Dlaczego nie powinniśmy automatyzować analizy próbek w VirusTotal?

O VirusTotal

Nie każdy wie, ale VirusTotal jest teraz częścią Google Cloud. Jego misją jest pomoc w analizowaniu podejrzanych plików, adresów URL, domen i adresów IP w celu wykrywania cyber-zagrożeń. Narzędzie robi to poprzez skanowanie przesłanych plików za pomocą silników dostawców oprogramowania anty-malware. Wiele osób używa VirusTotal jako skanera „drugiej opinii”, co oczywiście jest w porządku.

VirusTotal utrzymuje kolekcję ponad 70 rozwiązań do ochrony punktów końcowych, ale ważne jest, aby zdać sobie sprawę, że nie ma gwarancji, że wersja, na której opiera się VirusTotal, jest tą samą wersją, którą aktualnie używamy w środowisku produkcyjnym.

Jeszcze ważniejsze jest uświadomienie sobie, że VirusTotal nie został zaprojektowany do sprawdzania czy załącznik jest złośliwy. Narzędzie może rozpoznawać złośliwe próbki, zwłaszcza te, które są wykorzystywane w masowych kampaniach e-mailowych, ponieważ próbki te mogą być przesyłane przez użytkowników i producentów AV częściej. Jednak w przypadku ataku ukierunkowanego uzyskanie pełnej przejrzystości w VirusTotal nie oznacza, że załącznik można bezpiecznie otworzyć lub edytować. Możliwe, że baza VirusTotal nie ma po prostu o nim wiedzy.

VirusTotal oferuje usługi premium, które umożliwiają subskrybentom dostęp do plików przesłanych przez osoby trzecie. Ma to na celu zwiększenie poziomu wykrywania złośliwego oprogramowania w uczestniczących rozwiązaniach, ale także umożliwienie pobierania i sprawdzania złośliwych próbek w swoim środowisku.

Naruszenie zasad poufności

W marcu 2022 r. niemiecki BSI, czyli Federalny Urząd Bezpieczeństwa w Technologii Informacyjnej, zauważył (pół)automatyczne przesyłanie podejrzanych lub poddanych kwarantannie załączników z wiadomości e-mail. W niektórych przypadkach były to dokumenty poufne. Obejmowały one ostrzeżenia wysyłane przez BSI oznaczone jako TLP Green i Amber.
Protokół TLP (Traffic Light Protocol) został stworzony w celu ułatwienia szerszej wymiany informacji. TLP to zestaw oznaczeń służących do zapewnienia, że poufne informacje są udostępniane odpowiednim odbiorcom. Wykorzystuje cztery kolory, aby wskazać oczekiwane granice udostępniania, które mają być zastosowane przez odbiorcę (odbiorców).

Przesłanie dokumentu oznaczonego jako TLP:GREEN, TLP:AMBER lub TLP:RED jest naruszeniem warunków komunikacji i może spowodować usunięcie z listy akceptowanych odbiorców. Otrzymywanie informacji z tagiem TLP innym niż TLP:WHITE jest przywilejem. Oznacza to, że właściciele informacji ufają odbiorcy, że uszanuje jego życzenia. Odbiorcy powinni zrobić wszystko, co w ich mocy, aby zasłużyć na to zaufanie. Na przykład nie przesyłać właśnie takich próbek do VirusTotal. Niemiecki urząd jako pierwszy napisał oficjalne oświadczenie i porady na ten temat.

Być może przesyłający lub konfigurujący automatyczne analizowanie załączników w VirusTotal nie zdają sobie sprawy, że pliki te zostały udostępnione nie tylko 70 producentom zabezpieczeń, ale są również dostępne dla wszystkich innych firm i podmiotów, które korzystają z usług premium oferowanych przez VirusTotal. Nie ma ograniczeń co do podmiotów uczestniczących, więc nie ma powodu zakładać, że przesyłanie poufnych dokumentów jest bezpieczne.

Wyszukiwanie na VirusTotal hasła „ivoice.pdf” dało prawie 18 tys. wyników wyszukiwania. To prawda, że niektóre z tych plików zostały faktycznie oznaczone jako złośliwe, ale większość z nich nie powinna być dostępna do publicznego wglądu.

Podsumowanie

Wszyscy rozumiemy, że sporadycznie trzeba przesłać plik do VirusTotal, ale pod żadnym pozorem nie wolno automatyzować tej procedury. Nawet jeśli VirusTotal udostępnia do tego API. Narzędzi publicznych powinniśmy używać tylko wtedy, gdy nie mamy akurat innych metod sprawdzenia. Ciekawostki o działaniu samego VirusTotal napisano w ostatnim roku na blogu MalwareBytes.

Rady dla odbiorców podejrzanych załączników:

– Jeśli choć trochę nie masz pewności co do bezpieczeństwa załącznika, skontaktuj się z nadawcą i zapytaj go o to.
– Nie używaj VirusTotal, jeśli chcesz sprawdzić, czy załącznik jest złośliwy. Wynik nie jest rozstrzygający i możesz naruszyć poufność.
– Nigdy nie klikaj linków w wiadomościach e-mail lub załącznikach do wiadomości e-mail.
– Nigdy nie włączaj trybu edycji w dokumencie, chyba że nadawca osobiście zapewnił, że jest to bezpieczne. Może to narazić system na złośliwe makro umiejscowione w dokumencie.