Valkyrie - serwis weryfikacji pliku.

miloszcz · August 13, 2011, 8:32pm

http://i.imgur.com/RIMbB.png

Comodo Valkyrie (nieformalnie: VK) - usługa online pozwalająca określić czy dany plik wykonywalny jest złośliwy czy bezpieczny. Funkcja opiera się na 17 wyspecjalizowanych detektorach heurystycznych poszukujących w kodzie i budowie pliku cech, które mogłyby świadczyć o jego szkodliwości. Ponadto wyposażona jest w zaawansowaną heurystykę, gdzie 3 powiązane ze sobą silniki starają się wykryć malware opierając się na zestawie reguł.

Jako ostatni element analizy traktowany jest skaner behawioralny - plik uruchamiany jest w wirtualyym środowisku i obserwowany, a wszelkie podejrzane akcje są raportowane.

1. Artificial Intelligence - sztuczna inteligencja.

Screen-Shot
Tak właśnie nazwano 17 detektorów umożliwiających wykryć szkodliwy czy bezpieczny kod w plikach.
Informacje o ich sposobie działania są powierzchowne, producent woli zachować je dla siebie - są tylko ogólnikowo omówione.
Porównano je do “mózgów analityków złośliwego oprogramowania”.
Podczas analizy nie wszystkie wydają werdykt - zazwyczaj tylko kilka z nich może “wypowiedzieć się” na temat stanu pliku. Werdykty są sumowane i drogą głosowania otrzymujemy werdykt ostateczny.

2. Analiza Dynamiczna - obserwowanie zachowania aplikacji.

Screen-Shot
Plik zostaje uruchomiony, a jego akcje notowane. Zestaw podejrzanych zachowań zawiera zasady, które determinują werdykt o szkodliwości. Typowe akcje wirusa są wykrywane. Są to np. kopiowanie i umieszczanie się w różnych lokacjach, usuwanie samego siebie, wstrzykiwanie kodu, tworzenie sterowników, wyłączanie systemowego firewalla i wiele, wiele więcej.

Usługa ta dostępna jest też osobno pod adresem http://camas.comodo.com/ .

3. Zaawansowana heurystyka (Advenced Heuristics) .

Screen-Shot
Ta metoda owiana jest jeszcze większą tajemnicą. Możemy podejrzewać, że to podobne, chociaż bardziej zaawansowane metody od detektorów AI. Zaawansowana heurystyka cechuje się bardzo dobrą wykrywalnością i dokładnością w określaniu złośliwych plików. Zaraz po analizie eksperta (patrz dalej) ma największe znaczenie w ostatecznym werdykcie.

4. Analiza ekspertów.

Screen-Shot
Dodatkowo, aby być w 100% pewnym plik można przekazać do ręcznej analizy przez jednego z siedmiu ekspertów w tej dziedzinie. W ciągu 24 godzin (nie licząc weekendów) powinniśmy otrzymać werdykt ostateczny z komentarzem do pliku. Werdykt wydany podczas tej analizy jest przechowywany i każdorazowo wyświetlany po przesłaniu pliku dla każdego użytkownika.

5. Opinie użytkowników o pliku.

Screen-Shot
Ostatnią funkcją jaką oferuje serwis to pozostawianie opinii i komentarzy na temat pliku. Każdy może wskazać status pliku (Normal, Malware, Unwanted, Unknown) oraz napisać na jego temat krótki komentarz.

Podsumowanie.
5 metod do określania pliku - to sporo. Daje nam to całkiem sporą skuteczność przy niskich fałszywych alarmach (stwierdzeniach bezpiecznego pliku jako niebezpiecznego).
Z mojego testu, przeprowadzonego łącznie na 400 plikach wynika, iż skuteczność w wykrywaniu złośliwego kodu to 85-90%, a ilość fałszywych alarmów jest bardzo mała (pośród kolekcji 150 zdrowych plików 2 zostały oznaczone błędnie).

Po co to wszystko?

