Vidéo: FAITES-VOUS CONFIANCE À CES ARTISTES? | Satanisme et obscurantisme (Novembre 2024)
Peu de temps après la publication de mon compte rendu sur Tiranium Premium Security 2014, j'ai reçu un message d'un chercheur utilisant le descripteur Malware1. Il a affirmé que Tiranium avait abusé de plusieurs sites Web de vérification de programmes malveillants en ligne pour renforcer son taux de détection. Sa note comprenait des liens vers des vidéos montrant une ancienne version du logiciel se connectant à VirusTotal, en particulier (bien qu'il ait admis qu'il n'y avait plus de connexion directe). Il a également fourni un certain nombre de courriels de VirusTotal à Tiranium, exigeant qu’ils cessent d’abuser du service.
J'ai vérifié avec VirusTotal, mais mon contact a refusé de commenter pour publication. Je devais déterminer moi-même si cela était vrai et si cela posait un problème.
Qu'est-ce que VirusTotal?
Pour ceux qui ne le connaissent pas, la face publique de VirusTotal est un site Web sur lequel vous pouvez télécharger un fichier pour voir s'il est malveillant. Le site génère d'abord un hachage pour le fichier, une empreinte mathématique unique. Si le hachage est déjà dans sa base de données (et la plupart le sont), il renvoie les résultats stockés. Si ce n'est pas le cas, il vérifie le fichier avec environ 50 moteurs antivirus principaux, en signalant le signalement du fichier comme malveillant. Google a acquis VirusTotal il y a environ deux ans.
Le service va au-delà de la simple vérification de fichiers. Selon son site Web, "la mission de VirusTotal est d'aider à améliorer le secteur des antivirus et de la sécurité et de rendre Internet plus sûr, grâce au développement d'outils et de services gratuits." Cette même page indique qu '"aucun des services ou applications offerts publiquement sur ce site ne doit être utilisé dans des produits commerciaux, des services commerciaux ou à des fins commerciales. De la même manière, aucun des services ne doit remplacer des produits de sécurité.."
En d'autres termes, un produit qui utilise simplement les résultats de VirusTotal sans vérifier de manière indépendante que le fichier est malveillant violerait les conditions de service. Et en effet, un test controversé mené par Kaspersky Lab il y a plusieurs années a montré que l'utilisation de la détection à l'aveuglette depuis le site Web est une mauvaise idée.
Creuser avec WireShark
Selon Malware1, Tiranium vérifie d'abord un fichier suspect à l'aide de son client installé localement. S'il n'y a pas de correspondance, il vérifie le hachage du fichier sous VirusTotal. VirusTotal n'obtient aucun résultat, mais invoque son propre scanner cloud comportemental.
Pour commencer mon enquête, j'ai créé de toutes nouvelles versions modifiées de ma collection de logiciels malveillants actuelle, en modifiant les noms de fichiers, en modifiant la taille du fichier et en modifiant certains octets non exécutables. J'ai vérifié le hachage de chaque fichier par rapport à VirusTotal, afin de m'assurer qu'ils étaient tous absents de la base de données.
Avec l'utilitaire de traçage du trafic réseau WireShark en cours d'exécution, j'ai lancé une analyse Tiranium du dossier contenant ces fichiers. Étrangement, l'analyse a duré des heures mais ne s'est jamais terminée, et le nombre de fichiers analysés n'a jamais changé depuis son zéro initial. J'ai appris plus tard que c'était parce que le serveur cloud comportemental était en panne pendant plusieurs heures.
En effet, en parcourant le journal WireShark, j'ai pu constater que Tiranium essayait encore et encore de télécharger des fichiers sur le cloud comportemental, chaque tentative se terminant par une erreur. Ce que je n'ai pas trouvé, c'est une preuve d'un lien direct avec VirusTotal ou l'un des autres services qui auraient été utilisés par le passé.
Preuve circonstancielle
J'ai déplacé certains de mes fichiers de test dans un autre dossier et les ai soumis à VirusTotal pour vérification. Dans tous les cas, la majorité des moteurs antivirus les ont détectés comme malveillants. certains sont devenus quasi-unanimes en tant que programmes malveillants.
Dès que tous les fichiers ont été traités par VirusTotal, j'ai immédiatement analysé le dossier avec Tiranium. Cette fois, il a immédiatement reconnu ces fichiers en tant que programmes malveillants. Lorsque j'ai analysé les fichiers restants, ceux que je n'avais pas téléchargés, l'analyse est restée bloquée, comme auparavant. Bien qu'il n'y ait toujours pas de connexion directe entre mon ordinateur et VirusTotal, il semble que j'ai établi une chaîne de causalité claire.
Peut-être que ça va?
