ComputerBase Menü
Aktuelles

Wie False-Positives bei VirusTotal vermeiden?

T

Thilo87

Cadet 3rd Year
Registriert
Jan. 2020
Beiträge
33
Hallo!

Ich habe ein Problem, und zwar verdächtigt mich jemand, dass ich mit meiner .exe Malware verschicken würde, weil diese Analyse https://www.virustotal.com/gui/file...52483441858f6bdffe6e22e9698758954a4c/behavior drei "Sigma Rules" anschlagen lässt. Meine Software enthält natürlich keine Malware oder Viren (all die professionellen Virenanwendungen finden ja auch nichts).

Wie werde ich diese False-Positives los? Versteht jemand etwas davon und kann mir ungefähr sagen, in welchem Kontext in meinem Programm das ausgelöst werden könnte?

Danke,

Thilo
 
Du kennst dein Programm besser als wir...
1704303644085.png


Das ganz grundsätzlich ja so weit alles im Sinne des Erfinders sein. Wenn es aber ein Solitaire ist, würde ich das merkwürdig finden.

Frage: kann deine Software (ich nehme an ein Spiel) Audio aufzeichnen?
 
  • Gefällt mir
Reaktionen: Thilo87
tollertyp schrieb:
Du kennst dein Programm besser als wir...
Anhang anzeigen 1439087

Das ganz grundsätzlich ja so weit alles im Sinne des Erfinders sein. Wenn es aber ein Solitaire ist, würde ich das merkwürdig finden.

Frage: kann deine Software (ich nehme an ein Spiel) Audio aufzeichnen?
Zum Vergrößern anklicken....

Diese zweite Sigma-Rule würde also bei jedem Programm anschlagen, welches Audio oder Video aufzeichnen kann? Ja, theoretisch kann meine Software bzw. eines der Plugins das. Ich nutze die Funktionalität aber nicht. Es verschlüsselt auch etwas mit dem AES-Algorithmus und sendet Daten an einen Webserver.
 
Schau dir die Rules/Detections an, scheinbar macht dein Programm irgendwas mit einem Root-Zertifikat:
1704304001756.png
 
  • Gefällt mir
Reaktionen: Thilo87
Du kannst auf den gefundenen Sigma Rules hovern, dann bekommst du die Möglichkeit dir den "Quellcode" der Rule anzuschauen und etwas Kontext. Jetzt musst du als Programmierer allerdings wissen warum dein Programm die Rule triggert. Wenn das Verhalten für dich unerwartet ist dann gibt es hier tatsächlich Anlass mal genauer nach der Ursache zu schauen.

Du kannst dem jemand aber auch einfach antworten dass er VirusTotal richtig lesen soll, schließlich kommen alle Antiviren-Scanner zu dem Schluss dass die Datei nicht schädlich ist. Das es da ein paar Indizien/Ähnlichkeiten zu anderen Schadsoftwares gibt reicht imo nicht für eine derartige Anschuldigung.

Viele Programmiersprachen, z.B. Go, werden regelmäßig fälschlicherweise von AV-Scannern erkannt, da sie Binary compression ala upx einsetzen, die auch sehr häufig von Schadsoftware verwendet wird. Das macht das Programm aber nicht zu Schadsoftware, sondern zeigt nur das der AV-Scanner minderwertig ist.
 
  • Gefällt mir
Reaktionen: dms, mae1cum77, Thilo87 und eine weitere Person
Wenn ich es richtig deute, will sysmon64.exe ein abgelaufenes Root-Cert von MS zum lokalen Certstore importieren. Der SHA1-HASH "A43489159A520F0D93D032CCAF37E7FE20A8B419" verweist auf dieses Zertifikat:

1704304732268.png

1704304778942.png


Wenn du das Problem behoben hast, sollte keine der drei Regeln mehr zutreffen, da alle den selben Match haben.
 
Thilo87 schrieb:
Es sendet SSL-verschlüsselte Daten an einen Webserver (HTTPS). Würde das die Meldungen bis auf die mit dem Audio erklären?
Zum Vergrößern anklicken....
Wäre eigentlich schlimmer, wenn sie nicht verschlüsselt wären.

Die Frage ist halt, welche Bibliotheken du verwendest für diese Funktionen.
 
kartoffelpü schrieb:
Wenn ich es richtig deute, will sysmon64.exe ein abgelaufenes Root-Cert von MS zum lokalen Certstore importieren. Der SHA1-HASH "A43489159A520F0D93D032CCAF37E7FE20A8B419" verweist auf dieses Zertifikat:
Zum Vergrößern anklicken....
Die Frage ist aber warum sysmon64.exe (Sysinternals Suite) überhaupt in der Analyse auftaucht.
Schaut man auf den Bericht von CAPE (auf der VirusTotal Seite Full Reports -> CAPE Sandbox, nicht direkt verlinkbar) dann liest die Anwendung zwar einige Registry-Keys (wie praktisch jede Anwendung auf Windows), schreibt aber gar keine.
 
Ich nehme an, der System-Monitor wird dort für die Überwachung genutzt?
Also dass Dinge, die Sysmon ins Event-Log schreibt, werden dort ausgewertet, oder?
Scheint eine bequeme Art sein, gewisses Programmverhalten zu monitoren bzw. auszuwerten.
 
