Jak uzyskać informację o bezpieczeństwie pliku oraz adresu URL?

27 lipca, 2023

Co musisz wiedzieć o rozszerzeniu VT4Browsers 4.0?

W poprzednim artykule przedstawiłem 7 narzędzi online i offline do sprawdzania bezpieczeństwa plików oraz linków przed ich otworzeniem. Do użycia przedstawionych wcześniej systemów i rozwiązań jest wymagana pewna wiedza techniczna. Dlatego teraz zademonstruję rozszerzenie VT4Browser, które każdy będzie umieć obsłużyć, aby dowiedzieć się więcej o bezpieczeństwie pliku przed jego pobraniem pliku albo przed otworzeniem linku.

 

Rozszerzenie VT4Browsers do przeglądarki jako skaner online

Po zainstalowaniu dodatku będziesz mieć możliwość szybkiego przeskanowania strony za pomocą wybrania odpowiedniej funkcji:

VT4Browsers VirusTotal rozszerzenie
Sprawdzenie bezpieczeństwa strony, na której się znajdujesz.

Wybierając „Scan current page” rozszerzenie przekieruje adres URL do skanera VirusTotal w serwisie www.virustotal.com. Wygląda to następująco:

VT4Browsers VirusTotal scanner
Analiza poprzedniego adresu URL strony internetowej w serwisie VirusTotal.

Rozszerzenie VT4Browsers potrafi także zaproponować przeskanowanie linku przed jego otworzeniem. Znajdując się na dowolnej stronie internetowej, wskaż hiperłącze, kliknij prawym przyciskiem myszy wywołując menu kontekstowe i wybierz „Scan selected link”:

skanowanie wybranego linku pliku
Skanowanie wybranego hiperłącza na stronie internetowej.

Dzięki szybkiemu werdyktowi z analizy dowiesz się, czy strona jest na przykład zainfekowana złośliwym oprogramowaniem albo czy kieruje do pobrania złośliwego oprogramowania.

Dodatkowo dowiesz się, co zwykle jest trudniejsze w rozpoznaniu na pierwszy rzut oka i nie musi podnosić alarmu antywirusowego, czy jest to świeża kampania phishingowa ukierunkowana na wyłudzanie danych od użytkowników.

Rozszerzenie na stronach phishingowych możesz wypróbować za pomocą usługi PhishTank.com od Cisco. Tutaj znajduje się globalny zbiór ostatnio dodanych i zweryfikowanych stron jako niebezpieczne. Korzystając z filtrów możesz szybko wyświetlić linki, które są „online” oraz te, które zostały zweryfikowane jako faktycznie szkodliwe.

phishtank strona z linkami phishingowymi

Rozszerzenie posiada jeszcze jedną opcję dla zaawansowanych użytkowników. Jest to szybkie skanowanie wszystkich sum kontrolnych oraz wyświetlanie obok każdej specjalnej ikonki VirusTotal z informacją, ile silników wykrywa dane zagrożenie. Poza tym rozwiązanie jest głównie przeznaczone dla analityków bezpieczeństwa, ponieważ pozostałe opcje wymagają posiadania klucza API w wersji premium (płatnej).

 

Pamiętaj! Antywirus na komputerze to nie to samo co silnik w VirusTotal!

Zastosowane w VirusTotal silniki antywirusowe działają z linii poleceń. W związku z tym mogą nie mieć dostępu do modułów, które wchodzą w skład prawdziwych pakietów zabezpieczających. Udowadnia to praktyczne podejście do testowania. Na przykład złośliwe oprogramowanie, które będzie zablokowane przez moduł firewall w prawdziwym scenariuszu nie będzie zablokowane przez silnik antywirusowy na VirusTotal.

Jak czytamy w oficjalnym dokumencie VirusTotal: zastosowane silniki antywirusowe są wersjami binarnymi działającymi z linii poleceń. Nie będą zachowywać się dokładnie tak samo jak wersje, które instalujemy na komputerach.

