Обратил ли кто-либо внимание на StuxNet и тенденцию, кладущую начало конца эвристики как явления? По мне, так это вполне очевидно. Основой любой эвристики, равно как и поведенческого анализа, является событийная связь в пределах одной и той же сущности (например процесса). Иначе говоря, если процесс сделал А, затем сделал Б и потом сделал В - помечаем его как Generic.XXX или Heur.XXX и ругаемся. Однако!!! Действия А, Б и В могут быть сделаны и не одним процессом, а цепочкой процессов (в StuxNet - различные типы ресурсов, доступ к которым идет из процесса, который выполнив извлечение ресурсов и проведя с ним одно элементарное действие, закрывается, запуская самого себя с новым параметром). Более того: если разделить требуемую совокупность на несколько процессов (читай экзешников с элементарными функциями) - и эвристика и поведенческий анализ нервно курят в стороне. Например, представим идеальный криптор: 1. Запустился, проверил именованную секцию в памяти - если ее нет, создал и записал туда свою шифрованную тушку - затем запустил экземпляр 2 самоё себя и самоубился. 2. Запустился экземпляр 2, проверил наличие секции с именем в памяти - есть, отлично. Проверил наличие второй секции в памяти - если нет, создал ее и записал туда ключ шифрования для тушки, запустил экземпляр 3 и самоубился. 3. Экземпляр 3 запустился, нашел две именованные секции, расшифровал тушку в первой секции ключом из второй, сохранил в USERDIR, снес секцию с тушкой, запустил экземпляр 4 и самоубился. 4. Экземпляр 4 запустился, нашел секцию с ключом, но не нашел с тушкой - пошел в USERDIR, убил секцию с ключом, создал третью именованную секцию, скопировал файл в нужное место, запустил экземпляр 5 и самоубился. 5. Экземпляр 5 нашел третью именованную секцию, удалил ее, запустил скопированную тушку со своим pid как параметром и самоубился - а собственно тушка, получив pid, прибила первоначальный файл. Ни на одно из действий по пунктам 1-5 ни эвристика, ни поведенческий анализ срабатывать не должны (ибо море фолсов будет сразу). А если события разделены по времени - вообще анрил детектить такое.
А эвристика, я так понимаю, делается не против StuxNet, и прочих Великих и Ужасных. Основная цель эвристики - избавить аверов от ручного копания в "школьных вирусах". На начальном скиле как то речи о цепочке процессов, шифровании и прочем пока не идёт.
Данная метода может быть где угодно использована (хоть в JavaScript в браузере - насоздавай переменных разными скриптами а потом собери из них полный код).
А в чем проблема отследить то? Обычный вирусняк, который висел где-то в Иране и не встречался в Европе. Как нашли, так сразу и задетектили. И Касперский его уже лечит, и Симантек. Хороший концепт. Думаю сутки-двое продержится ))))))))
t00x Как минимум, хотя вряд ли это спасет (окружение песочницы а-ля Norman каждый раз девственно чистое, поэтому песочница заметит первый шаг и пропустит его, т.к. сам по себе первый шаг ничего страшного не делает). Если иметь в виду песочницу а-ля chroot, всё равно не спасёт (в рамках доступных ресурсов, разумеется).
ECk > Обратил ли кто-либо внимание на StuxNet и тенденцию, кладущую начало конца эвристики как явления? обратил ли кто внимание, что антивирусная индустрия уходит в облака? обратил ли кто внимание на то, что в облаках у эвристика процессорная мощность практически неограничена и что из троянов в перспективе будут выживать лишь полиморфы? эвристика только начинается... > По мне, так это вполне очевидно. Основой любой эвристики, равно как и поведенческого анализа, > является событийная связь в пределах одной и той же сущности (например процесса). это неверно. вы сами придумали неправильного эвристика и сами его раскритиковали. думайте дальше. scope не ограничен одним процессом (более того, не обязательно дожидаться выполнения кода этого процесса, можно и сканировать весь файл целиком). возможно, чтобы файл расшифровывался по ключу, передаваемому по сети в момент Х, тогда антивирус не сможет это расшифровать, но такое поведение само по себе подозрительно. вы в курсе, что во многих случаях упакованные файлы режутся автоматом? более или менее серьезные организации юзают только софт, который не сопротивляется анализу. причем этот подход активно лоббируется. паковать файлы все равно что ходить в банк в маске. в любой момент это могут прикрыть, руководствуясь соображениям -- что мы не можем распаковать, то сливаем в унитаз. покажите мне pdf или swf, который зловред и который не определит наш filescan.mcafee.com который 100% эврестик и там нет ни одной сигнатуры и код движка смехотворно мал и написан на коленках в прямом смысле этого слова (на ноуте еее в порту). за полгода полета задетектили все, включая новый зеродей в swf в ехель. между прочим, swf это не просто графика и анимация. там байт-код, а зловреды все жутко закодированы и обсфуцированы идут. это вам не старый добрый x86 для которого уже куча эмулей есть. это новое направление хакерства. и эвристика идет в ногу со временем (ну и пускай только у энтерпрайз клиентов) > Более того: если разделить требуемую совокупность на несколько процессов (читай экзешников с элементарными функциями) > и эвристика и поведенческий анализ нервно курят в стороне. это вы нервно курите со своими exe. постыдились бы. exe можно банально не запускать. а вот отключить флеш сложнее, т.к. без него много сайтов не будут работать. без js не работает практически вообще ничего. а сплоит на js был опубликован даже для дроида на арме под линухом. и мы его словили. все тем же filescan.mcafee.com. проблемы эвристики не в exe. проблемы, что дыры щас везде. они в Java (не js), они и в JS, они в VBS, они и во флеше, они и в pdf, они и в фонтах... термосинтез писал парсер фонтов -- спросите его сколько он времени убил на это. а щас еще и команды графических операторов заюзали. это пипец. ну невозможно ___все___ эмулировать. этого всего чуть больше чем до хвоста. даже в рамках ЦП, 64 бита уже достаточно популярны. а где для них эмули? как на счет АРМ? миллионы мобильных устройств ждут своей участи... на них вообще нет exe. запустите мне exe на дроиде я посмеюсь. а вот через браузер его поимели. айпхон поимели через pdf и mp4. блакберри пока не поимели (публично), но когда поимеют это точно будет не exe короче, кончайте дрочить на exe эвристики. они уже задрочены до некошерного состояния. реально это не передовой край AV. никто не будет сейчас инвестировать время/мозги в exe. потому как даже на мой примитивный детектор шеллкодов ушло несколько лет, прежде чем он начал давать отдачу. js отдачу еще не дают, хотя движок хорошо обкатан, но пройдут годы, прежде чем его внедрят в массовые продукты, когда он уже устареет. соотвественно, сейчас exe детектятся дедовскими методами, которые никто не собирается улучшать. но это не конец эвристики, это конец exe вирусов в переспективе на лет десять вперед.
mosk > Примеры вирусов, для Mac OS X 10.6.6 и последних сборок Linux, ф студию. дроид (линух и арм). сплоит был продемонстрирован в тырнете. эпидемии не вспыхнуло, т.к. рынок все еще очень мал. под мак сплоитов что называется завались. под линух огромное кол-во дыр было обнаружено в популярных библиотеках, которые многие откопипастили себе в код и хрен их обновишь. это zlib, tiff и многие другие. на FAA конференции в этот вторник в солнечной флориде демонстировали лихух/мак браузерный кейлогер, ворующий банковские данные. типа первая птичка. а еще много говорили о HTML5 и о том как его могут оприходовать хакеры для своих нужд и чем он круче.
