비디오: Faith Evans feat. Stevie J – "A Minute" [Official Music Video] (십월 2024)
Tiranium Premium Security 2014에 대한 리뷰를 게시 한 직후, Malware1 핸들을 사용하여 연구원으로부터 메시지를 받았습니다. 그는 Tiranium이 다양한 온라인 악성 코드 검사 웹 사이트를 악용하여 탐지율을 높이고 있다고 주장했습니다. 그의 노트에는 특히 VirusTotal에 연결하는 이전 버전의 소프트웨어를 보여주는 비디오 링크가 포함되어 있습니다 (특히 더 이상 직접 연결이 없음을 인정했지만). 그는 또한 VirusTotal에서 Tiranium에 이르기까지 서비스 남용 중단을 요구하는 많은 이메일을 제공했습니다.
VirusTotal에 확인했지만 연락처가 게시에 대한 언급을 거부했습니다. 이것이 사실인지, 그리고 그것이 문제가되는지 여부를 스스로 결정해야했습니다.
VirusTotal이란 무엇입니까
익숙하지 않은 사람들을 위해 VirusTotal의 공개 얼굴은 파일을 업로드하여 악성 파일인지 확인할 수있는 웹 사이트입니다. 이 사이트는 먼저 파일에 대한 해시, 즉 고유 한 수학적 지문을 생성합니다. 해시가 이미 데이터베이스에 있고 대부분이 저장된 경우 저장된 결과를 반환합니다. 그렇지 않은 경우 약 50 개의 주요 바이러스 백신 엔진으로 파일을 검사하여 파일을 악성 파일로 신고했습니다. Google은 약 2 년 전에 VirusTotal을 인수했습니다.
이 서비스는 단순히 파일 확인을 넘어선 것입니다. 웹 사이트에 따르면 "VirusTotal의 사명은 바이러스 백신 및 보안 산업을 개선하고 무료 도구 및 서비스 개발을 통해 인터넷을보다 안전한 곳으로 만드는 것입니다." 같은 페이지에 "이 사이트에 공개적으로 제공되는 서비스 나 응용 프로그램은 상용 제품, 상업 서비스 또는 비즈니스 목적으로 사용해서는 안됩니다. 같은 방식으로 보안 제품을 대체 할 수있는 서비스는 없습니다""
즉, 파일이 악성인지 여부를 독립적으로 확인하지 않고 VirusTotal의 결과를 단순히 사용한 제품은 서비스 약관을 위반하는 것입니다. 실제로 몇 년 전 카스퍼 스키 랩의 논란이었던 테스트는 맹목적으로 웹 사이트에서 탐지 기능을 사용하는 것이 좋지 않다는 것을 보여주었습니다.
WireShark로 파기
Malware1에 따르면 Tiranium은 먼저 로컬에 설치된 클라이언트를 사용하여 의심 파일을 확인합니다. 일치하지 않으면 VirusTotal에서 파일의 해시를 확인합니다. VirusTotal에서 결과를 얻지 못한 경우에만 자체 행동 클라우드 스캐너를 호출합니다.
조사를 시작하기 위해 현재 맬웨어 컬렉션의 새로운 수정 버전을 만들어 파일 이름을 변경하고 파일 크기를 변경하며 실행 불가능한 바이트를 수정했습니다. VirusTotal과 비교하여 각 파일의 해시를 검사하여 데이터베이스에 모두 없는지 확인했습니다.
WireShark 네트워크 트래픽 추적 유틸리티를 실행하면서 이러한 파일이 포함 된 폴더의 Tiranium 스캔을 시작했습니다. 이상하게도 검색은 몇 시간 동안 실행되었지만 완료되지 않았으며 검색된 파일 수는 초기 0에서 변경되지 않았습니다. 나중에 행동 클라우드 서버가 몇 시간 동안 다운 되었기 때문에이 사실을 알게되었습니다.
실제로 WireShark 로그를 살펴보면 Tiranium이 파일을 동작 클라우드에 업로드하려고 시도 할 때마다 오류가 발생한다는 것을 알 수있었습니다. 내가 찾지 못한 것은 VirusTotal 또는 과거에 사용되었던 것으로 알려진 다른 서비스와 직접 연결되어 있다는 증거입니다.
정황 증거
테스트 파일 중 일부를 다른 폴더로 옮기고 검사를 위해 VirusTotal에 제출했습니다. 모든 경우에 바이러스 백신 엔진의 대다수는 악성 소프트웨어를 탐지했습니다. 일부는 맬웨어로 만장일치로 인식되었습니다.
VirusTotal이 모든 파일을 처리하자마자 Tiranium으로 폴더를 즉시 스캔했습니다. 이번에는 해당 파일을 맬웨어로 즉시 인식했습니다. 내가 업로드하지 않은 나머지 파일을 스캔하면 이전과 같이 스캔이 중단됩니다. 내 컴퓨터에서 VirusTotal로 직접 연결되지 않았지만 명확한 인과 관계 체인을 설정 한 것 같습니다.
아마 괜찮아?
