it-swarm.com.de

Wie prüfen AV-Scanner in VirusTotal, ob eine Datei schädlich ist oder nicht, und wie vertrauenswürdig ist ihr Bericht?

Ich habe also oft gesehen, dass Leute den Viren-Gesamtbericht für eine Datei bereitstellen, um zu beweisen, dass es sich nicht um einen Virus handelt

aber ich habe es gerade überprüft und wenn ich eine Datei abschicke, wird sie nicht einmal hochgeladen (ich habe meine Bandbreite überprüft). Es wird nur irgendwie der Hash berechnet, ohne sie hochzuladen. Ich bin mir ziemlich sicher, dass ich die Datei nicht hochlade, weil eine 10 MB ausführbare Datei benötigt wird eine halbe Sekunde, um auf ihrer Website zu "laden" und zu überprüfen, ob meine Upload-Geschwindigkeit 30 KB/s beträgt! (versuchte auch die Datei umzubenennen, dauerte aber immer noch nur eine halbe Sekunde)

ich habe also drei Fragen:

  1. wie lade ich eine Datei so schnell hoch, wenn ich sie einreiche? Wird meine Datei überhaupt hochgeladen? Wenn nicht, wie berechnet es dann den Hash?

  2. sendet es nur den Hash der Datei an AV-Scanner? Wenn ja, heißt das nicht, dass ich es leicht umgehen kann, indem ich die PE/ELF-Datei ein wenig ändere?

  3. gibt es eine bessere Alternative, die tatsächlich eine statische oder sogar dynamische Analyse der Datei durchführt, um zu überprüfen, ob sie böswillig ist oder nicht?

7
OneAndOnly

ad 1 : Es tut lade deine Datei hoch, aber nur, wenn der Hash nicht bekannt ist. Als erstes berechnet ein Teil von Javascript einen kryptografischen Hash (SHA-256, wenn ich mich richtig erinnere, aber möglicherweise falsch) und sendet diesen. Die Engine sucht dann, anstatt zu scannen, den Hash in einer bereits erstellten Datenbank. Nur wenn nicht vorhanden oder wenn Sie darauf bestehen, wird die eigentliche Datei hochgeladen.
Wie sicher ist das? Ziemlich 100% oder so nah wie möglich dran. Die Wahrscheinlichkeit, dass Ihre Datei denselben Hash wie eine bereits gescannte Datei hat, aber nicht dieselbe Datei, ist gering. Zugegeben, nicht ganz Null, aber so gut wie.

ad 2 : Es macht für sich genommen nicht viel aus einer Aussage außer "Es wurden keine Probleme gefunden", wenn Null Treffer gemeldet wurden. Es läuft um 60-70 verschiedene Scanner, von denen einige bekannt sind und von denen ich noch nie gehört habe, und zeigt ihre Ausgabe an. Was manchmal falsch positive Ergebnisse enthält und das sehr gut falsch negative Ergebnisse enthalten kann. Die tatsächliche Nützlichkeit von Virenscannern ist umstritten, aber leider ist es so gut wie möglich. Zumindest erkennen Virenscanner bekannt Bedrohungen relativ gut.
Außerdem gibt es das Community-Ding, in dem Benutzer Bewertungen abgeben können, aber es kommt darauf an, einem unbekannten Mann im Internet zu vertrauen, also ... bleh.

ad 3 : Kaum. Die beste Alternative ist, niemals Programme unbekannter oder sogar zweifelhafter Herkunft auszuführen. Alles andere liest Teeblätter. Sicher, einige lesen die Teeblätter besser als andere, aber sie lesen immer noch nur Teeblätter. Es gibt eine dynamische Analyse, die heutzutage so ziemlich jede Desktop-AV-Software hat (die meisten Systemaufrufe werden über eine Proxy-Bibliothek ausgeführt), aber ob sie tatsächlich etwas Nützliches tut, außer massive CPU zu brennen, ist fraglich. Virus Total kann sein etwas besser, da es eine große Anzahl von Scannern ausführt. Ob dies tatsächlich die Sicherheit erhöht, ist ungewiss. Wenn Sie darüber nachdenken: Angenommen, die ausgeführten Scanner sind tatsächlich Salz wert, dann sollte einer von ihnen dies tun. Auf der anderen Seite, wenn sie ihr Salz nicht wert sind, welchen Mehrwert bringt es, wenn sie mehr davon betreiben? Eine alte Weisheit zitieren: Wenn Sie nichts zu nichts hinzufügen, bleibt die Summe eher klein. Oder, wie in Fidelio angegeben: "Nichts, wenn Sie nichts Luft hinzufügen".

