Security Professionals - ipfw add deny all from eindgebruikers to any

is Virustotal nog wel betrouwbaar?

14-12-2018, 11:56 door Anoniem, 17 reacties
is Virustotal nog wel betrouwbaar? Ik maak met enige regelmaat mee dat Virustotal met een 0/66 score komt terwijl Sucuri wél alarm slaat. Nu ook weer na een beetje muziek luisteren via soundcloud, (https://soundcloud.com/manev) gratis WAV download van een psy-trance setje, als je klikt kom je hier terecht: https://theartistunion.com/tracks/4ed481
Virustotal: Detectieverhouding: 0 / 66
klikken op Aanvullende informatie:
https://sitecheck.sucuri.net/results/theartistunion.com
Warning: Malware Detected
Critical Security Risk!!!

Moeten we nu iedere URL óók nog door sucuri en quttera laten checken om zeker te zijn? Zo wordt veilig internetten wel een super trage aangelegenheid. Zijn er werkelijk problemen met theartistunion.com? Dat zou toch wel een gigantische blunder van Soundcloud zijn.
Reacties (17)
14-12-2018, 21:14 door Anoniem
VT is van Google, dus minder detectie van 'randjebuigers', ergo adware en bepaalde generieke malcode. Google framet en manipuleert er op los en wij zijn de klos en niemand kan er iets aan doen of wil dat.
luntrus
14-12-2018, 21:52 door Bitwiper
Als ik een webserver zou hebben waarop ik malware zou willen verspreiden, zou ik deze eerst, in schone staat, een aantal keren door VirusTotal laten scannen en de door VirusTotal gebruikte IP-adressen registreren. Daarna zou ik de malware op de site zetten, en ofwel:
- alle IP-adressen van VirusTotal blokkeren;
- de malware niet meesturen als VirusTotal komt scannen.

Je zou kunnen stellen dat VirusTotal onbetrouwbaarder is dan minder bekende scanners, maar met malware is het net zo als met chemische stoffen: ga er veiligheidshalve maar vanuit dat ze giftig zijn - tot het tegendeel bewezen is (en dat is knap lastig). Aan de andere kant heb je ook niets aan false positives...
14-12-2018, 22:19 door [Account Verwijderd] - Bijgewerkt: 14-12-2018, 22:29
@TS,

Dank voor de tip over: https://sitecheck.sucuri.net
Ik kieper Virustotal niet overboord maar als ik hoor van een alternatief voor een Google dienst ben ik altijd geïnteresseerd.

Je schrijft ook:

..."Zo wordt veilig internetten wel een super trage aangelegenheid...

Misschien kan ik dat wat makkelijker relativeren. Vooral omdat ik nog heb gewerkt met een 1200kB/sec. modem, maar als je enigszins kan accepteren dat security altijd vertragend werkt - NIET ALLEEN IN DE DIGITALE WERELD - is de internetbelevenis denk ik wat meer relaxed te 'ondergaan'.
14-12-2018, 23:00 door Anoniem
Misschien handig om het volgende hier nog even aan toe te voegen, voor het geval er mensen zijn die het willen onderzoeken:

www.hififorum.nl
Al meer dan een jaar niet veilig volgens Virustotal:

http://www.hififorum.nl/ Detectieverhouding: 3/66
https://www.hififorum.nl/ Detectieverhouding: 4/66

https was toch veiliger? Hoe kan de detectie dan hoger uitvallen? Verder is het risico volgens sucuri medium, volgens quttera is er sprake van malware! Ik vind het maar verwarrend allemaal, wie heeft er nou gelijk? Ook heeft blijkbaar nog nooit iemand daadwerkelijk problemen ondervonden op hififorum.nl en op het rode duiveltje geklikt want die score is nog 0 / 0.
Ik heb dan ook (nogmaals) mijn twijfels over de betrouwbaarheid van Virustotal.
15-12-2018, 09:10 door Anoniem
Securi is gespecialiseerde site scanner en Virustotal gebruikt een heleboel malwarescanners, maar die hebben over het algemeen allemaal een belangrijk manco: ze detecteren veel te weinig malware op php servers zowel d.m.v. url's als via malware.

Dat is dus het grootste probleem. malwarescanners laten grote gaten vallen in de dekking.

Securi is beter dan het gros van de malwarescanners. En dat zeg ik ondanks dat ik weet dat zij vaak ook niet alles detecteren. Het edele handwerk geeft het beste resultaat. Virusscanners bieden geen enkele garantie en je moet er nooit vanuit gaan dat als er niets gedetecteerd wordt er ook daadwerkelijk geen malware aanwezig is.

