Почему малварь жива?

Тема в разделе "WASM.ZEN", создана пользователем hiddy, 7 апр 2019.

  1. hiddy

    hiddy Member

    Публикаций:
    0
    Регистрация:
    10 мар 2019
    Сообщения:
    82
    Сабж. Почему? Казалось бы, 2019 год, windows 10, доступа к ядру давно нет, у аверов минифильтры, обратные вызовы на любой вкус, плюшки в виде ранней загрузки, защищенный процесс ( antimalware ) итд итп. Просто колоссальное преимущество аверов, но малварь по-прежнему жива, да еще и растет с каждым годом. Лично у меня сложилось такое впечатление, что это заговор! Бизнес все таки... А так бы давно уже могли побороть эту напасть... А вы что думаете?
    Обсуждаем!
     
  2. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.074
    1. самая большая дыренька в любой секуре есмь сам же юзверь, то бишь основным инструментом малвари является соц. инженерия.
    2. с малварей удобно..
    2.1. списывать неэффективность управление.
    2.2. воровство.
    2.3. выбивать гранты на "развитие".
    2.4. схемы подстав.
     
  3. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.241
    слишком много плохого софта, написанного на плохих языках... если бы весь софт (включая операционные системы) изначально писался скажем на Аде, где очень сложно накодить себе переполнение буффера например, возможно ситуация была бы другой, но имеем то, что имеем... а так-то с одной стороны малварь приносит хорошие деньги хацкерам, с другой стороны малварь приносит хорошие деньги аверам... как бы отличный симбиоз, никто не выигрывает, никто не проигрывает, все стабильно кормятся, зачем что-то менять?
     
    Indy_ нравится это.
  4. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.074
    что значит "плохой язык"???????:blush2::crazy: то есть написать на сишечке пару-другую строк для решения переполнения буфера -- это прям так сложно???????:crazy::crazy::crazy:
     
  5. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.241
    если это так легко, то почему столько уязвимостей переполнения буффера было и остается в софте? причем даже в софте больших корпораций... если это уже решено на уровне языка/стандартной библиотеки, то делать это специально не надо никому... тут наоборот надо специально постараться, чтобы сделать переполнение буффера в своей программе...

    ну скажем, не безопасный как минимум...
     
  6. hiddy

    hiddy Member

    Публикаций:
    0
    Регистрация:
    10 мар 2019
    Сообщения:
    82
    C 1 все понятно.. Действительно, аверы ведь далеко не у всех установлены, винда не у всех обновленная..

    Больше интересна позиция аверов. Давно же уже могут блокировать инжекты, аля process hollowing и прочие примитивные, но не делают этого, хотя все инструменты есть, https://github.com/hasherezade/pe-sieve например (гит разраба malwarebytes). Стоит данный авер и скажу я вам ничего он не блокирует... точнее пытается эвристикой, но зачем? Есть же вот готовый инструмент у их же сотрудников. Почему не используют? И это не единичный случай.

    Или все просто сводится к...
    бизнесу?
     
  7. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    hiddy,

    Ошибочное мнение что авер как то может отличить что апп вредоносно. Это невозможно в общем сделать.
     
    sn0w нравится это.
  8. f13nd

    f13nd Well-Known Member

    Публикаций:
    0
    Регистрация:
    22 июн 2009
    Сообщения:
    1.954
    Если выпустить лезвия к станку для бритья, которых будет хватать не на 3 использования, кто завтра придет за новыми лезвиями? При всех технологиях порошковой металлургии и металлообработки это должно быть возможно, но экономически нецелесообразно. Во многих изделиях промышленности заложен срок службы, начиная с краски поверх пластика и острых ребер, где эта краска будет вытираться, заканчивая конструктивными элементами. Как в обществе, лихорадочно ищущем, создающем и навязывающем новые потребности, могут взять и решить проблему с одной из них? Поэтому антивирусы вечны.
     
    hiddy и UbIvItS нравится это.
  9. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.241
    эта вещь да, бывает интересна... насколько я помню, у Касперского 6-ого (вроде как) был достаточно подробный дров (klif.sys или что-то такое), который перехватывал много чего в ядре... и все простые алгоритмы инжекта палились... потом они постепенно перевели все эти детекты на эвристику, ну и само собой положить эмуль куда проще, чем обойти перехваты драйвером... интересно зачем это было сделано? производительность? патчгард? или что?

