{"id":227633,"date":"2020-01-29T16:47:40","date_gmt":"2020-01-29T15:47:40","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=227633"},"modified":"2023-01-31T16:55:59","modified_gmt":"2023-01-31T15:55:59","slug":"virustotal-bekommt-bitdam-scanner-sandbox","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/01\/29\/virustotal-bekommt-bitdam-scanner-sandbox\/","title":{"rendered":"VirusTotal bekommt Bitdam Scanner\/Sandbox"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2020\/01\/29\/virustotal-gets-bitdam-scanner-sandbox\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Kleiner Hinweis f\u00fcr Leute, die immer mal wieder verd\u00e4chtige Dateien in VirusTotal hochladen und dort auf Malware pr\u00fcfen lassen. VirusTotal wurde jetzt mit der Bitdam Sandbox erweitert.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg05.met.vgwort.de\/na\/4bde1a57b66b49cd8820c94719433e42\" alt=\"\" width=\"1\" height=\"1\" \/>Die Webseite VirusTotal erm\u00f6glicht ja Beispiele omin\u00f6ser Dateien, in denen Schadsoftware vermutet wird, hochzuladen. Die Dateien werden dann in verschiedenen Virenscannern gepr\u00fcft \u2013 feine Sache. \u00dcber nachfolgenden Tweet bin ich gerade auf eine Erweiterungen gesto\u00dfen.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">VirusTotal expands with BitDam sandbox\/scanner<a href=\"https:\/\/t.co\/LV2QmVfFHS\">https:\/\/t.co\/LV2QmVfFHS<\/a> <a href=\"https:\/\/t.co\/WaOABKx40y\">pic.twitter.com\/WaOABKx40y<\/a><\/p>\n<p>\u2014 Catalin Cimpanu (@campuscodi) <a href=\"https:\/\/twitter.com\/campuscodi\/status\/1222392427161563137?ref_src=twsrc%5Etfw\">January 29, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Das ist jetzt quasi so etwas wie ein Turbo f\u00fcr die Analyse von verd\u00e4chtigen Dateien, da BitDam das Beispiel in einer Sandbox ausf\u00fchrt und auf Malware-Aktivit\u00e4ten scannt. Im VirusTotal-Blog schreibt man dazu:<\/p>\n<blockquote><p><i><a href=\"https:\/\/web.archive.org\/web\/20210307122118\/https:\/\/bitdam.com\/solution\/\" target=\"_blank\" rel=\"noopener noreferrer\">BitDam Advanced Threat Protection<\/a> (ATP) is a cloud-based engine that proactively detects threats, pre-delivery, preventing hardware and logical exploits, ransomware, spear-phishing and zero-day attacks contained in files and URLs. BitDam's patented attack-agnostic technology shows remarkably higher protection rates compared to engines that are based on knowledge of previous threats. It learns the normal code-level executions of business applications such as MS-Word and Acrobat Reader, creating a whitelist knowledge-base. Based on this knowledge, the detection engine determines whether a given file or weblink is malicious or not, regardless of the specific malware it may contain.<\/i><\/p><\/blockquote>\n<p>Im Blog-Beitrag wird ein Beispiel diskutiert, bei dem eine Excel XLS-Tabelle mit Makro in einem verborgenen Arbeitsblatt hochgeladen wird. Dieses Makro greift auf bestimmte Zellen in einem verborgenen Blatt zu, um die Nutzlast abzurufen. Diese f\u00fchrt dann ein\u00a0 Power-Shell-Script mit einer verschleierten Befehlszeile aus. Das Powershell-Skript erzeugt einen .NET-bezogenen Prozess, um die Nutzlast zu kompilieren.<\/p>\n<p><a href=\"https:\/\/lh5.googleusercontent.com\/3F_W10KK-wnpn3e6aL1iruWuZxBwcwH1_La-TDxS4Y8sTEmJgc4Ryg5c-ky4LgiA9pKFSNVtNARXGhim5D8hpUn_fazAgTksIH8ypHntOBwhAgCbEWVDuK3g0Y0LMyHW3NlFE3mi\" target=\"_blank\" rel=\"noopener noreferrer\"><img loading=\"lazy\" decoding=\"async\" title=\"VirusTotal mit BitDam ATP\" src=\"https:\/\/lh5.googleusercontent.com\/3F_W10KK-wnpn3e6aL1iruWuZxBwcwH1_La-TDxS4Y8sTEmJgc4Ryg5c-ky4LgiA9pKFSNVtNARXGhim5D8hpUn_fazAgTksIH8ypHntOBwhAgCbEWVDuK3g0Y0LMyHW3NlFE3mi\" alt=\"VirusTotal mit BitDam ATP\" width=\"643\" height=\"305\" \/><\/a><br \/>\n(VirusTotal mit BitDam ATP, Quelle: VirusTotal)<\/p>\n<p>BitDam scannt die Datei nicht nur (siehe obiges Bild) und generiert Ausf\u00fchrungsberichte, die zeigen, was die hochgeladene Datei macht. Der Scanner verwendet verhaltensbasierte Erkennungsentscheidungen. Daher meldet BitDam, dass die Datei als Malware erkannt wurde.<\/p>\n<p><a href=\"https:\/\/lh6.googleusercontent.com\/ACkvqKQsq-lUZEI3QX47q5Vuqw4tJQolXPXRabBUFXfqV8_pIjy7CGDVrswyCSg7SCfAegLs0aAv6o6MRY6e9LIv_-_6VpwJtkJ3x8K5FvwzunSHwO16xWkFSBr_5Yh6jJlWvxo5\" target=\"_blank\" rel=\"noopener noreferrer\"><img loading=\"lazy\" decoding=\"async\" title=\"VirusTortal BitDam Malware-Erkennung\" src=\"https:\/\/lh6.googleusercontent.com\/ACkvqKQsq-lUZEI3QX47q5Vuqw4tJQolXPXRabBUFXfqV8_pIjy7CGDVrswyCSg7SCfAegLs0aAv6o6MRY6e9LIv_-_6VpwJtkJ3x8K5FvwzunSHwO16xWkFSBr_5Yh6jJlWvxo5\" alt=\"VirusTortal BitDam Malware-Erkennung\" width=\"625\" height=\"273\" \/><\/a><br \/>\n(VirusTortal BitDam Malware-Erkennung, Quelle: VirusTotal)<\/p>\n<p>Spannende Geschichte, wie ich finde. Weitere Details k\u00f6nnt ihr im <a href=\"https:\/\/blog.virustotal.com\/2020\/01\/virustotal-multi-sandbox-bitdam-atp.html\" target=\"_blank\" rel=\"noopener noreferrer\">VirusTotal Blog-Beitrag<\/a> nachlesen. Beachtet aber auch den BitDam-Blog-Beitrag <a href=\"https:\/\/web.archive.org\/web\/20210305161428\/https:\/\/www.bitdam.com\/2018\/04\/30\/sandboxes-are-not-foolproof\/\" target=\"_blank\" rel=\"noopener noreferrer\">Sandboxes Are Not Foolproof<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Kleiner Hinweis f\u00fcr Leute, die immer mal wieder verd\u00e4chtige Dateien in VirusTotal hochladen und dort auf Malware pr\u00fcfen lassen. VirusTotal wurde jetzt mit der Bitdam Sandbox erweitert.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-227633","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/227633","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=227633"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/227633\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=227633"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=227633"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=227633"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}