Здравствуйте, Qt-Coder, Вы писали:
QC>При этом на virustotal этот бинарь стабильно детектился парой антивирей типа Kav, Qiho, 360.
все-таки офигенный бизнес у антивирусов — можно любую программу назвать вирусом и тебе за это ничего не будет
ловить вирусы тоже не обязательно — ты же никому ничего не должен
Re: Сертификат Comodo, VMProtect и AV false positive
someone submitted one of our executables to virustotal.com [...] 5 of antivirus packages flagged our executable
There is random guy that wrote a tool that creates a monthly report of files flagged at Virustotal. Sectigo found the report, and, according to their statement, revoked all certificates used to sign executables flagged by some antivirus causing major disruption to us and downtime for our customers.
Здравствуйте, Denwer, Вы писали:
D>Все просто, сертификат СОМОДО продается на черном рынке уже несколько лет. Причем продают его их же сотрудники из украинского офиса.
Покупатель качает сертификат с сервера «Комоды» своим браузером, причем именно тем, в котором он размещал запрос на покупку. Посредник серта не видит вообще. Они могут продавать серты кому-то по левым данным без проверки, но тогда и отзывать будут те «левые» серты.
Полтора года назад получил серт от Комоды на физ лицо. Подписывал им бинарь, защищаемый VMProtect'ом.
При этом на virustotal этот бинарь стабильно детектился парой антивирей типа Kav, Qiho, 360.
То есть 2-3 детекта было. Без подписывания, детектов, кстати, было больше, порядка 10.
Ну так вот, неделю назад сертификат у меня отобрали. Отозван поставщиком. В 10й винде все стало прямо страшно красное, установить ничего нельзя. Убрал подпись — стало можно.
Ну ладно, спросил почему у посредника у которых брал. Их ответ
Отозван исходя из политики компании, т.к. есть информации о распространении малвэрей при помощи него. Более подробно не дают, предлагают вам напрямую связаться с Комодо для установления всех обстоятельств.
Уот так уот. Имейте ввиду — если подписанный бинарь детектится на вирустотале, то лучше не подписывайте совсем, отберут сертификат.
Теперь вот думаю как быть — менять защиту видимо надо, чтобы не было детектов.
Здравствуйте, Qt-Coder, Вы писали:
QC>Уот так уот. Имейте ввиду — если подписанный бинарь детектится на вирустотале, то лучше не подписывайте совсем, отберут сертификат.
Я подзреваю, что virustotal тут совсем ни при чем. Просто где-то кто-то приспособил твой софт таки для распространения малвари. То есть пипл скачивает что-то, показывается твоя подпись, а потом как-то запускается их код. Если в подписанном бинарнике есть поддержка скриптов, то скорее всего через это.
QC>Отозван исходя из политики компании, т.к. есть информации о распространении малвэрей при помощи него. Более подробно не дают, предлагают вам напрямую связаться с Комодо для установления всех обстоятельств.
QC>Уот так уот. Имейте ввиду — если подписанный бинарь детектится на вирустотале, то лучше не подписывайте совсем, отберут сертификат.
Почему не рассматриваете возможность реальной кражи сертификата?
Может все же стоит обратиться Comodo, хотя бы хэши детектируемых бинарей запросить и сверить.
Здравствуйте, EreTIk, Вы писали:
ETI>Почему не рассматриваете возможность реальной кражи сертификата?
Рассматриваю. Но при подписи надо вводить пароль, просто файла сертификата недостаточно. Если пароль узнали тогда ой.
ETI>Может все же стоит обратиться Comodo, хотя бы хэши детектируемых бинарей запросить и сверить.
Обращусь, но они крайне вяло реагируют.
Здравствуйте, wantus, Вы писали:
W>Я подзреваю, что virustotal тут совсем ни при чем. Просто где-то кто-то приспособил твой софт таки для распространения малвари. То есть пипл скачивает что-то, показывается твоя подпись, а потом как-то запускается их код. Если в подписанном бинарнике есть поддержка скриптов, то скорее всего через это.
Это выглядит как то фантастично. Как тогда комодо узнает об этом?
Здравствуйте, Qt-Coder, Вы писали:
W>>Я подзреваю, что virustotal тут совсем ни при чем. Просто где-то кто-то приспособил твой софт таки для распространения малвари. То есть пипл скачивает что-то, показывается твоя подпись, а потом как-то запускается их код. Если в подписанном бинарнике есть поддержка скриптов, то скорее всего через это.
QC>Это выглядит как то фантастично. Как тогда комодо узнает об этом?
Тут еще надо, чтобы сама программа сделала что-то похожее на действия вируса — типа записи файла autorun.inf в корень флэшки. Не каждый скриптовый движок такое умеет.
Здравствуйте, salnicoff, Вы писали:
S>Тут еще надо, чтобы сама программа сделала что-то похожее на действия вируса — типа записи файла autorun.inf в корень флэшки. Не каждый скриптовый движок такое умеет.
К сожалению, антивирусы в наши дни трактуют "что-то похожее на действия вируса" очень широко.
Здравствуйте, Qt-Coder, Вы писали:
QC>Здравствуйте, wantus, Вы писали:
W>>Я подзреваю, что virustotal тут совсем ни при чем. Просто где-то кто-то приспособил твой софт таки для распространения малвари. То есть пипл скачивает что-то, показывается твоя подпись, а потом как-то запускается их код. Если в подписанном бинарнике есть поддержка скриптов, то скорее всего через это.
QC>Это выглядит как то фантастично. Как тогда комодо узнает об этом?
Так же как и все остальные — через behavioral analysis. Запускают икебану в sandbox и смотрят чего она делает. Делов то.
Здравствуйте, icezone, Вы писали:
I>ловить вирусы тоже не обязательно — ты же никому ничего не должен
Кстати да, а были ли legal кейсы против ативирусов и сетрификатщиков?
Здравствуйте, icezone, Вы писали:
I>это не совсем то, там малварщики судились с антивирусниками I>я же пишу про ложные срабатывания, которых с каждым годом все больше
Были и «нормальные». Помню, кто-то из Австралии судился. Они выпускали программу, которую провайдеры раздавали клиентам под своими названиями, и их всех заблокировал «МакАфи» — программа не работает, клиенты не получают доступ к какому-то сервису, провайдеры в убытках. Если ничего не путаю, истцов послали в известном направлении.
Здравствуйте, salnicoff, Вы писали:
S>Здравствуйте, Denwer, Вы писали:
D>>Все просто, сертификат СОМОДО продается на черном рынке уже несколько лет. Причем продают его их же сотрудники из украинского офиса.
S>Покупатель качает сертификат с сервера «Комоды» своим браузером,
Здравствуйте, salnicoff, Вы писали:
S>Получается, они мониторят использование серта?
Подумал тут, у Comodo же есть свой антивирус и свой онлайн чекер, в котором написано что подозрительные файлы отправляются на анализ.
Что им тогда мешает отозвать выданный ими же сертификат по результатам проверки их антивирусом.
Если бы серт был выдан другой компанией возможно отозвать серт было бы не так просто.
Здравствуйте, Qt-Coder, Вы писали: QC>Уот так уот. Имейте ввиду — если подписанный бинарь детектится на вирустотале, то лучше не подписывайте совсем, отберут сертификат. QC>Теперь вот думаю как быть — менять защиту видимо надо, чтобы не было детектов.
Здравствуйте, paradoks, Вы писали:
S>>Покупатель качает сертификат с сервера «Комоды» своим браузером,
P>а НЕ покупатель, качает своим P>что за наивность...
Здравствуйте, salnicoff, Вы писали:
S>Избранные цитаты: S>
S>someone submitted one of our executables to virustotal.com [...] 5 of antivirus packages flagged our executable
S>
S>There is random guy that wrote a tool that creates a monthly report of files flagged at Virustotal. Sectigo found the report, and, according to their statement, revoked all certificates used to sign executables flagged by some antivirus causing major disruption to us and downtime for our customers.
Да уж, жесть.
Re: Сертификат Comodo, VMProtect и AV false positive
Здравствуйте, Qt-Coder, Вы писали:
QC>Имейте ввиду — если подписанный бинарь детектится на вирустотале, то лучше не подписывайте совсем, отберут сертификат.
В свете вышесказанного получается, что подписывать нельзя. Даже если сам залил подписанный файл на virustotal и он там спалился, что репорт попадет в «Комоду» и серт отзовут. Приехали.
Здравствуйте, salnicoff, Вы писали:
S>Были и «нормальные». Помню, кто-то из Австралии судился. Они выпускали программу, которую провайдеры раздавали клиентам под своими названиями, и их всех заблокировал «МакАфи» — программа не работает, клиенты не получают доступ к какому-то сервису, провайдеры в убытках. Если ничего не путаю, истцов послали в известном направлении.
отсюда следует вывод, что в антивирусных компаниях вместо программистов сидят юристы
Здравствуйте, salnicoff, Вы писали:
QC>>Имейте ввиду — если подписанный бинарь детектится на вирустотале, то лучше не подписывайте совсем, отберут сертификат.
а чем детектился если не секрет?
S>В свете вышесказанного получается, что подписывать нельзя. Даже если сам залил подписанный файл на virustotal и он там спалился, что репорт попадет в «Комоду» и серт отзовут. Приехали.
можно и нужно, и не выкладывать на паблик пока не будет всё чисто.
Здравствуйте, Черный Властелин, Вы писали:
ЧВ>Тут вот статья на хабре вышла — это вы же, или есть и другие пострадавшие? ЧВ>https://habr.com/ru/post/455236/
Здравствуйте, salnicoff, Вы писали:
S>В свете вышесказанного получается, что подписывать нельзя. Даже если сам залил подписанный файл на virustotal и он там спалился, что репорт попадет в «Комоду» и серт отзовут. Приехали.
Да, получается замкнутый круг. Может быть, там надо накопить определенную критическую массу. Несколько отчетов, после которых следует отзыв. Не знаю.
Надо искать альтернативу вирустоталу.
Я начал процедуру у DigiCert, забив на комод. Может быть, они этим не занимаются.
У меня появлялись фолсы только после защиты VMP, без защиты файл чист. Но без защиты же не выложишь. Как вариант советуют упаковать защищенный файл еще поверх UPX.
Re[3]: Сертификат Comodo, VMProtect и AV false positive
Здравствуйте, uuuser, Вы писали:
S>>В свете вышесказанного получается, что подписывать нельзя. Даже если сам залил подписанный файл на virustotal и он там спалился, что репорт попадет в «Комоду» и серт отзовут. Приехали.
U>можно и нужно, и не выкладывать на паблик пока не будет всё чисто.
В том-то и проблема, что «Комоды» смотрят не на абстрактный паблик, на вирустотал. Выложили туда файл — даже потестить — и все, если какой-то АВ придумал вирус в этом файле, то «Комодам» идет отчет от малвари.
Re[3]: Сертификат Comodo, VMProtect и AV false positive
Здравствуйте, Qt-Coder, Вы писали: QC>Уот так уот. Имейте ввиду — если подписанный бинарь детектится на вирустотале, то лучше не подписывайте совсем, отберут сертификат. QC>Теперь вот думаю как быть — менять защиту видимо надо, чтобы не было детектов.
Комодо — самая отстойная и богомерзкая контора, которая только может быть. Еще 10 лет назад они были такими. Мы тогда купили у них сертификат, они списали с нас деньги, а потом они целый месяц (!) мослали нас проверками: сначала пришлите одни документы, потом пришлите еще, а потом когда мы прислали все что только можно, просто сказали, что не выдадут его. Угу, после того как взяли деньги.
В общем, купите сертификат у любой дргой конторы — Симантека или Глобалсигна и забудьте об этих судаках. И не надо наговаривать на ВирусТотал, он тут скорее всего, вообще не при делах.
Re[2]: Сертификат Comodo, VMProtect и AV false positive
S>There is random guy that wrote a tool that creates a monthly report of files flagged at Virustotal. Sectigo found the report, and, according to their statement, revoked all certificates used to sign executables flagged by some antivirus causing major disruption to us and downtime for our customers.
Это же полное дно comodo Сейчас даже значительно число пользователей знают про фолсы и на несколько детектов на вирустотале относятся лояльно. Надеюсь им настучат по голове, а то просто это шокирует и все от них разбегутся.