J'ai contacté mes contacts dans l'industrie des antivirus pour savoir ce qu'ils en pensaient. Un chercheur a souligné que les éditeurs de logiciels antivirus peuvent passer un contrat avec VirusTotal pour recevoir automatiquement tout échantillon détecté par d'autres personnes, mais que leur produit a été oublié. Cependant, cela n'a pas semblé décrire la situation que j'ai observée.
Plus important encore, mon contact avec Tiranium a confirmé l'utilisation de VirusTotal. "VirusTotal a des conditions d'utilisation spécifiques", a-t-il déclaré. "Ils envoient des échantillons à des entreprises. Tiranium est l'une des entreprises qui analyse cela, comme toutes les autres." Il a ensuite noté que le temps nécessaire pour analyser de nouveaux échantillons peut varier. "Parfois, cela prend des heures, des minutes, des jours", a-t-il déclaré.
Ou peut être pas
La page de crédits de VirusTotal répertorie tous les fournisseurs qui ont "intégré un produit, un outil ou une ressource dans VirusTotal, ou qui ont contribué d'une manière ou d'une autre". Ces fournisseurs ont signé un accord qui inclut un ensemble de meilleures pratiques. Tiranium ne fait pas partie des entreprises listées. Il ne reçoit pas d'échantillons de VirusTotal. Son utilisation ne ressemble donc pas à celle de tous les autres.
J'ai déterminé à ma satisfaction que les courriers électroniques fournis par Malware1 invitant Tiranium à cesser d'utiliser abusivement VirusTotal sont réels. J'ai vu des preuves que, à un moment donné, l'application elle-même s'est connectée directement à VirusTotal pour obtenir des informations, ce qui constitue un abus. Mais son incarnation actuelle vole-t-elle le travail d’autres fournisseurs, comme le prétend Malware1? Je ne peux pas dire définitivement, mais ma confiance est définitivement ébranlée.
Potentiellement indésirable?
Apparemment je ne suis pas seul. Lors d'une discussion sur le célèbre forum sur la sécurité de Wilders, plusieurs membres ont exprimé leur inquiétude à propos du produit. En fait, au moment de cette discussion il y a environ huit mois, un certain nombre de produits antivirus bien connus ont détecté Tiranium comme une "application potentiellement indésirable" qui devrait être supprimée.
Même à présent, Kaspersky détecte l'un des deux principaux fichiers de Tiranium en tant que programme malveillant et ESET les détecte tous les deux. Fortinet identifie le site Web de Tiranium comme malveillant, à l'instar du service BrightCloud de Webroot.
Comportements Shady
J'ai signalé cette détection à mon contact Kaspersky et lui ai demandé s'il pouvait expliquer pourquoi Tiranium avait été signalé comme un malware. Il a creusé la question avec beaucoup plus d'habileté que je ne pouvais en rassembler et en a beaucoup parlé. "Ils utilisent plus de cinq obfuscateurs différents pour masquer leur code et il n'y a pas de signature numérique", a-t-il déclaré. "C'est un peu fou et n'a pas l'air légitime." Il n’ya pas d’arme à fumer ici, mais ces comportements, ainsi que d’autres types de logiciels malveillants, étaient suffisants pour que le produit soit signalé. Il a également trouvé du trafic provenant du serveur faisant référence à VT (VirusTotal), Anubis et VirScan, suggérant une certaine confiance dans des sources tierces.
Les gens de BrightCloud ne savaient pas exactement pourquoi le site Web de Tiranium avait été signalé comme risqué. Cependant, ils ont souligné que l'adresse IP de Tiranium est partagée avec de nombreux sites Web de phishing. La page de navigation sécurisée de Google pour le domaine olympe.in utilisé par Tiranium avait des nouvelles alarmantes: "Sur les 1341 pages que nous avons testées sur le site au cours des 90 derniers jours, 13 pages ont donné lieu à un téléchargement et à une installation de logiciels malveillants sans le consentement de l'utilisateur.."
Dans mon article, j'ai déclaré que Tiranium était un bon premier effort, mais qu'il n'était pas prêt à mettre au défi nos différents antivirus Editors 'Choice. Je pense maintenant que la société doit à la fois améliorer le produit et regagner ma confiance avec professionnalisme et transparence. Corrigez les erreurs d'orthographe et de grammaire, supprimez l'obfuscation, signez numériquement les fichiers exécutables et assurez-vous qu'il s'intègre au Centre de maintenance de Windows. S'abstenir de toute utilisation de produits tiers qui ne soit pas totalement transparente. Séparez l'hébergement Web des serveurs qui hébergent des logiciels malveillants. Pour le moment, je vous recommande de vous en tenir aux antivirus de notre choix Editors 'Choice.