Wenn Sie eine Datei von einer vermutlich vertrauenswürdigen Site erhalten haben, nd Sie haben null Treffer auf VT, dann ist es wahrscheinlich normalerweise ziemlich sicher. Wenn Sie die Datei zwei Wochen lang aufbewahren und zwei Wochen später erneut scannen, ist dies sogar noch besser (vorausgesetzt, dass in der Zwischenzeit eine neue Bedrohung bekannt wird). Das ist, was ich tue, und das habe ich getan, Jahre bevor VirusTotal überhaupt existierte - bis jetzt funktioniert es sehr gut (oder, es scheint scheint zu funktionieren, ich habe möglicherweise Malware, die ich nicht habe weiß nicht über). Am Ende wissen Sie nie sicher.

Über dynamische Analyse
Das passiert nicht. Sie können aus der Anzeige ableiten, welche Art von Analyse VirusTotal ausführt. Es handelt sich mit ziemlicher Sicherheit nicht nur um die Weiterleitung von Hashes an einen anderen Dienst (wie in einem Kommentar vorgeschlagen), da das Scannen viel Zeit in Anspruch nimmt und weil Definitionsdateien nicht immer synchron sind (in der Tat meistens nicht). mit den Werkzeugen der Hersteller. Sie können auch eine Zip-Datei entpacken und neu packen (was mit ziemlicher Sicherheit zu einer nicht identischen Datei führt), und sie wird einwandfrei gescannt. Wie würde das funktionieren, wenn nur Hashes herumgereicht würden? Es würde nicht ... aber es tut. Dies und die Tatsache, dass manchmal der eine oder andere Scanner ein Archiv nicht öffnen kann, zeigt an, dass tatsächlich Scannen stattfindet.
Sie können daraus schließen, dass sie statischen Signaturabgleich und heuristisches Scannen durchführen, da Signaturabgleich das ist, was jeder AV standardmäßig seit mehr als 30 Jahren tut und heuristische Analyse ist Die meisten (wenn nicht alle) Scanner arbeiten standardmäßig mindestens 20 Jahre lang.

Auf der anderen Seite können Sie ziemlich sicher sein, dass keine dynamische Analyse durchgeführt wird, da dies und unpraktisch für einen Webdienst verbietet. Um eine dynamische Analyse durchführen zu können, müssen Sie die Binärdatei in einer gesicherten Umgebung (Emulator, virtuelle Maschine oder ähnliches) ausführen, die ein vollständiges Betriebssystem für die Ausführung der Binärdatei bereitstellt und die Speicher- und CPU-Anforderungen eines Zufalls erfüllen kann Anzahl a-priori unbekannter Programme. Das ist kaum realistisch. Außerdem besteht ein nicht zu vernachlässigendes Risiko, wenn unbekannte Software ausgeführt wird, die im Grunde genommen alles einschließlich der Ausführung von Malware-Diensten innerhalb der VM oder des Ausbruchs der VM. Sie wissen beispielsweise, dass ein Webbrowser oder ein E-Mail-Client einen Internetzugang benötigt, um ordnungsgemäß zu funktionieren. Wie können Sie dies bereitstellen, ohne auch Malware zu gewähren, für die Sie einen Internetzugang ausführen? Google (der Eigentümer von VirusTotal) möchte mit Sicherheit nicht beschuldigt werden, Malware-Dienste ausgeführt zu haben.
Schließlich müssen Sie eine 100% ige Abdeckung haben, um sicherzugehen (ansonsten ist die Analyse ziemlich sinnlos, Malware erledigt ihre Arbeit beim Programmstart nicht unbedingt), sodass Sie entweder einen Menschen oder den fortschrittlichsten Fuzzing-Roboter benötigen die Welt, angemessene Beiträge für das Programm zu leisten, damit es alle möglichen Wege einschlägt. Tun Sie das für einen Webdienst, den vielleicht zehn Millionen Menschen jeden Tag nutzen, und niemand wartet gerne länger als ein oder zwei Minuten auf die Ergebnisse, viel Glück.

5
Damon

Nur um die vorherige Antwort zu ergänzen, die so ziemlich alles abdeckt - VirusTotal führt tatsächlich manchmal dynamische Analysen durch, insbesondere wenn die Datei häufig überprüft wird oder anfangs verdächtig aussieht. Sie haben 2017 damit begonnen, und Sie können weitere Informationen direkt von ihnen erhalten hier . Sie können überprüfen, ob eine dynamische Analyse für die von Ihnen überprüfte Datei ausgeführt wurde, indem Sie auf die Registerkarte "Verhalten" Ihres VirusTotal-Scans gehen.

0
Nisala