Verschillen in detectieniveau's van url's zijn makkelijk verklaarbaar: sommige scanners gebruiken de gehele url inclusief uri type, sommige alleen host en pad, sommigen alleen een volledige hostnaam, sommige een domein of een combinatie van domein en (gedeeltelijk) pad. Dergelijke verschillen zijn geen indicatie van onbetrouwbaarheid.

Overigens is het zo dat het niet zo hoeft te zijn dat http:// naar dezelfde locatie verwijst als https://. Dat wordt typisch geregeld in de configuratie van de server (bijvoorbeeld Apache).
15-12-2018, 12:39 door Anoniem
Ik doe dit al vanaf 2004, namelijk zogeheten "3rd party cold reconnaissance website security scannen en website foutenjagen" en meen dan ook een beetje relevant te weten waar het allemaal aan ligt in dit geval. Ik kan onveilige javascriptcode als het ware ruiken door het vaak tegengekomen te zijn. Zoals de prairie-Indiaan zag aan grote weegbree dat er westerlingen in de buurt waren geweest (die namen dit net als de Romeinse soldaten langs de heirbanen mee aan de schoen- of sandaalzolen).

Elke scanclub en ook elke anti-malware oplossing heeft zijn eigen definities, maar ook een eigen beperkte en wisselende detectie. Niets vindt alles en veel laat veel door. En daar is ook weer "geframed en gemanipuleerd"onderscheid in. Bijvoorbeeld een obfuscatiescript, dat zeker voor een klein domein tot een detectie en blokkering zou voeren, wordt voor een grote speler (paypal bijvoorbeeld) oogluikend toegelaten (too big to fail en je kent de overige "lame excuses" wel). Dan vullen detecties elkaar ook vaak aan, avast vindt wat DrWeb en Bitdefender niet vinden en v.v. Edge vindt meer phishing dan firefox en op chrome/chromium gebaseerde bladeraars.

Heb ook meegewerkt op WOT totdat alle data door een tijdelijke Finse domein eigenaar werden versjacherd aan de hoogste bieder en de reputatie van deze vrijwilligers dienst gelijk naar de filistijnen was. Dan helpt reputatiemanagement niet meer.

Wat ook niet gedetecteerd wordt, zijn de onnoemelijke aantallen websites (met vooral met op PHP- gebaseerde content management software, zoals Word Press en bij Magento 1 en 2 voor webshops) die elk moment kunnen worden gehackt of gedefaced of op omvallen staan. Doe eens een webhint scannetje en verbaas je over sites met 230 en meer verbeteringsadviezen, waarvan vele op het gebied van beveiliging. Google heeft ook wel goede insteken als met Google Safebrowsing, maar heel veel PHISHING sites blijven onder de detectie-radar. Als het om hun core-business gaat wordt veel eigen 'rondbuigen' door de vingers gezien. "It is all about the money, sweetheart".

Kijk eens naar waar googlebot en google verschillen met wat ze aanbieden, men noemt dat cloaking: http://www.isithacked.com Kijk eens bij sites naar het aantal DOM-XSS sources en sinks, doe eens een IP dazzlepodje (je mag echter nooit wat je vindt tegen zo'n site gebruiken), een shodannetje. Draai eens kali-linux en draai malzilla-original malware sandbox-browser). Ik gebruik een geheel eigen versie gebaseerd op Bobby's concept met eigen script-converter.

Kijk eens hoe het zit met certificeringsfouten, dns misconfiguraties, excessieve info proliferatie (info waar hackers wat mee kunnen).

Bij het voorbeeld van gisteren anoniem van 23.00 kijk eens naar de gedetecteerde cloaking: http://www.isithacked.com/check/https%3A%2F%2Fwww.hififorum.nl
& vergelijk Resultaten van het XSS scannen van de URL: -https://www.hififorum.nl/Themes/hififorum200/scripts/theme.js?fin20 - Hoeveelheid aangetroffen sources: 16; Aaantallen sinks: 36

Sucuri geeft ook niet alle zwakheden door bij Word Press scans zoals bij https://hackertarget.com/wordpress-security-scan/

Er is heel wat, dat als potentiele onveiligheid niet gevlagd wordt, om inderdaad moedeloos van te worden. Wanneer gaan de PHP-developertjes eens wat beters neerzetten qua security. Wanneer leren IT-ers op de Hoge School instituten over onveilige jQuery bibliotheken met veilig en onveilig naast elkaar en door elkaar. Waarom wordt het onveilige niet gelijk afgeserveerd en vervangen door iets minder onveiligs?

