[English]Kleiner Hinweis für Leute, die immer mal wieder verdächtige Dateien in VirusTotal hochladen und dort auf Malware prüfen lassen. VirusTotal wurde jetzt mit der Bitdam Sandbox erweitert.
Anzeige
Die Webseite VirusTotal ermöglicht ja Beispiele ominöser Dateien, in denen Schadsoftware vermutet wird, hochzuladen. Die Dateien werden dann in verschiedenen Virenscannern geprüft – feine Sache. Über nachfolgenden Tweet bin ich gerade auf eine Erweiterungen gestoßen.
VirusTotal expands with BitDam sandbox/scannerhttps://t.co/LV2QmVfFHS pic.twitter.com/WaOABKx40y
— Catalin Cimpanu (@campuscodi) January 29, 2020
Das ist jetzt quasi so etwas wie ein Turbo für die Analyse von verdächtigen Dateien, da BitDam das Beispiel in einer Sandbox ausführt und auf Malware-Aktivitäten scannt. Im VirusTotal-Blog schreibt man dazu:
BitDam Advanced Threat Protection (ATP) is a cloud-based engine that proactively detects threats, pre-delivery, preventing hardware and logical exploits, ransomware, spear-phishing and zero-day attacks contained in files and URLs. BitDam's patented attack-agnostic technology shows remarkably higher protection rates compared to engines that are based on knowledge of previous threats. It learns the normal code-level executions of business applications such as MS-Word and Acrobat Reader, creating a whitelist knowledge-base. Based on this knowledge, the detection engine determines whether a given file or weblink is malicious or not, regardless of the specific malware it may contain.
Im Blog-Beitrag wird ein Beispiel diskutiert, bei dem eine Excel XLS-Tabelle mit Makro in einem verborgenen Arbeitsblatt hochgeladen wird. Dieses Makro greift auf bestimmte Zellen in einem verborgenen Blatt zu, um die Nutzlast abzurufen. Diese führt dann ein Power-Shell-Script mit einer verschleierten Befehlszeile aus. Das Powershell-Skript erzeugt einen .NET-bezogenen Prozess, um die Nutzlast zu kompilieren.
Anzeige
(VirusTotal mit BitDam ATP, Quelle: VirusTotal)
BitDam scannt die Datei nicht nur (siehe obiges Bild) und generiert Ausführungsberichte, die zeigen, was die hochgeladene Datei macht. Der Scanner verwendet verhaltensbasierte Erkennungsentscheidungen. Daher meldet BitDam, dass die Datei als Malware erkannt wurde.
(VirusTortal BitDam Malware-Erkennung, Quelle: VirusTotal)
Spannende Geschichte, wie ich finde. Weitere Details könnt ihr im VirusTotal Blog-Beitrag nachlesen. Beachtet aber auch den BitDam-Blog-Beitrag Sandboxes Are Not Foolproof.
Anzeige
zu "feine Sache":
ja, aber…
VIRUSTOTAL:
You understand that if you submitting any Sample, the Sample is immediately shared for review by the Service's Partners… While you retain any ownership rights in the original material contained in the Sample, when you upload or otherwise submit a copy of the Sample, you give VirusTotal (and those we work with) a worldwide, royalty free, irrevocable and transferable licence to use, edit, host, store, reproduce, modify, create derivative works, communicate, publish, publicly perform, publicly display and distribute all content contained in the Sample. YOU FURTHER AGREE THAT… YOU WILL NOT KNOWINGLY SUBMIT ANY SAMPLE TO THE SERVICE THAT CONTAINS CONFIDENTIAL OR COMMERCIALLY SENSITIVE DATA OR PERSONAL DATA OF ANY INDIVIDUAL WITHOUT LAWFUL PERMISSION.
Ralf, du sollst auch nicht deine Eigenen Dateien da hochladen von denen du weißt das sie selber erstellt hast und Viren frei sind.
Du musst verstehen das die Dateien dort untersucht werden so funktioniert der Service nun mal.
Es ist ein Kostenloser Service so wie bei Facebook. Du kannst ihn nutzen musst aber nicht.
bleibt eben nicht viel uebrig, was man bedenkenlos dort pruefen lassen kann (dsgvo, copyright). daher leider nur von begrenztem nutzen, wenn es legal bleiben soll.
was anderes wollte ich hier nicht zum ausdruck bringen.
Wenn man z.B. eine email mit einem Anhang bekommt, der einem suspekt vorkommt……
– Wenn man den Anhang hochläd und es war ein Virus etc, alles ok.
– Wenn die email legitim war, hat man die Daten des Sender illegaler weise weitergegeben (und ggf seine eigenen, Rechnung etc)
Ich hatte mal an andere Stelle (ging um die Amazon Ring Door Bell) mal ein abstraktes Beispiel gegeben: Sex haben und nur ein bisschen schwanger werden wollen, geht nicht. Also vorher entscheiden ;-).
zu "entscheiden":
darauf zielt mein hinweis mit dem terms-of-trade-auszug. ich denke, das wird von vielen nicht beachtet.