Re[4]: Сертификат Comodo, VMProtect и AV false positive
Самое забавное, стал искать замену VMP, взял Obsidium, закинул их основной исполняемый файл (obsidium.exe) защищенный самим же Obsidium на проверку в вирустотал и он показал 4 детекта.
Дальше даже смотреть не стал, смысла нет. Их файл кстати подписан DigiCert, который выдан в 17 году. Так что похоже DigiCert более адекватен. Решил оставить VMP с DigiCert.
Здравствуйте, salnicoff, Вы писали:
S>Покупатель качает сертификат с сервера «Комоды» своим браузером, причем именно тем, в котором он размещал запрос на покупку. Посредник серта не видит вообще. Они могут продавать серты кому-то по левым данным без проверки, но тогда и отзывать будут те «левые» серты.
Я не в курсе вообще про посрелдников и кто там качает, я говорю как есть, продают сертификаты для подписи файлов на винде. Ты даешь им денежку, тебе дают файл сертификат. И еще раз повторю, это продавали сотрудники СОМОДО.
UPD: Они конечно ничего не проверяли, продавали всем, причем даже догадывались для чего у них эти сертификаты покупают, точнее что же это за софт такой.
Здравствуйте, edton, Вы писали:
E> Надеюсь им настучат по голове, а то просто это шокирует и все от них разбегутся.
А кто будет стучать? Если только все клиенты разбегутся. Но им это, я думаю, не поможет, раз они начали верить репортам какого-то чувака, который сканит вирустотал. И это, кстати, при том, что сами «Комоды» производят антивирус...
Здравствуйте, Denwer, Вы писали:
D>Я не в курсе вообще про посрелдников и кто там качает, я говорю как есть, продают сертификаты для подписи файлов на винде. Ты даешь им денежку, тебе дают файл сертификат. И еще раз повторю, это продавали сотрудники СОМОДО.
Рассказываю матчасть: чтобы получить серт, делается запрос из браузера клиента на сайт поставщика серта. Потом этим же браузером нужно качать серт. Посредник к этой процедуре не имеет никакого отношения и скачать серт за кого-то — тоже не может, потому что после составления запроса это можно сделать только тем браузером, из которого запрос посылался.
D>UPD: Они конечно ничего не проверяли, продавали всем, причем даже догадывались для чего у них эти сертификаты покупают, точнее что же это за софт такой.
Это значит, что посредники тупо продавали кому-то серты, используя левые/вымышленные/украденные данные, при этом получатель получат свой собственный серт, а не копию чьего-то.
Здравствуйте, Черный Властелин, Вы писали:
QC>>Уот так уот. Имейте ввиду — если подписанный бинарь детектится на вирустотале, то лучше не подписывайте совсем, отберут сертификат. QC>>Теперь вот думаю как быть — менять защиту видимо надо, чтобы не было детектов.
ЧВ>Тут вот статья на хабре вышла — это вы же, или есть и другие пострадавшие? ЧВ>https://habr.com/ru/post/455236/
ЧВ>Похоже с комодом какая-то фигня происходит.
Странная статья. Мол они тебе ключ сами высылают, а не генерируют сертификат по предоставленному тобой CSR. Я бы на этом этапе попросил возврат, это несерьёзно, так дела не ведутся.
Re[2]: Сертификат Comodo, VMProtect и AV false positive
Здравствуйте, mauzer_tim, Вы писали:
_>Комодо — самая отстойная и богомерзкая контора, которая только может быть. Еще 10 лет назад они были такими. Мы тогда купили у них сертификат, они списали с нас деньги, а потом они целый месяц (!) мослали нас проверками: сначала пришлите одни документы, потом пришлите еще, а потом когда мы прислали все что только можно, просто сказали, что не выдадут его. Угу, после того как взяли деньги.
Любопытно. Мне комоды наоборот, сначала выдали сертификат на русского ИП, потом я почти месяц с ними ругался по почте что мне не нравится сертификат на "IP Фамилия Имя Отчество (название)", хочу только "название". Заплатил им когда понял, что они упёртые и как я хочу всё равно не сделают.