Kan het niet zo zijn dat grootgraaiers beter kunnen graaien binnen een onveilig infrastructuur moeras en is het voor hen niet beter dat er zo weinig lieden rondlopen met voldoende relevante kennis om een beter handhavingsbeleid te krijgen?
Vragen, vragen, waar we zeker voorlopig geen antwoorden op kunnen verwachten. Pn*wedness & snake-oil all around!

Voorlopig zie ik nog geen beweging(en) en is het wachten op het moment dat de wal het schip keert. Er blijft nog enorm veel te doen. Bedankt topic starter voor het aan de orde stellen van je legitieme vragen. Had iedereen maar zo'n insteek, dan hadden we een heel wat veiliger wereld online. Fijn weekend, vriend en blijf veilig zowel online als offline.

luntrus
15-12-2018, 14:29 door Anoniem
Als Securi een Joomla site aanziet voor Drupal heb ik nog wat twijfels ..
15-12-2018, 18:12 door Anoniem
Virustotal bestaat uit de gratis versies van AV-leveranciers.
Werkt natuurlijk niet perfect.
15-12-2018, 19:55 door Bitwiper
@luntrus: dank voor jouw bijdrage aan de maatschappij!

Lastig blijft evenwel dat veel malwaresites o.a. geofencing, browser en taal-checks, specifieke plug-in aanwezigheid, maar ook "eens in de zoveel visits" laten bepalen of ze malware (en zo ja welke) op systemen van bezoekers afleveren. Daardoor kan nooit iemand van buitenaf stellen dat een website veilig (malwarevrij) is.

En als je wel iets verdachts vindt, kan het om een false positive gaan, maar met enig detectivewerk valt dat vaak wel uit te sluiten. Toch weet je dan niet zeker of een ander IP-adres, een andere browser, een andere taalinstelling, andere aanwezige plu-ins, etc. wellicht wel malware vanaf de betreffende site zouden uitlokken.

Probleem van het scannen van websites t.o.v. bestanden: een bestand is een dood ding, een website kan on-the-fly zelf bepalen wat er naar jouw browser wordt gestuurd - en is dus lastiger dan bestanden scannen (wat an sich al knap lastig is met de meestal gebruikte obfucation techniques).

Conclusie: je kunt nooit zeggen dat een website veilig is, hooguit dat ie onveilig is als ie minstens 1x malware naar jouw browser heeft gestuurd (of jouw browser heeft overgehaald content van een andere website te downloaden en verwerken met daarin malware).
15-12-2018, 20:04 door Anoniem
HoneypotTotal

Je kunt zelf ook zo'n site bouwen met een clustertje op aws3
16-12-2018, 06:48 door Anoniem
Door Anoniem: Virustotal bestaat uit de gratis versies van AV-leveranciers.
Werkt natuurlijk niet perfect.

Dat heb je niet goed begrepen dan. Ze worden ter beschikking gesteld door de producenten. Niet per se gratis versies. Het zou nogal dom zijn van een leverancier om hun slechtste versie te laten gebruiken. Dat zou slechte reclame zijn.
16-12-2018, 08:55 door Anoniem
Door Anoniem: VT is van Google, dus minder detectie van 'randjebuigers', ergo adware en bepaalde generieke malcode. Google framet en manipuleert er op los en wij zijn de klos en niemand kan er iets aan doen of wil dat.
luntrus

Je kan er wel degelijk iets aan doen, blijf weg bij Google producten incl. al die Android dataverzamel apparatuur.
16-12-2018, 12:22 door Anoniem
Quote op sucuri.net over de gevonden "malware":
Malware entry: malware.generic
Description: Detection of signals typical for malware. This can be hiding elements of webpages, use of certain obfuscation techniques or trying to a serve defferent content for normal visitors and search engine crawlers.

Misschien valt het best wel mee en is er helemaal niets aan de hand.
Als je echt niets vertrouwt, blijf dan van het internet weg, of bouw je eigen sandbox om te analyseren wat er nou écht gebeurt.
16-12-2018, 12:59 door Anoniem
@Bitwiper,

Het genoegen is geheel wederzijds. Van jouw bijdragen heb ik hier ook zeer veel opgestoken en zit de info eenmaal onder het schedeldak, dan blijft het daar meestal voorhanden. Door jou ben ik meer gaan letten op juiste certificeringen, dns- & encryptie-zwakheden, het belang van htst-preloading bijvoorbeeld en nog een heel scala aan andere zaken. Fijn om zo op elkanders schouders te kunnen staan en elkanders "boodschap"te kunnen begrijpen en ten volle te waarderen. Cheers!
Continue the good work!

