ein Proof-of-Concept-Exploit-Code und keine Malware ist.

  • Führen Sie den Fehleroffenlegungsprozess des Anbieters des "Sicherheitsprogramms" durch, das dieser Code ausnutzt. Wenn sie keinen Prozess haben, senden Sie ihnen eine E-Mail oder kontaktieren Sie sie auf andere Weise und fragen Sie. Tun Sie in diesem Prozess alles, um Ihre Schlussfolgerung zu vermitteln, dass ein funktionierender Exploit für den Fehler bereits in der Wildnis liegt.

  • Wenn dies keine zufriedenstellende Antwort liefert, wenden Sie sich an einen oder mehrere AV-Anbieter. Finden Sie heraus, wie Ihr gewählter Anbieter Malware-Einreichungen bevorzugt oder eine vorhandene Liste mit Kontaktdaten verwendet. Da dies ein etwas ungewöhnlicher Fall ist, da Sie nicht nur eine böswillige Binärdatei, sondern auch eine Quelle einreichen müssen, empfehle ich, sich auf alles zu stützen, was so aussieht, als ob sich am anderen Ende ein Mensch befindet.

  • Konzentrieren Sie sich nicht nur auf den AV, den Sie gerade verwenden: Wenn Sie einen (großen) AV-Anbieter davon überzeugen können, das Problem zu erkennen, werden andere, einschließlich Ihres, folgen. Größere AV-Anbieter sind auch besser in der Lage, den Anbieter der fehlerhaften Software davon zu überzeugen, etwas dagegen zu unternehmen, als eine zufällige Person. Wenn Sie anhand der Berichterstattung Sicherheitsforscher identifizieren können, die zuvor Fehler in derselben Software oder Software desselben Anbieters entdeckt haben, nehmen Sie sie in Ihre Liste der zu kontaktierenden Personen auf. Sie haben sich bereits mit dem Offenlegungsprozess befasst, der Sie nicht zufriedenstellte.

  • Wenn dies immer noch keine zufriedenstellende Antwort liefert, senden Sie als absolutes letztes Mittel eine kompilierte Binärversion [*] der vermuteten Malware wie oben beschrieben und hoffen Sie, dass ihre Routine für übermittelte Binärdateien einen besseren Job macht als mit der Quelle.

[*] Sie haben es bereits kompiliert, daher hat das Schiff Bedenken, dass es Ihren Compiler ausnutzen könnte, sowie Code, um dies auszunutzen Sicherheitsprogramm. Im Übrigen könnte es Ihren Texteditor ausnutzen, und Sie haben es sich bereits damit angesehen. Es kann Ihren Netzwerkstapel ausnutzen, und Sie haben ihn bereits heruntergeladen. So ist das Leben.

32
Steve Jessop

Ich befürchte, Ihre kompilierte Binärdatei unterscheidet sich stark von der tatsächlichen Malware, die in freier Wildbahn zu finden ist. Verschiedene Compiler und Befehlszeilenflags erzeugen völlig unterschiedliche Binärdateien, und die Malware-Binärdatei kann mithilfe zusätzlicher Tools oder sogar manuell weiter optimiert/verschleiert werden.

Das Senden Ihrer kompilierten Binärdatei ist wahrscheinlich kontraproduktiv und verschwendet nur die Zeit aller. Wenn Sie die Quellcodedatei nicht direkt senden können (weil ihre Form eine Binärdatei usw. erwartet), versuchen Sie stattdessen, sich mit einem Menschen in Verbindung zu setzen und ihm die Quelle zu geben.

66
André Borie

Die häufigste Lösung für den Umgang mit Malware-Dateien besteht darin, sie zu komprimieren (z. B. in einer Zip-Datei). Da sich viele AV-Tools jetzt in Archiven befinden, müssen Sie möglicherweise Versuche einer automatisierten Überprüfung verhindern. Die einfachste Lösung besteht darin, einfach ein Kennwort in die Zip-Datei einzugeben (das den Inhalt verschlüsselt).

In der Regel wird das Kennwort direkt neben dem Malware-Beispiel verteilt, da Sie verhindern möchten, dass es von Computern geöffnet wird, nicht jedoch von Menschen. Häufig handelt es sich bei dem Passwort um eine Art Warnungstext wie "Malware" oder "Dies ist ein Virus" oder ähnliches, um allen Menschen absolut klar zu machen, dass der Inhalt schädlich sein kann.

14
tylerl

Wenn Sie Avast AntiVirus verwenden, sollten nach dem Öffnen der Benutzeroberfläche irgendwo Kontaktinformationen vorhanden sein. Sogar ein E-Mail-Addy reicht aus. Einfach kopieren und einfügen und abschicken. Auf die eine oder andere Weise wird ein Mitarbeiter es dorthin schicken, wo es hin muss.
Aus Sicherheitsgründen ist es für den Fall, dass Malware etwas "Hinter den Kulissen" getan hat, eine gute Idee, einen Startzeit-Scan durchzuführen. (Eine Option, die in den meisten AV-Versionen verfügbar ist).

0
Robbyn M

Ich weiß nicht, an welchen AV-Anbieter Sie es senden möchten (eigentlich bin ich mir nicht sicher, warum Sie Ihre Übermittlung auf einen einzelnen AV-Anbieter beschränken möchten).

Sie müssen sich lediglich an den AV-Anbieter wenden. Sie werden einige E-Mail/Mailingliste/Forum/Chat ... zur Verfügung haben. Erklären Sie, dass Sie einen böswilligen Quellcode haben und diesen an sie senden möchten. Ihr Problem besteht darin, die Datei an einen Menschen weiterzuleiten (vorausgesetzt, niemand wird jemals einen Blick auf nicht ausführbare Binärdateien werfen, die ihm übermittelt wurden, was von ihrer Seite ein Fehler zu sein scheint) - oder manchmal an die richtige Abteilung -, die dies tun wird Stellen Sie dann sicher, dass es bei der richtigen Person ankommt.

Beachten Sie jedoch, dass der gefundene Quellcode möglicherweise nicht böswillig ist, die Analysten zu beschäftigt sind, um Ihr Beispiel zu verarbeiten (aber stellen Sie sicher, dass sie es archivieren --- nur für den Fall es ist nützlich in der Zukunft), oder die AV-Firma kann sich sogar nicht darum kümmern (sie ist schließlich nicht verpflichtet, Ihre Einsendungen zu prüfen).

0
Ángel