Marco01_809 schrieb:
Die Frage ist aber warum sysmon64.exe (Sysinternals Suite) überhaupt in der Analyse auftaucht.
Zum Vergrößern anklicken....
Uups stimmt. Ist mir gar nicht aufgefallen, dass das von Sysinternals ist und kein Bestandteil von Windows.
Andere Tools der Sysinternals Suite nutze ich regelmäßig, das aber noch nie.
Damit ist meine Deutung wohl nicht ganz richtig.
 
Okay, ich habe inzwischen herausgefunden, dass die Sigma- bzw. Community-Rules bei VirusTotal offenbar absoluter Bullshit sind.

Schon alleine eine Änderung des Projektnamens bringt völlig neue Ergebnisse zum Vorschein. Ich habe Projekte mit immer exakt den gleichen Einstellungen erstellt, mit den Namen "MyProject", "MyProject2", "MyProject3" und "MyProject4". Das sind die Ergebnisse:

1 medium: https://www.virustotal.com/gui/file...fe45d456d53bebfb192433be2f54ac957737/behavior
1 critical, 2 high, 1 medium: https://www.virustotal.com/gui/file...a7f7dc312f7d1058b63f38e145029c53cc21/behavior
1 high, 1 medium: https://www.virustotal.com/gui/file...7b0f796f9bb2d60a2e0680684ca059b2ed82/behavior
1 critical, 3 high, 1 medium: https://www.virustotal.com/gui/file...25eb92d009542e5f6bba02cd0d125f305c89/behavior

Ebenfalls die ganzen anderen Daten unterscheiden sich teilweise sehr, manchmal sogar die aufgerufenen externen Programme. Allein eine Änderung des Projektnamens um ein Zeichen bringt also völlig neue Ergebnisse :D

Antwort von VirusTotal darauf: "Those rules come from community created rules, therefore they may not be precise. Those rules are shown as additional context. You can contact the owner of the rules to ask for more details."

Damit kann man dann wohl abschließend sagen, dass diese Sigma-Regeln sehr, sehr unzuverlässig sind und höchstens nur ein schwaches Indiz für Malware-/Virusbefall darstellen können. Und daher macht es keinen Sinn, zu versuchen, sie nicht zu triggern.
 
  • Gefällt mir
Reaktionen: Marco01_809 und tollertyp
Das Gefühl habe ich auch, wenn ich die Regeln (also deren Definitonen) anschaue.
 
Cool das du das genauer untersucht hast 👍 Die Regeln scheinen vorallem auch auf Prozesse anzuschlagen die Teil der Analyse in der Sandbox sind - im Match Context sieht man z.B. "C:/tmpXXXXXXXX/analyzer.py" oder sysmon64.exe. Ich bezweifle mal dass diese Prozesse durch deine Anwendung gestartet werden. Solche Analyse-Werkzeuge müssen natürlich häufig tief in System-Interna graben was verdächtig ausschaut. Schlimmer aber noch wenn das Ergebnis jedes mal anders ausfällt, d.h. es gibt da auch noch eine Race condition ob es die Analyse-Prozesse erwischt oder nicht...
 
Ich würde da einfach mal auf das hier verweisen nochmal: https://www.computerbase.de/forum/t...i-virustotal-vermeiden.2177660/#post-28982812

Es wird schon seine Gründe haben, warum diese Tools verwendet werden. Es ist ja nicht so, dass Sysmon das verdächtige Zeug macht, sondern dass via Sysmon Ereignisse, die vom zu analyisierenden Prozess verursacht werden, ins System-Event-Log geschrieben werden. Wenn man da geschickt vorgeht, dann werden gewisse Prozesse gleich ignoriert, wobei man da auch nicht zu großzügig sein sollte, schließlich könnte die Malware ja auch einen Systemprozess missbrauchen. Und das System-Event-Log wird untersucht, weil sich das wohl einfacher untersuchen lässt als die Log-Datei von Sysmon zu parsen...

Und warum es eine Race-Condition geben soll, ist mir schleierhaft.

Nehmen wir mal eine Regel, die mit sysmon arbeitet, dort wird u.a. auf das geachtet:
Code: 
logsource:
  product: windows
  service: sysmon
detection:
  selection1:
    EventID: 13
    TargetObject|contains:
    - \SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\A43489159A520F0D93D032CCAF37E7FE20A8B419
    - SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\CDD4EEAE6000AC7F40C3802C171E30148030C072
    - \SYSTEM\\*\services\ftusbsrv
Wenn man nun ausschließen kann, dass Windows von sich aus diese Zertifikate nutzt und den ftusbsrv, dann sehe ich da weder ein Problem, sysmon zu nutzen, noch warum es eine Race Condition geben soll.

Nochmal: Sysmon wird nicht als verdächtig eingestuft, sondern via Sysmon wird versucht, verdächtiges Verhalten festzustellen.

Aber: Du kannst mir gerne zeigen, dass Sysmon selbst das Problem ist.

Hmm: Wenn man die Screenshots vom Zenbox-Report anschaut, dann ist das allerdings echt suspekt. Da wurde der Programmstart wegen fehlender Abhängigkeit (VC-Runtime) "verhindert".
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

D
Habe leider aus Versehen auf eine dubiose .exe geklickt, VirusTotal 5/53 Erkennungen
2
Antworten
23
Aufrufe
4.126
chrigu
chrigu
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz