O post de hoje será sobre uma das palestras que tive a oportunidade de participar na edição deste ano da conferência Virus Bulletin.
Quero mencionar alguns dos aspectos que chamaram a minha atenção na palestra de Randy Abrams sobre alguns truques e mitos no uso do VirusTotal (VT), um dos serviços online utilizados para revisar arquivos suspeitos mais populares e, em muitas casos, uma ferramenta interessante para a realização de pesquisas sobre a propagação de uma ameaça.
Primeiro irei destacar alguns truques que provavelmente alguns usuários desconhecem.
5 truques para o uso do VirusTotal
#1: Use o serviço para procurar informações sobre domínios
Pelo fato de contar com uma ampla variedade de soluções de segurança, essa ferramenta é amplamente conhecida como um serviço para rastrear arquivos que podem ser maliciosos. No entanto, existem muitos usuários, incluindo alguns profissionais de TI, que não sabem que o VT também realiza a busca por endereços IP e nomes de domínios.
#2: Envie a amostra por email
Se você não tiver muita pressa para a análise de um arquivo, saiba que é possível enviá-lo por email para scan@virustotal.com. Este método de envio tem uma menor prioridade de análise, mas pode ser bastante útil.
#3: Inspecione extensões em navegadores
A extensão VTZilla pode ser usada no Firefox e, com um simples clique direito, é possível realizar o rastreamento de um arquivo ou um URL. Links em emails e campanhas de phishing também podem ser enviadas para o VT.
#4: Existe VT no Android
Embora seja importante mencionar que este aplicativo não oferece nenhum tipo de proteção para dispositivos móveis, o serviço fornece uma interface para o envio de arquivos e a visualização de resultados.
#5: Utilize o API
O interessante sobre o uso da API pública do VT é que, ao enviar uma amostra, você pode obter mais informações da análise do que através da página web.
O VirusTotal começou como um serviço em 2004 e oito anos depois foi adquirido pelo Google. No entanto, o grande crescimento no número de usuários gerou certos mitos sobre o uso desta ferramenta. Durante a palestra, alguns desses mitos foram citados, confira:
7 mitos sobre o VirusTotal
#1: O VT pode ser usado para realizar testes comparativos
É uma má ideia usar a ferramenta como um serviço para detectar se uma amostra é maliciosa. Tenha em mente que o VT não foi projetado para fazer testes comparativos ou detecção de ameaças, já que existem empresas especializadas nisso.
Tendo em conta que os serviços dos diferentes mecanismos antivírus que funcionam no VT são as versões sob a linha de comando, ou seja, nem sempre possuem as mesmas tecnologias que as soluções instaladas nos dispositivos dos usuários.
Mesmo em alguns casos, as heurísticas dos motores das diferentes soluções podem ser modificadas e não ser o mesmo que os produtos que o usuário instalou. Então, se você precisar analisar um arquivo malicioso e um determinado fabricante não o detecta como tal, pode ser que o motivo esteja relacionado com isso. Alguns dos seguintes mitos estão relacionados com o primeiro, no entanto, considerando as características especificas de cada um, vale a pena esclarecê-los.
#2: A detecção de malware no VT significa que o produto detecta o malware
O VT mostra que um produto diz detectar uma amostra, mas isso não significa que o scanner detectaria a ameaça se estivesse no dispositivo do usuário. Por um lado, mencionamos o fato de que as configurações da heurística podem ser diferentes. Além disso, a detecção também dependerá de como o usuário configurou o produto em sua própria máquina.
#3: A ausência de detecção no VT significa que o arquivo é seguro
O mais importante não é que a ameaça seja detectada ou não. No VT, há algumas informações adicionais que podem nos dar mais ideias sobre o comportamento do arquivo analisado. Além disso, lembre-se que você não pode garantir 100% de eficácia quando falamos sobre a detecção de códigos maliciosos.
#4: A ausência de detecção no VT significa que o produto não o detecta
Em alguns casos, é possível que o fabricante não mostre algumas detecções no VT, com o objetivo de não alertar os criadores de malware de que a versão do produto instalado nos dispositivos dos usuários pode detectar a sua ameaça. Também pode ser que a detecção da ameaça como tal seja irrelevante, simplesmente porque outras tecnologias presentes nas soluções de segurança previnem a infecção sem sequer conhecer a ameaça.
#5: Falso positivo significa falso positivo
Para um usuário, pode custar muito caro que a solução de segurança detecte falsos positivos. Por este motivo, os algoritmos de detecção do VT podem ser versões de teste de algumas novas heurísticas que estão no período de análise antes de entrar em produção.
#6: Quanto mais, melhor!
O fato de que o processo de rastreamento do VT detecte uma amostra como maliciosa não implica que muitos usuários estejam protegidos. Isso está mais relacionado com a participação de mercado de cada solução de segurança. Por isso, não devemos esquecer que, em muitos casos, as soluções de segurança completas instaladas pelos usuários nos dispositivos contam com tecnologias de proteção adicionais, tornando possível a detecção de ameaças com outros componentes do produto e não apenas com os recursos do VT.
#7: Sitio malicioso significa sitio malicioso
Pode ser que um site legítimo seja comprometido e passe a conter contenha exploits, hospede páginas de phishing ou armazene malware. Em todos estes casos, o site pode ser detectado como mal-intencionado e, uma vez reparado, pode demorar um pouco até que os diferentes scanners removam a detecção.
Mais um truque
O serviço VirusTotal é muito mais do que uma ferramenta para comparar se um produto detecta um arquivo específico ou não, e de fato vimos que não é uma boa ideia usá-lo com esse propósito. No entanto, além disso, o serviço nos proporcionar informações interessantes sobre o comportamento da ameaça, alguns URLs associados à propagação e até outros arquivos semelhantes.
Então, você já sabe, o VirusTotal é um ótimo serviço... mas vamos usá-lo da melhor forma, levando em consideração o uso para o qual foi projetado e aproveitando os recursos adicionais que possui.
Créditos da imagem: Besjunior/Shutterstock