Du hast ja im Prinzip Recht. Wenn ein extrem sensitives Kunden- oder Firmendokument als Mail-Anhang kommt, würde ich das nicht auf VirusTotal hochladen. Aber welche Möglichkeiten hat ein Admin wirklich?
ich sehe das problem auch mehr beim amateur-user. ein profi-admin weiss (hoffentlich) was er tut und laesst sich nicht so leicht von technischen moeglichkeiten blenden.
solange nur pruefsummen uebertragen werden, ist es fuer den nutzer in jedem fall legal, sobald es um einen upload geht, gibt es wie bei jedem upload 2 moeglichkeiten: er ist legal oder er ist es nicht.
[so viel wollte ich heute gar nicht schreiben]
Ich denke auch, dass es vorher auch so war.
Der Sinn von Virustotal liegt mE auch darin, Dateien die ein Risiko darstellen oder darstellen könnten zu überprüfen. Da macht es wenig Sinn, wenn man die Analyse der Datei nicht will. Das geht nur, wenn die AV-Systeme analysieren und da jedes eben seine eigene Methode.
bei virustotal-nutzung landen dinge in der clould und sind damit ausserhalb meiner kontrolle, bei meinem virenscanner nicht. virustotal teilt sie zudem mit zahlenden partnern. da sehe ich schon einen unterschied.
Keiner zwingt einen Virustoral zu nutzen. Es geht darum im Notfall eine "kostenlose" Meinung einzuholen.
Denkst Du wirklich Fazebuk und Co und Chrome und Firefox etc sind kostenlos? Die sind dabei viel schlimmer und denen gibts Du Dich bestimmt hin (Vermutung).
es geht mir nicht um kostenlos oder praktisch, sondern um rechtskonform.
ich nutze davon nur firefox. liegt die "vermutung" eigentlich auf der hand, das jemand, der auf datenschutz- und eigentumsrechte hinweist, sich facebook "hingibt"?
ich nutze auch virustotal, aber bewusst, d.h. mit freiwilligen einschraenkungen. und zwar nicht nur im "notfall", sondern regelmaessig.
Im Zweifelsfall laden die Virenscanner Dateien auch zum Hersteller zur weiteren Analyse hoch.
Oh, wenn du dich da mal nicht täuschst.
Die meisten "lokalen" Virenscanner laden inzwischen (zuvor im Kleingedruckten vom Benutzer abgenickt) die gescannten und dabei "interessant" erscheinenden Dateien zum Hersteller oder wohin auch immer hoch.
ich kann nicht fuer die meisten lokalen virenscanner sprechen, aber selbst mit der win10 home grundausstattung kriegt man das per konfiguration hin.
fussnote:
windows defender hat bei schutzwirkung und benutzbarkeit gerade wieder die bestnote erhalten:
https://www.av-test.org/de/antivirus/privat-windows/
Ralf, der Hinweis, dass man nicht bedenkenlos Dateien im Internet hochladen soll, ist richtig, spielt (meiner Erfahrung nach) in der Praxis bei VirusTotal aber keine große Rolle, zumal man VirusTotal auch passiv nutzen kann, als reines Informationsportal. Bevor etwas hochgeladen wird, werden die Prüfsummen der betreffenden Datei ermittelt und nachgeschaut, ob die Datei bereits hochgeladen und überprüft wurde. Wenn ja, wird der Prüfbericht angezeigt. Wenn nein, wird man gefragt, ob man die Datei, in der Regel wird es Software sein, hochladen möchte. Wer hier Bedenken hat, muss das nicht tun und schaut später noch einmal bei VirusTotal vorbei. VirusTotal ist derart stark frequentiert, dass zum Beispiel für neue Versionen gängiger Programme innerhalb kürzester Zeit Prüfberichte zur Verfügung stehen. – Ein Anbieter wie PortableApps.com ist vor einiger Zeit sogar dazu übergegangen, neue Programme und Programmversionen proaktiv selber bei VirusTotal hochzuladen und über die Kommentarfunktion als „Official release" zu kennzeichnen.
Dass man Dateien, die aus dem privaten oder beruflichen Umfeld stammen, nicht an Dritte übermittelt oder im Internet hochlädt, versteht sich ohnehin von selbst.
die nutzung von virustotal durch portableapps.com ist aus folgendem grund unproblematisch:
portableapps.com vertreibt open source software und freeware – je nach lizenz koennte der vertrieb also problematisch sein. deshalb werden die programme dort auch in abhaengigkeit von der lizenz auf zweierlei weise angeboten. den normalfall bilden "installer" die auch offline funktionieren, weil sie das komplette programm des herstellers enthalten. erlaubt die herstellerlizenz jedoch keine distribution ueber fremde webseiten/kanaele, geht portableapps.com einen anderen weg. dann nutzen sie "installer", die das betreffende programm erst bei der "installation" von der webseite des herstellers herunterladen; sie selbst enthalten also keine programmbestandteile des herstellers. daher ist die virustotal-nutzung von portableapps.com rechtskonfom.