Używane silniki na VirusTotal zwykle nie posiadają zapory ogniowej, skanowania w chmurze, piaskownicy, HIPS, DLP, blokowania wirusów skryptowych i innych modułów.

Poniżej cytujemy samych autorów VirusTotal, którzy powtarzają to od lat:

Z tego powodu dołączamy się do prośby serwisu VirusTotal i uczulamy, aby nie wydawać nieprawdziwych opinii, że dane rozwiązanie używane na VirusTotal nie wykrywa zagrożenia, pliku, jako coś szkodliwego, ponieważ ma swoje techniczne ograniczenia w stosunku do swojego zainstalowanego w Windows odpowiednika.

 

Wynik skanowania VirusTotal vs. rzeczywistość

Różnica w antywirusach instalowanych na komputerach a silnikach na VirusTotal jest to pierwszy istotny powód, który pokazuje, aby nie kierować się opinią skanowania na VirusTotal. Drugi powód prawdopodobnie jest ważniejszy, ale nie jest udokumentowany przez autorów strony VirusTotal.

Wrzucane złośliwe oprogramowanie przez panel internetowy do serwisu VirusTotal NIE JEST URUCHAMIANE w określonych przypadkach. Przeprowadzana jest statyczna analiza pliku, tj. obliczane są sumy kontrolne, wyodrębniane są biblioteki DLL, funkcje Windows API są pokazywane, powiązania z innymi złośliwymi kampaniami są ujawniane.

Każdy plik jest skanowany przez silnik antywirusowy, jednak analiza dynamiczna (czyli uruchomienie pliku) jest wykonywana tylko dla plików binarnych. W związku z tym przeanalizowane pliki EXE pokażą aktywność wirusa, ale np. skrypty .VBS, złośliwe faktury .PDF albo makrowirusy w pikach .DOCX już nie zawsze.

 

Jak przeprowadzamy testy w AVLab, które są zgodne z wytycznymi AMTSO?

Jesteśmy członkiem AMTSO (Anti-Malware Testing Standard Organization), międzynarodowej grupy ekspertów i producentów rozwiązań cyberbezpieczeństa. Jesteśmy zobligowani do spełniania szeregu merytorycznych i technicznych aspektów związanych z przeprowadzaniem testów.

Nie jest to wymagane przez AMTSO, ale prowadzimy tzw. changelog naszej infrastruktury, aby być jeszcze bardziej transparentnym dla społeczności oraz producentów. Nasze testy charakteryzują się nadprzeciętną jawnością. Oznacza to, że publikujemy więcej danych telemetrycznych z testów, niż jest to wymagane przez AMTSO i więcej niż jakakolwiek organizacja testująca.

Po każdym teście współpracujemy z każdym producentem, jeżeli zachodzi potrzeba udowodnienia, że dana próbka złośliwego oprogramowania nie została zatrzymana przez produkt. Dzielimy się więc szczegółami:

  • Używanymi próbkami złośliwego oprogramowania w teście.
  • Zapisanymi logami testowanego rozwiązania do ochrony komputerów.
  • Raportami o zarejestrowanych złośliwych aktywnościach w systemie.
  • Raportami o wskaźnikach produktów antywirusowych.
  • Raportami z innych zmian w systemie operacyjnym.

W naszych testach uruchamiamy każdy złośliwy plik i wykorzystujemy prawdziwe wersje programów anty-malware, czyli te, które są instalowane przez użytkowników na ich komputerach lub które są instalowane przez administratorów w firmie. Następnie zbieramy logi z całego systemu Windows: z aktywności złośliwego oprogramowania i reagowania testowanego produktu na zagrożenie. Dzięki temu nasze testy są popularne i cieszą się dobrą opinią wśród społeczności oraz samych producentów rozwiązań ochronnych.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Kliknij na gwiazdkę, aby zagłosować!

Średnia ocena: 5 / 5. Liczba głosów: 1

Jak na razie nikt nie podzielił się opinią.

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]