    недавно купил себе филипс уанблейд, очень доволен))...
     
  10. hiddy

    hiddy Member

    Публикаций:
    0
    Регистрация:
    10 мар 2019
    Сообщения:
    82
    Но ведь легальные приложения просто не используют подобные техники, особенно pe-инжекты, которые уже лет 10 обсасывают на каждом blackhat и прочих фестах...
     
  11. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.074
    дыреньки в софте были бизнес-моделью мокрых и других корпи == чтобы боф стал реальной дыренькой, его отлаживать надо, а иначе тупо сегфолт :)
    политики безопасности являются мерой для распознавания малвари. к примеру, попытка элевации прав, запись в экзе итд-итп.
     
  12. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Rel,

    > потом они постепенно перевели все эти детекты на эвристику

    На этом история не заканчивается. Каспер просёк что его сканят тестами(читается память удалённо вм) на онлайн сервисах и вначале ввёл рандомные детекты, а затем вообще отключился. Сейчас он не рабочий и ничего не детектит, на всех сервисах онлайн чека.
     
  13. hiddy

    hiddy Member

    Публикаций:
    0
    Регистрация:
    10 мар 2019
    Сообщения:
    82
    На сколько я знаю PG руки связал и аверам в том числе, но и в замен m$ дали парочку новых механизмов.

    Но все же, мне кажется что-то тут не так! Ладно с аверами решили, людям нужны деньги, что вполне логично. Но а как же энтузиасты? Уже давно бы могли склепать что-нибудь опенсурсное, но только если Indy_ не прав и задача действительно сложнее чем кажется, даже со всеми преимуществами ядра.
     
  14. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.074
    оно и так ужо есть https://en.wikipedia.org/wiki/Security-Enhanced_Linux другой вопрос, что увеличение секуры также ведёт к массе неудобий :)
     
  15. M0rg0t

    M0rg0t Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    1.574
    Потому что малварь выгодна аверам. не будет малвари - что будут делать касперы и дровебы с говнодом? А там миллиарды денег..
    Вот и делают вид, что кого-то ловят.

    Пример отличного решения - Комодо. Все неподписанное и неизвестно запускает в виртуализации, и норм. Как это обойти?) Никак, кроме как покупать и прокачивать серт, что ес-но не для масс малвари. И то - обойдя виртуализацию, нужно еще обойти сетевой фаер, который у Комода еще в 10 году был лучше всех, а уж теперь даже Инди ничего бы с ним не сделал.
     
  16. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.074
    хммм... давно дело было и ставил комод на выньку, а потом он меня достал своими тормозами и убрал его ко всем чертям :)
     
  17. M0rg0t

    M0rg0t Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    1.574
    UbIvItS, тормоза есть, к сожалению, но в целом, комод видит все.
     
  18. sn0w

    sn0w Active Member

    Публикаций:
    0
    Регистрация:
    27 фев 2010
    Сообщения:
    956
    до кучи, теже паттерны - открытие процесса, выделение памяти, запись, создание потока - в рамках одного процесса то можно рандомизовать и обдурить эвристики, уж не говоря о том когда оное выполняется сразу несколькими (один выделяет, другой пишет, ну вы понели)
     
  19. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.074
    ежли аверка надёжно перехватывает апи, то обдурить не получиться + вся муть ужо начинается с белых списков. проломить бофом доверенный процесс тоже бесполезно, пч ав может детектить аномальщину в поведение проги == к примеру, зачем калькулятору мутить с реестром загрузки дров. остаются лишь два направление..

    1. искать прорехи в логике ав, вгоняющие её в долгий цикл, и тогда сам юзерь будет понижать уровень защиты.
    2. сугубо соц. инженерия.
     
  20. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.241
    запускаешься в контексте доверенного процесса https://lolbas-project.github.io/# - дальше мигрируешь в контекст экплорера или еще куда надо...