Google-Report von VirusTotal über Trends bei Malware

Sicherheit (Pexels, allgemeine Nutzung)[English]Auf seinem Dienst VirusTotal erhält Google täglich zahlreiche Einreichungen von Dateien zur Überprüfung, ob es sich um Malware handelt. In einem neuen Bericht "Deception at scale: Wie Malware Vertrauen missbraucht" hat ein Team von Google die Erkenntnisse zu verschiedene Techniken zusammengetragen, die Malware einsetzt, um Abwehrmechanismen zu umgehen und Social-Engineering-Angriffe effektiver zu gestalten. Das soll Sicherheitsforschern, Sicherheitsexperten und der allgemeinen Öffentlichkeit helfen, die Natur bösartiger Angriffe besser zu verstehen.


Anzeige

Ich bin bereits vor einigen Tagen auf nachfolgenden Tweet von Catalin Cimpanu gestoßen, der das Thema aufgreift und auf den Blog-Post Deception at a scale vom 2. August 2022 verweist.

Malware abuses trust

Die Botschaft aus obiger Grafik lautet, dass Malware zunehmend versucht, vertrauenswürdige Domains von Softwareprojekten oder Firmen für eigene Zwecke zu missbrauchen.

  • Zehn Prozent der Top-1.000-Alexa-Domains haben verdächtige Muster (Pattern) verbreitet.
  • 0,1 Prozent der legitimen Hosts für beliebte Apps haben Malware verbreitet.
  • 87 % der mehr als eine Million signierten bösartigen Beispiele, die seit Januar 2021 bei VirusTotal hochgeladen wurden, haben eine gültige Signatur.
  • Im Rahmen eines wachsenden Social-Engineering-Trends wurden 4.000 Samples entweder ausgeführt oder mit legitimen App-Installationsprogrammen gepackt.
  • Die Zahl der Schadprogramme, die optisch legitime Anwendungen imitieren, hat stetig zugenommen, wobei Skype, Adobe Acrobat und VLC die drei Spitzenreiter sind.
  • 98 % der Samples, die legitime Installationsprogramme in ihren PE-Ressourcen enthielten, waren bösartig.

Eine der effektivsten Social-Engineering-Techniken besteht darin, Malware in Installationspaketen von legitimer Software zu verstecken. Dies wird per Lieferketten-Angriff realisiert, bei dem die Angreifer Zugriff auf den offiziellen Verteilungsserver, den Quellcode oder die Zertifikate erhalten. Genau diese Fälle wurden wohl auf Virustotal anhand eingereichter Proben festgestellt. Manche dieser Proben wurden von den VirusTotal-Scanner als schädlich erkannt – die Erkennung hinkt aber immer der Entwicklung neuer Malware hinterher. Die Details lassen sich im Virustotal-Beitrag nachlesen – dort kann der Bericht nach einer Registrierung heruntergeladen werden.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu Google-Report von VirusTotal über Trends bei Malware

  1. performi sagt:

    Mensch Günni, du bist ja wieder AV-aktiv… :-D

    und zu der VT-(Nicht-)Erkennung gibt es doch schon seit "Jahrzehnten" eine FAQ, die sich hin und wieder auch schon mal ein wenig verändert hat, aber dem zugrunde liegt:

    "-AV product on VirusTotal detects a file and its equivalent commercial version does not

    …Therefore, sometimes the antivirus solution in VirusTotal will not behave exactly the same as the equivalent public commercial version of the given product."

    somit zwar als ein Anhaltspunkt, aber für ein selber nicht lokal installiertes AV, ziemlich oft auch 0-Aussagekraft hat. Die erkennen nämlich lokal trotzdem manchen Schrott, aufgrund der vor Jahrzehnten (von Experten) herbeigeschriebenen "Pro-Aktiv"-Erkennung (lt. BSI: "erweiterte, verhaltensbasierte Erkennung von Schadsoftware")…

    Gut, heute ist natürlich in Experten-Foren wieder der unaufdringliche M$-Defender "State Of The Art"… :-D (und updates!)

    zudem die (Ex-) Spinner aus der Antike von den sicheren, aber durchs AV behinderten, Browsern die Experten sind.
    Ich erinnere mich noch als diese Browser bei rootkit-installern ungehindert deren Installationsbeglückwünschungs-Seiten aufriefen etc.


    GB: Hm, auch nach mehrmaligem Durchlesen des Kommentars habe ich nicht verstanden, was ausgedrückt werden soll. Im obigen Artikel geht es nach meiner Lesart um Statistiken dessen, was bei hochgeladenen Samples für Trends ausgemacht wurden – weniger, ob VirusTotal oder ein lokaler Virenscanner besser erkennt. Ratlos …


    Für die Mitleser, die sich wundern, dass das Kommentardatum nicht zum Artikeldatum passt: Der Beitrag war für So. 6.8. vorgesehen, ist irrtümlich aber bereits am 5.8. online gegangen – habe den nachträglich verschoben.

  2. Paul sagt:

    Bestätigt doch nur die alte Redensart:

    Was ist älter als der Börsenbericht vom Vormittag?
    Die neuesten Virensignaturen von vor 10 Minuten.