Здравствуйте, salnicoff, Вы писали:
S>Рассказываю матчасть: чтобы получить серт, делается запрос из браузера клиента на сайт поставщика серта. Потом этим же браузером нужно качать серт. Посредник к этой процедуре не имеет никакого отношения и скачать серт за кого-то — тоже не может, потому что после составления запроса это можно сделать только тем браузером, из которого запрос посылался.
Это все при честной покупки сертификата, я же говорю про те случаи, когда его продавали незаконно, без всяких браузеров и прочего, просто присылали сертификат.
D>>UPD: Они конечно ничего не проверяли, продавали всем, причем даже догадывались для чего у них эти сертификаты покупают, точнее что же это за софт такой.
S>Это значит, что посредники тупо продавали кому-то серты, используя левые/вымышленные/украденные данные, при этом получатель получат свой собственный серт, а не копию чьего-то.
Да какие посредники, я же сказал, сертификатами торговали работники СОМОДО из украинского офиса. Вот какой был сертификат, личный или чей то скопированный, этого я не знаю. Но он был рабочим.
Здравствуйте, Denwer, Вы писали:
D>Да какие посредники, я же сказал, сертификатами торговали работники СОМОДО из украинского офиса. Вот какой был сертификат, личный или чей то скопированный, этого я не знаю. Но он был рабочим.
Если реальное ООО «Хрен и редька» купило серт, а потом мошенники выписали еще один серт на ООО «Хрен и редька», то это будет ДРУГОЙ серт. Да, рабочий. Но не копия первого.
Re: Сертификат Comodo, VMProtect и AV false positive
Здравствуйте, Qt-Coder, Вы писали:
QC>Полтора года назад получил серт от Комоды на физ лицо. Подписывал им бинарь, защищаемый VMProtect'ом. QC>При этом на virustotal этот бинарь стабильно детектился парой антивирей типа Kav, Qiho, 360. QC>То есть 2-3 детекта было. Без подписывания, детектов, кстати, было больше, порядка 10. QC>Ну так вот, неделю назад сертификат у меня отобрали. Отозван поставщиком. В 10й винде все стало прямо страшно красное, установить ничего нельзя. Убрал подпись — стало можно. QC>Ну ладно, спросил почему у посредника у которых брал. Их ответ QC>
QC>Отозван исходя из политики компании, т.к. есть информации о распространении малвэрей при помощи него. Более подробно не дают, предлагают вам напрямую связаться с Комодо для установления всех обстоятельств.
QC>Уот так уот. Имейте ввиду — если подписанный бинарь детектится на вирустотале, то лучше не подписывайте совсем, отберут сертификат. QC>Теперь вот думаю как быть — менять защиту видимо надо, чтобы не было детектов.
А интересно c KAV не пробовали связываться по поводу того, что это ложно срабатывание? Они обычно адекватные, если ложное, снимает.
Qiho и 360 тоже у нас одно время дететили. Но 360 снимают при обращении, а вот Qiho дубовые, не реагируют. Только пересборка помогает.
Re[2]: Сертификат Comodo, VMProtect и AV false positive
Здравствуйте, Freeze, Вы писали:
F>А интересно c KAV не пробовали связываться по поводу того, что это ложно срабатывание? Они обычно адекватные, если ложное, снимает. F>Qiho и 360 тоже у нас одно время дететили. Но 360 снимают при обращении, а вот Qiho дубовые, не реагируют. Только пересборка помогает.
KAV это что вообще? У меня кстати не KAV был а Bkav какой-то.
Re[3]: Сертификат Comodo, VMProtect и AV false positive
Здравствуйте, Qt-Coder, Вы писали:
QC>Здравствуйте, Freeze, Вы писали:
F>>А интересно c KAV не пробовали связываться по поводу того, что это ложно срабатывание? Они обычно адекватные, если ложное, снимает. F>>Qiho и 360 тоже у нас одно время дететили. Но 360 снимают при обращении, а вот Qiho дубовые, не реагируют. Только пересборка помогает. QC>KAV это что вообще? У меня кстати не KAV был а Bkav какой-то.
Сейчас даже значительно число пользователей знают про фолсы и на несколько детектов на вирустотале относятся лояльно. Надеюсь им настучат по голове, а то просто это шокирует и все от них разбегутся.