안티 바이러스 업계의 사람들과 연락을 취하여 그들이 무엇을 생각하는지 확인했습니다. 한 연구원은 안티 바이러스 회사가 VirusTotal과 계약을 맺고 다른 사람들이 탐지했지만 제품을 놓친 샘플을 자동으로받을 수 있다고 지적했습니다. 그러나 그것은 내가 관찰 한 상황을 묘사하지 않은 것 같습니다.
더 중요한 것은 내 Tiranium 담당자가 VirusTotal 사용을 확인한 것입니다. "VirusTotal은 특정 사용 약관을 가지고 있습니다." "그들은 샘플을 회사에 보내고 있습니다. Tiranium은 다른 모든 회사와 마찬가지로이를 분석하는 회사 중 하나입니다." 그는 새로운 샘플을 분석하는 시간이 다를 수 있다는 점에 주목했다. "때로는이 작업에는 몇 시간, 몇 분, 몇 일이 소요될 수 있습니다."
아니면 아닐 수도 있습니다
VirusTotal 크레딧 페이지에는 "VirusTotal에 제품, 도구 또는 리소스를 통합했거나 어떻게 든 기여한"공급 업체가 모두 표시됩니다. 이러한 공급 업체는 일련의 모범 사례를 포함하는 계약에 서명했습니다. Tiranium은 나열된 회사 중 하나가 아닙니다. VirusTotal에서 샘플을 수신하지 않으므로 "다른 것과는 달리"사용되지 않습니다.
Tiranium에게 VirusTotal 오용을 중지하라고 알리는 Malware1이 제공 한 이메일이 실제라고 본인은 만족스럽게 판단했습니다. 나는 한 번에 응용 프로그램 자체가 VirusTotal에 직접 연결되어 정보를 얻었고, 이는 확실히 남용이라는 증거를 보았습니다. 그러나 현재의 화신이 Malware1이 주장하는 것처럼 다른 공급 업체의 작업을 훔치고 있습니까? 나는 확실히 말할 수는 없지만 나의 신뢰는 확실히 흔들렸다.
잠재적으로 원치 않는?
분명히 나는 혼자가 아닙니다. 유명한 Wilders Security 포럼에 대한 토론에서 여러 회원이 제품에 대한 우려를 표명했습니다. 실제로, 약 8 개월 전에이 논의 당시, 잘 알려진 많은 안티 바이러스 제품들이 제거되어야하는 "잠재적으로 원치 않는 응용 프로그램"으로 Tiranium을 발견했습니다.
지금도 카스퍼 스키는 Tiranium의 두 가지 주요 파일 중 하나를 악성 프로그램으로 탐지하고 ESET은 두 파일을 모두 탐지합니다. Fortinet은 Webroot의 BrightCloud 서비스와 마찬가지로 Tiranium의 웹 사이트를 악성으로 식별합니다.
그늘진 행동
이 탐지를 카스퍼 스키 담당자에게 지적하고 Tiranium이 맬웨어로 표시되는 이유를 설명 할 수 있는지 물었습니다. 그는 내가 소중히 할 수있는 것보다 훨씬 더 많은 기술을 가지고 문제를 파헤 쳤고 "그들은 자신의 코드를 난독 처리하기 위해 5 개 이상의 서로 다른 난독 화 장치를 사용하고 있으며 디지털 서명은 없습니다." 여기에는 흡연 총이 없지만 이러한 악성 코드와 같은 행동은 제품을 신고하기에 충분합니다. 또한 VT (VirusTotal), Anubis 및 VirScan을 참조하는 서버의 트래픽을 발견하여 타사 소스에 대한 의존성을 제안했습니다.
BrightCloud 사용자는 Tiranium의 웹 사이트가 위험한 것으로 표시되는 이유를 정확히 파악할 수 없었습니다. 그러나 그들은 Tiranium의 IP 주소가 꽤 많은 피싱 웹 사이트와 공유되고 있다고 지적했습니다. Tiranium에서 사용하는 olympe.in 도메인에 대한 Google의 안전한 브라우징 페이지에 놀라운 소식이있었습니다. "지난 90 일 동안 사이트에서 테스트 한 1341 페이지 중 13 페이지에서 사용자 동의없이 악성 소프트웨어가 다운로드되어 설치되었습니다."
Tiranium은 좋은 첫 번째 노력이지만 여러 Editors 'Choice 안티 바이러스 제품에는 도전 할 준비가되지 않았다고 평가했습니다. 이제 회사는 제품을 개선하고 전문성과 투명성으로 신뢰를 회복해야한다고 생각합니다. 철자 및 문법 오류를 수정하고 난독 처리를 버리고 실행 파일을 디지털 서명하고 Windows의 Action Center와 통합되는지 확인하십시오. 완전히 투명하지 않은 타사 제품을 사용하지 마십시오. 멀웨어를 호스팅하는 서버와 웹 호스팅을 분리합니다. 지금은 Editors 'Choice 바이러스 백신 제품을 사용하는 것이 좋습니다.
