Киберполиция заказала экспертизу файлов с помощью Virustotal

Октябрьский районный суд города Полтава назначил экспертам Полтавского научно-исследовательского экспертно-криминалистического центра МВД Украины компьютерно-техническую экспертизу с использованием портала www.virustotal.com.

Об это пишет InternetUA.

Согласно определению суда, неустановленное ​​в настоящее время следствием лицо, используя web-сайты land-seo.ru и ukrmetkol.org, осуществляет распространение в сети Интернет вредоносного программного обеспечения, предназначенного для сбора паролей, куки, данных банковских карт, данных автозаполнения форм, данных по кошелькам криптовалют, файлов с рабочего стола, данных об оборудовании и установленном программном обеспечении и ПО, предназначенного для скрытого майнинга криптовалют на персональных компьютерах.

Следствие установило, что web-сайты land-seo.ru и ukrmetkol.org хостятся на Сейшелах, а их доменные имена зарегистрированы «REGRU-RU» на жителя Гадяча Полтавской области.

В дальнейшем на основании доверенности инспектор отдела противодействия киберпреступности в Полтавской области Киевского УКП ДКП НП Украины провел осмотр web-сайтов, загрузив файлы, которые, «согласно информации с сайта www.virustotal.com, относятся к вредоносному программному обеспечению».

Файлы с каждого сайта были записаны на СD, которые следствие и решило направить на экспертизу. От экспертов полицейские хотят узнать, «определяется ли данный файл антивирусным программным обеспечением и веб-ресурсом «https://www.virustotal.com» как вирус (вредоносное программное обеспечение)».

Портал «VirusTotal» – бесплатная служба, осуществляющая анализ подозрительных файлов и ссылок (URL) на предмет выявления вирусов, червей, троянов и всевозможных вредоносных программ. Сервисом владеет ирландская компания Chronicle Security Ireland Limited (“CISL”), собственником которой, в свою очередь, является Chronicle LLC.

О том, что никоим образом запрашиваемые следствием действия НИЭКЦ нельзя считать экспертизой, говорит эксперт по кибербезопасности компании «ИТ Лаборатория» Андрей Перцюх.  

– Вопрос о том, может ли проверка через VirusTotal служить в качестве доказательства в суде – вопрос, скорее, к адвокатам. Использование VirusTotal является скорее обычной практикой определения наличия вредоносного ПО, но есть одно «но». Например, можно так скомпилировать, а затем заархивировать ПО, что VirusTotal не сможет обнаружить его, как вредоносное. Другой вопрос, возникающий время от времени,  –  VirusTotal иногда дает ложноположительные результаты. То есть, встречались определенные функции в файлах, которые воспринимались как подозрительные, – объясняет Перцюх.

По словам эксперта, проведение реального экспертного анализа в соответствующей среде может предоставить полицейским точные ответы на их вопросы, тогда как VirusTotal –  скорее ориентир:

– Экспертиза производится несколько иначе, а именно: создаётся среда, в которой производится попытка запуска ПО, и уже затем исследуется и поведение ПО, и сетевая активность, и содержание памяти, производится максимально возможный реинжиниринг, включая дезассемблирование. Насколько я понимаю текст решения суда, то ничего из вышеперечисленного не сделано, соответствующая среда не создана, дезассемблирование не произведено и т.д. Определение суда только даёт поручение, причём довольно точное и по формулировке неверное. Цитирую: «в уголовном производстве возникла необходимость в проведении компьютерно-технической экспертизы». То есть, экспертизу не проводили. Далее: «содержится ли на оптическом носителе информация .... Если да, то определяется ли данный файл антивирусным программным обеспечением и веб-ресурсом «https://www.virustotal.com», как вирус (вредоносное программное обеспечение)?». Первый вопрос можно выяснить просто: содержится или нет. А вот второй – чушь. Вместо проведения экспертизы он указывает на конкретное действие по проверке на VirusTotal, и каком-то ещё неопределённом антивирусном ПО. Никоим образом подобные действия не могут считаться экспертизой.

Андрей Перцюх говорит: предписанной в постановлении экспертизой не выяснится, что делает вредоносное ПО, выходит ли оно на связь с серверами управления, передаёт ли какую-то информацию, записывает ли что-то в память, в том числе оперативную, и т.д.  Например, если вредоносное ПО используется для майнинга, то оно будет выполнять вычисления и может даже не тормозить работу компьютеров, потому что будет работать только, например, при нагрузке не более 40%:

– И как тогда его определить? Только путем дезассемблирования, перехвата команд на/с управляющего сервера, отгрузки результатов.

Непонятно также, как трактовать результаты проверки VirusTotal:

– VirusTotal – это сервис, который сам ничего не определяет: он только прогоняет файлы через известные ему антивирусные системы и показывает их результаты. И как суду тогда относиться к его результатам, если, например, из 20 систем только одна обнаружила угрозу? Или, наоборот, 19 обнаружили, а одна – нет?

Специалистам «ИТ Лаборатории» – Андрею Перцюху и ведущему разработчику компании Александру Галущенко – понадобилось 20 минут на поверхностное исследование указанных в решении файлов.

– Обнаруженные «ИТ Лабораторией» указанные в решении файлы не криптованы, в них легко можно найти адрес сервера управления. Обращаю внимание на интересный факт: они подписаны отозванными сертификатами Microsoft за 2010 год, – отметил Александр Галущенко. –  Сервер управления, кстати, находится по адресу в США, и, скорее всего, ориентирован на жителей этой страны. Об этом говорят примеры работы данного вредоносного ПО.

Куки: 

Логи работы за рабочим столом:

Пароли:

Адрес жертвы:

– Сам веб интерфейс сервера управления этого «вируса» очень уязвим, содержит ошибки, а стойкость пароля – никакая, – отмечают эксперты.