Про криптование малвари, и сколько будет FUD

Дата публикации 16 май 2017 | Редактировалось 10 янв 2018
Краткая теория защиты специфического программного обеспечения от детектирования антивирусами в вопросах и ответах «на пальцах»

1. >Сколько продержится FUD?
Один из самых тупых и надоедливых вопросов клиентов. Клиент даёт нам файл, мы его криптуем, убеждаемся на чекерах, что он ФУД; проверяем на Virtual Box, как правило на х64 Windows 7 и х86 Windows XP, что он работает (если встроена защита от VM – смотрим что крипт отрабатывает без проблем) и передаем закриптованный файл. Дальнейшие очевидные действия клиента – постановка на траф или обновление существующего ботнета. Причем на всем вашем трафе или ботнете будет находиться один и тот же файл – с одинаковой сигнатурой. Сигнатура, как правило,
может быть выделена антивирусным программным обеспечением на многих этапах.
Этапы возможного выделения сигнатур файла антивирусным ПО, по порядку использования:
· Выделение сигнатуры на этапе использования не надёжной связки или при обновлении ботнета;
· Непосредственно на целевой машине, при подозрениях с точки зрения эвристики и поведенческих аналализаторов, защищаемого софта;
[Здесь не рассмотрена возможность анализа файлов загружаемых извне в чистом не зашифрованном виде на Облачном уровне корпоративными системами раннего обнаружения вирусной угрозы и подобными системами провайдеров]
После обнаружения подозрений, файл, как правило передается в АВ – контору для исследований и его сигнатура добавляется в базу, после чего АВ – конторы иногда обмениваются между собой информацией или просто воруют друг у друга. Все файлы вашего ботнета с момента обновления базы становятся частично детектируемыми (PD), а со временем практически полностью детектируемыми (FD). Тем не менее, если использовался полиморфный криптор, данная проблема может быть решена как правило вовремя элементарным рекриптом без чистки.
Рекомендации:
· На этапе разработки применение модульности, обеспечивать максимальную скрытность основного модуля софта. Или при покупке софта – смотреть не только на его функционал но и на количество детектов и чем детектится новый билд, а так же на отсутствие специфики файла, например таких как оверлей; обращать особое внимание на «криптуемость» файла;
· Передавать не закриптованные и закриптованные файлы только в архивах с не тривиальным паролем;
· Использование обязательного динамического шифрования данных при обновлении ботнета;
· Использование только «надёжных» связок при прогрузах, т.к. она сама по себе может «спалить» файлы;
· Самое оптимальное, что может быть – использование встроенного в Админ –автоматического криптора, с возможностью криптования на лету, так что бы на каждой машине ботнета файл был с уникальной сигнатурой.
Критика поддерживается.

4 4.278
RET

RET
Well-Known Member

Регистрация:
5 янв 2008
Публикаций:
17

Комментарии


      1. yashechka 17 май 2017
        >>после чего АВ – конторы иногда обмениваются между собой информацией
        Скорее у них есть какой-то договор о сотрудничестве.
      2. yashechka 17 май 2017
        Вот две статьи добавили, а я про них ничего не увидел, оповещения, если бы не появление у RET'a надписи Публикаций: 1 -сюда бы не зашел.
      3. yashechka 29 май 2017
        Давайте ещё, и нужно с песочницы перенести на главную.
        0xC3 нравится это.
      4. _edge 17 май 2017
        Хотелось бы увидеть соображения по выделению сигнатур среди множества сэмплов, скажем, нескольких десятков тысяч. Всегда было интересно, как АВ умудряются не сильно теряя detection rate, не сильно увеличивать количество фолсов.
        yashechka нравится это.