Przecież mamy serwisy typu VirusTotal, wydają się one bardziej wiarygodne.
Tak, ale opierają się na detekcji znanych zagrożeń - to znaczy takich, które przeszły analizę w laboratoriach i zostały oznaczone jako wirusy. Do tego dochodzi czas aktualizacji…
Najnowsze zagrożenia, które mogą nie być wykrywane przez żaden z popularnych skanerów, lub co najwyżej kilka stwarzają ryzyko infekcji, ponieważ bardzo trudno rozpoznać takiego szkodnika (tzw. 0 day).
Werdykt otrzymany z niezależnej usługi jaką jest Valkyrie zawsze będzie taki sam - i dlatego jest bardzo skutecznym narzędziem w rozpoznawaniu nowych (jaki i starszych) zagrożeń.
Teraz możemy pohulać - codziennie powstaje 50 tys. nowych wirusów. 95% z nich jest niewykrywanych przez więcej niż jeden program antywirusowy - dając tutaj 80-90% wykrywalność Valkyrii, która jest stała… niezależna od weekendów czy dni wolnych dla analityków w firmach AV

Prosiłbym o testy Valkyrii i wszelkie pytania/sugestie/raporty podawać w tym wątku ;).
Cały czas w fazie BETA.

pikusek · August 14, 2011, 12:12pm

Powinni dodać (chyba) rozpoznawanie zabezpieczeń płyt. Na przykład pliki “CrashTime2Low.exe” i “CrashTime2Hi.exe” z gry Crash Time 2 są zawsze rozpoznawane jako malware (pomimo wielokrotnego zgłaszania jako fp). Oczywiście, mówię tu o grze legalnej, wydanej u nas przez City Interactive i kupionej w sklepie.

Tutaj efekt skanowania jednego z powyższych plików przez Valkirie: http://valkyrie.comodo.com/Result.aspx?sha1=8aa747b5ce050e086ef39dc4ab1f40bdb2c0fdfd&&query=0&&filename=CrashTime2Low.exe

A według VirusTotal grę w ogóle powinienem wyrzucić do kosza: http://www.virustotal.com/file-scan/report.html?id=fdba52041b5329dc8269e54de12f7f7967c5a2d338238c9c5eb658b2deb85a53-1313322209

Niestety, takie mamy czasy, że obecnym produktom zabezpieczającym przed kopiowaniem (itd) jest bliżej do wirusów niż do rzeczywistych zabezpieczeń (ot na przykład sławetny rootkit od Sony). Wydaje się, że firmy antywirusowe powinny stworzyć nowy rodzaj, czy też raczej typ zagrożenia mówiący o tym, że może być to zabezpieczenie płyt z grą/filmem.

miloszcz · August 14, 2011, 12:14pm

Ok, zobaczymy co da się z tym zrobić.

pikusek · August 14, 2011, 12:35pm

W tym przypadku raczej niewiele można zrobić z tego powodu, że te dwa pliki są tworzone “w locie” przez co nie są podpisane. Żeby wykrywalność tych plików była skuteczna wydawca (Synetic lub CI) musieliby te pliki podpisać swoim certyfikatem, a tak przy takich danych jak na dołączonej fotce, nie ma na to szansy.

[attachment deleted by admin]

miloszcz · August 15, 2011, 3:02pm

Sygnatura została usunięta z bazy, a analityk też stwierdził, że to bezpieczny plik http://valkyrie.comodo.com/Result.aspx?sha1=8aa747b5ce050e086ef39dc4ab1f40bdb2c0fdfd&&query=0&&filename=CrashTime2Low.exe
jestem ciekawy czy poprawią pod tym względem valkyrie.

pikusek · August 15, 2011, 8:22pm

Być może.
Nie wiem jak Tobie, ale mi wydaje się, że przyszłe rozwiązania antywirusowe będą raczej oparte na wirtualizacji i sprawdzaniu zachowania pliku, niż na bazach. Weźmy powyższy plik. Kiedy po raz pierwszy go przeskanowałem na VirusTotal tylko pięć antywirusów się pultało (około rok temu), teraz dwadzieścia.

Widzę to tak, że pliki byłyby sprawdzane podczas instalacji programu w wirtualu i jeżeli wszystko by grało program lądowałby w miejscu docelowym, a jak nie to alert i won z kompa. To samo tyczyło by się plików pobieranych z netu czy na pamięciach przenośnych.

Ale informatykiem nie jestem, jeszcze dalej mi do bezpieczeństwa, więc powyższe można uznać za majaki wariata .

miloszcz · August 15, 2011, 8:58pm

Co do Twoich domysłów są jak najbardziej trafne.

Comodo stosuje się już do tego poprzez automatyczną piaskownicę, która ma przeprowadzać wirtualizację od wersji 6.

Co do VT - teraz wykrywa już tylko 19 skanerów

IMO valkyrie jest by ułatwić życie. Identyfikować bezpieczne aplikacje i umieszczać je poza piaskownicą, a niebezpieczne od razu usuwać.

pikusek · August 15, 2011, 9:36pm

Widać, nie czytam za dużo na temat nowości w bezpieczeństwie 88). Z VT, racja 88).