K10 > filescan.mcafee.com не работает https: но регистрация только через админа. и пока вывод на уровне "зловред" / "не зловред". спецам не интересно. добавим вывод деофускатора и экстрактора / дектодера шеллкодов и откроем доступ реверсерам. внутренне временные файлы создаются с текстовыми логами. в принципе достаточно добавить кнопку "скачать тех. инфо" и все будет шоколадно. но тут внутри компании не все со мной согласны. грят, что тех. инфа раскроет что мы делаем и даст на водку как мы это делаем. типа помогать конкурентам и все такое. ненавижу секретность. >> из троянов в перспективе будут выживать лишь полиморфы > почему? облака охватывают уже континенты и время отклика на новых зловредов стремительно сокращается. производители браузеров, провайдеры иннета, антивирусные конторы, производители роутеров сотрудничают все активнее и зловреды давятся все на большем числе уровней. достаточно чтобы хотя бы один юзер, подключенный к облаку, словил малварь, как до остальных она не дойдет. однако, как можно задетектить малварь? ну по IP, где она выложена. фигня, есть XSS, можно атаковать сайты и тогда IP будет бесполезен. что, собственно, хакеры уже делают сейчас. перепаковка как бы не проблема. то есть проблема, но с отработанным решением. а вот качественный полиморфизм детектить автоматом очень и очень сложно. это не md5 зловреда подсчитать. детекция полиморфов требует намного больших ресурсов даже при условии, что движки для детекции уже есть (пока их нет, если забыть про x86/exe). в скриптах (а большинство современных атак завязаны на скрипты) для полиморфизма _намного_ больше возможностей. написать шаблонный генератор "упаковщиков" для малвари можно за один вечер, а писать для него детектор запаришься. и потому полиморфов будут игнорировать пока они не станут майнстримом, т.е. очень нескоро. в принципе и сейчас детекция очччень слабая. достаточно взять известные скрипты, перепаковать их не самым тривиальным пакером и залить на вирус-тотал, почувствовав разницу. симантек и некоторые другие компании рулят, но и у них есть свои ахилесовы пятна, которые легко выясняются серией экспериментов. в частности, симантек трактует скрипты по стандарту, забив болт на различия в имплепентациях движков от разных вендоров (а они более чем существенны).
kaspersky привет Крис а не приходила в хвост мыщъху мысль внести в жс движок браузера эвристический датчик аномального поведения скрипта, присущего "смерти хочемяка" ? ( типа дикого алоцирования и тд..)
Короче с exe абасрались, теперь беремся за JS. Со временем окажется, что все js детектятся дедовскими методами, переходим к pdf, потом doc, xls, mp4 и так до бесконечности
Unix ехе не додумывает код разными способами зависящими от реализации интерпретатора, в отличии от жс. не перспективно и не практично просто
С такими речами нужно по телеку выступать, как оно оказывается все замечательно. А на практике заходим к любому знакомому домой, в любую фирму, и не обязательно в России и видим, что малвари там немерянно. Каждый год количество малвари увеличивается в разы. Вообще вся эта суета с облаками - просто пиар, красивое слова для далеких людей. "Процессорная мощность в облаке практически неограничена" - вообще не понимаю о чем тут. Вот стоит у меня 6 ядер по 3 гигагерца, куда уже больше? Мало для детекта что ли?
kaspersky наверное на другом континенте всё выглядит сказочнее увы, облака это забугорная мечта админа с неограниченным бюджетом и полным отсутствием над этим админом начальства и руководства. попытки переводить весь мир на облака посредством навязчивой рекламы и выпуска мобильных гаджетов конечно проводятся, но будет глупо потеряв интернет канал потерять доступ ко всём своим данным. к тому же, появлялись вирусы и для облаков. Unix насколько понял, kaspersky предлагает полностью фильтровать трафик на 80 порту.
вы можете поставить вм, и тестировать все запускаемые файлы сначала там, централизованно в облаке ав могут так сделать, а у пользователя на машине приходится городить огород.
t00x в базах данных у нас вирусы? кхм. А чем "классический" антивирус тут поможет? И как попал вирус у нас в базу террабайтную кстати?