  3. Paul sagt:

    Hm, solange ich VLC kenne galt da immer schon :
    Gucken was man da wo runter geladen hat und die Prufsumme anlegen.
    Das VLC das nicht in den Griff bekommt wundert mich.
    Aber ich glaube, die haben nicht die richtigen Domains bekommen so das Suchanfragen zu fajes führen?

    • Frankel sagt:

      Man braucht keine Hashes bei digital signierten Dateien. Das der Bericht behauptet malware sei mittlerweile zu 87% signiert halte ich für Unfug, dann müsste das Zertifikat ja gestohlen sein. Gestohlene Zertifikate werden extrem schnell von den CAs für ungültig erklärt.

      Wer also einen NVIDIA-Treiber mit Cert von "Vladimir Corp" vorfindet oder einem Cert mit "abgelaufen/ungültig" sollte hellhörig werden. Im Zertifikatsspeicher von Windows sind ohnehin nur namhafte Root CAs, von daher viel Worte von VT ohne Beweise.

      Die angeblich signierte malware die sie im eigenen Artikel verlinken kann man ohne "Enterprise VT" account auch nicht abrufen. Paywall-Link im Folgeartikel versteckt!

      Wer die Zertifikatskette einmal begriffen hat, den kann man nicht austricksen. Genauso, dass Paypal bei Digicert und nicht letsencrypt seine Zertifikate holt. Kann man in 2 sekunden nachsehen ob man auf der echten oder einer Fake-Seite ist. Gegen Tippfehler helfen Lesezeichen.

      Klar kann malware auch ein echtes Zertifikat haben, wenn eine Firma so unfähig ist gehackt zu werden und der Hacker schadcode auf dem Produktionsserver einschleusen kann. Das kennen wir Profis hoffentlich alle als Supply-Chain-Attack.

      Aber ich Rante hier nur, es geht doch wieder um Panikmache. Einfach mal die Brain.exe anknipsen. Habe seit Jahren trotz zig Schlangenöl auf dem PC kein Virus mehr gesehen. Bekannte Malware-Seiten werden mit korrekten Filterlisten sogar von uBlock Origin geblockt. Ich kapiere die Probleme der Normalos nicht.

      Außer in Firmen mit Spearfishing und infizierten E-Mail anhängen, wo soll man sich noch einen Virus holen?

      Konntet ihr mir folgen? Ich bin einfach mal typische Angriffsvektoren durchgegangen. Hashes sind für den Allerwertesten. Profis nutzen minisign oder GPG. Ein Hash auf einer Website kann geändert werden, sollte die Seite gehackt sein und einen Fake installer ausliefern. Der private minisign Schlüssel vom Entwickler, der ist schon schwerer zu stehlen! Deinen Public kei sollte man auf Github hosten und dort 2FA nutzen.

      https://jedisct1.github.io/minisign/
      Signaturen > Zertifikate > Kryptographische Hashes > Prüfsummen

  4. Paul sagt:

    "From the almost 80,000 unique files found, 78 of them were detected by more than 5% of antiviruses as potentially malicious. Here we list the top 5 most detected files:"

    Ich lese da: als *möglicherweise* krank.

    Ja toll, was soll denn so eine Null Aussage?
    Ist ein PUA auch"möglicherweise krank" ?
    Vermutlich.
    Oder reicht es wenn eine dumme Verhaltenserkennung darüber stolpert, das die App Daten Träger formatieren kann?
    Vermutlich.
    Google will doch zeigen wie toll es ist.

    Ich hätte gerne den Wert, welcher Scanner besonders oft eine Software angemeckert hat, die hinterher sich aks OK darstellte ubd ungegeklehrt.
    Das als "Reputationswert" schon in Echtzeit.
    Ich bewusste das Teil regelmäßig, kann also stutzig werden, wenn immer wieder dieselben 4 Scanner alarm geben, fake alarm um ganz oben bei VT zu erscheinen..

    Sicher wird sich einer fragen:
    Warum benutzt Du das dann, wenn es eh nur Fakes liefert?
    Weil Endkunden das benutzen und dann schreien jemand würde Viren verteilen, weil zufällig eine Lib eingebaut wurde, die irgendein Scanner erkennt.
    Ne Zeitlang war alles was autoit enthielt "krank".
    Oder wenn etwas einen selbst entzipper enthielt.

  5. Paul sagt:

    Emm. Hab ich überlesen ;
    Nur 5% der Scanner fanden 78 von 80000 einmaligen Dateien als möglicherweise krank.
    Keine Aussage, ob dir Dateien wirklich krank waren..
    Und
    Auf der einen Seite sprechen sie von 87% von Millionen hochgeladenen gültig signierten Dateien.
    Wie viele der tatsächlich kranken Dateien waren signiert?
    Ich finde da keine Info.

    Da scheint Googles Marketing sehr kreativ due Zahlen gewählt zu haben…

  6. Paul sagt:

    Bitte nicht falsch verstehen:
    Der Hinweis auf den VT Artikel war schon interessant.

  7. McAlex777 sagt:

    Danke für den informativen Artikel.
    Ich wusste garnicht das VirusTotal zu Google gehört.

Schreibe einen Kommentar zu Paul Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.