Wat je zegt is waar als het gaat over de meeste beperkte duur waarop sites op bepaalde IPs besmetten. Het loopt van onder de vierentwintig uur tot langduring en zogeheten "overdue" malware. Vaak heeft men bij zeer korte malware campagnes meer aan script blocking (NoScript en/of uMatrix) gecombineerd met specifieke blocklists of een goede IDS oplossing. Definitie oplossingen lopen meestal achter de feiten aan. Het gebruik van VT om av programma's te testen is een zeer slecht idee.

Besef ook dat cybercriminelen ook oplossingen steeds hebben gefrustreerd en gedDossed, zodat men alleen via registreren en captcha's toegang krijgt, zoals bij Clean-MX bijvoorbeeld.
Zie https://support.virustotal.com/hc/en-us/articles/115002146809-Contributors.

Verschillende website-/domein-scanning engines zijn inmiddels verdwenen, zoals Asafaweb voor APX-websites.

Wat ik weer vaak mis zijn scanners die een overzicht geven van de mogelijke gevaren via een bepaald AS.
Verdwenen van het toneel. Webzilla bijvoorbeeld als AS, hoeveel misbruik gevallen kent dit AS onder de domeinen?

Het ergste is het langzaam uithollen van het begrip "TRUST online". Met een voorbeeld uit de winkel. Slecht produkt wordt omschreven als roomboterkoekje en heeft daartoe maar 0,3% roomboter in zich. Niemand haalt het product uit de winkel vanwege grove oplichting, want ja op de keper beschouwd zit er wel een minimaal beetje echte boter in. Als je zo doorgaat en de eindgebruiker niet wil beschermen en ook de oplichters in deze ook nog minder belasting wil laten betalen, zijn we dus niet op de goede weg met zijn allen i.m.o.. En de online situatie is toch vaakl een 1 op 1 afspiegeling van de offline toestand.

luntrus
16-12-2018, 17:49 door Anoniem
Door Anoniem:
Door Anoniem: Virustotal bestaat uit de gratis versies van AV-leveranciers.
Werkt natuurlijk niet perfect.

Dat heb je niet goed begrepen dan. Ze worden ter beschikking gesteld door de producenten. Niet per se gratis versies. Het zou nogal dom zijn van een leverancier om hun slechtste versie te laten gebruiken. Dat zou slechte reclame zijn.

Dat heb ik best goed begrepen.
Virustotal is slechts een scanner van uit de context genomen delen die worden worden vergeleken middels een hash
of die hash wel of niet in hun "malicious" database voorkomt.
Dat is waar de aangesloten AV-bedrijven informatie voor geven (tot zover ze willen).
Een "domme scanner" dus. Er zit geen intelligentie achter die bijv. patronen herkent in je netwerkverkeer of zo.
AV fabrikanten verkopen natuurlijk veel liever hun goeie waar aan hun klanten dan het allemaal aan Google en concurrenten te verstrekken. Dat snapt ge toch zeker zelf ook wel?
16-12-2018, 19:45 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Virustotal bestaat uit de gratis versies van AV-leveranciers.
Werkt natuurlijk niet perfect.

Dat heb je niet goed begrepen dan. Ze worden ter beschikking gesteld door de producenten. Niet per se gratis versies. Het zou nogal dom zijn van een leverancier om hun slechtste versie te laten gebruiken. Dat zou slechte reclame zijn.

Dat heb ik best goed begrepen.
Virustotal is slechts een scanner van uit de context genomen delen die worden worden vergeleken middels een hash
of die hash wel of niet in hun "malicious" database voorkomt.
Dat is waar de aangesloten AV-bedrijven informatie voor geven (tot zover ze willen).
Een "domme scanner" dus. Er zit geen intelligentie achter die bijv. patronen herkent in je netwerkverkeer of zo.
AV fabrikanten verkopen natuurlijk veel liever hun goeie waar aan hun klanten dan het allemaal aan Google en concurrenten te verstrekken. Dat snapt ge toch zeker zelf ook wel?

Lees eens onder "How it works" hoe het echt werkt.

Verder: ga uns tonproaten, ge het talent vur oeverlos uit oew nek lullen.
17-12-2018, 10:31 door Anoniem
Een leuk scanner overzicht: https://keystonesolutions.io/solutions/lookup-potentially-malicious-websites/

Kijk ook naar de scanners van webhint en upguard.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.