Методы системной защиты

Тема в разделе "WASM.RESEARCH", создана пользователем Rel, 31 дек 2020.

  1. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.242
    Здоровья тебе в любом случае, не всем же тела 20ти летних иметь, но ты поправляйся, нам (маглам "с убитыми телами") надо следить за своим здоровьем и вовремя лечить свои болячки. Если потерялась мотивация, попробуй научится чему-то новому. Например, попробуй пройти бесплатный курс по ML/AI (либо на степике, тк там бесплатные курсы, либо просто с торрентов скачать), или по функциональному программированию (тоже очень интересно, я закончил курс по хаскеллу, получил сертификат, но так ни разу в работе его и не применил, но было интересно), может еще какая-то тема заинтересует там по ходу.
     
    M0rg0t нравится это.
  2. M0rg0t

    M0rg0t Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    1.574
    Rel, спасибо, здоровье не особо кстати, надо бы им заняться, все некогда.
    А мотивация есть, мне наоборот, времени не хватает и скиллов. Читаю щас ту книжку, что ты на дамаге постил, про реверс ; но читать на инглише еще полбеды, а курс смотреть - не осилю точно.
    Кстати, видел антивирусы с ML? Симантек и прочие новые. Их практически не обойти, по крайней мере все крипторы банят на лету.
    А так, хотелось бы много чего изучить.
     
  3. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.242
    Да, у Касперского то и дело выскакивает детект с типом "машинное обучение", я так понимаю, что это у них в облаке реализовано (если KSN отключен, то вроде как этого нет). Многие IDS и DLP системы якобы переходят на ML, так уж история умалчивает, что конкретно делается MLем, но как минимум маркетинг идет об этом.

    Да, и это давно пора было сделать, не знаю, почему крипторы так долго жили и все еще живут.
     
  4. X-Shar

    X-Shar Active Member

    Публикаций:
    0
    Регистрация:
    24 фев 2017
    Сообщения:
    354
    Да они и не жили, вернее их использовали наверное в 90% неправильно, школьники обошли статик детект на каком-нить чекере и думают, что антивирус перестал детектить...)

    А по факту тот-же нод, или касперский детектят при запуске.)

    Ещё прикол, даже у виндового дефендера разный детект с сетью и без сети, поэтому некоторых малварьщиков также ожидает сюрприз при распространении малвари.)

    Более того я не уверен, что и обфускация кода на уровне исходников сейчас будет помогать, по идеи тоже должны детектить, ну либо в кратчайшие сроки, как малварь попадет в облако.

    Как минимум там ген. детекты могут-быть на сам обфусццированный код, генератор мусора и т.д.

    Вообще я удивлен как эти криптовальщики до сех-пор живут, в целом всё есть что-бы от них защитится, но нет...

    Всё это головотяпство админов и нежелание что-то делать, либо просто кому-то выгодно существование такой малвари.)))
     
  5. M0rg0t

    M0rg0t Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    1.574
    Rel, да, облачный детект; т.е. реверснуть алгос и подсмотреть (как делали с Авирой в 2011) нельзя, и вообще, неясно что делать. Были попытки закодить ML-криптер, но врядли это реально. Т.е. чтобы нейросеть как то училась , проверяя файл, если спалилось чето - менять. Не знаю. Я очень далек от темы ML. Есть бумажная книжка 2008 года, весьма хорошая, на питоне как кодить всю эту ерунду, мб видел ("программируем коллективный разум", пингвины на обложке), читал по диагонали.

    Ну да, а как иначе? Фактически, все крипторы это LoadPE (runpe давно уже не актуален). Т.е. загрузка образа в память и исполнение. Аверы (тот же говнод32 и виндеф и мб еще кто) умеют сканировать память, находят там малварку и все. Этому нельзя противостоять, если мы берем именно практику, а не теоретические рассуждения "как бы могло быть" со сферическими конями в вакууме. Вот много раз просил того же Инди закодить РоС - спрятать модуль в памяти, сможет его пропалить авер или нет. Так и не увидел ничего.

    Если же брать локерщиков, т.е. серьезные команды, они просто отключают аверов и тогда лочат. По другому никак нельзя. Некоторые группы еще прячут малварь в длл, длл в павершелл, все это обфусцируют.. Иногда прокатывает.
    --- Сообщение объединено, 31 дек 2020 ---
    X-Shar, суть криптора (вообще) - убрать палево в статике. Всё. Вот чтоб статически, когда файл лежит на диске, он не палился. А дальше - забота автора малвари. Кто криптует? Школьники свои стиллеры, впаривают их как читы для кс и прочее, тут уже больше социнженерия.
     
    X-Shar нравится это.
  6. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.242
    Да, с облаком наверное только какие-то безфайловые угрозы могут жить, но при этом надо обрубить AMSI, как канал для антивируса. Либо использовать что-то, что еще не интегрировано с AMSI.

    Да мне это тоже удивляет, всё это должно было жестко палиться еще лет 5-10 назад. Понятно, что основной клиент у них - скрипткидиссы, которые толком ничего не знают и надеятся, что чудо криптор как то им поможет. Надеюсь, что это направление мадварного коммерца скоро таки вымрет.

    Я не помню, вроде я выкладывал сюда видос о крипторе на базе генеративно-состязательных нейронных сетей (GAN по английски называется), как идея это довольно забавно, но вряд ли пойдет дальше пруф оф концепта. Можно обсудить это в той теме, где я выкладывал этот видос, если вообще выкладывал (надо поискать).

    Это нормально, от него никто ничего толком и не увидел никогда. Но проблема с этим подходом еще в том, что должен быть какой-то исполняемый код, который этот гипотетический индеклав развернет. Полезная нагрузка может и не будет палиться, но сам код, разворачивающий индеклав, вполне может.

    Эмм, мне ничего не мешает поумничать на форуме в перерыве между нарезанием салатов.
    --- Сообщение объединено, 31 дек 2020 ---
    Чет не могу найти тему, вот видос, если чего, но на хинглише само собой:
     
  7. M0rg0t

    M0rg0t Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    1.574
    НГ не нужен. Лучше уж матчасть почитать. Кстати, именно год назад ревилы нагнули буржуев на ~6 лямов. Хорошее время же - все празднуют..

    Позже посмотрю и напишу.

    Тут бы все в комплексе, потому что детект в памяти - осиновый кол в гроб всех крипторов. По факту, крипторы бесполезны. А так , если как то спрятать пейлоад в памяти, уже будет проще - тогда надо думать над исполняемым файлом, что чуть проще. Я к тому, что допустим закодить софт, который не спалится авером - возможно, я пробовал такое, РЕ лоадер, обфускации разные, иконки, манифесты, CRT от 2019 студии. Но дальше то палится - поведение либо в памяти.
    Если посмотреть с другой стороны - какой процент фолс позитивов у этих облак и подобного? Огромнейший. Любой хелловорлд на асме, любой софт с гитхаба (свежий релиз) палится этим говном как малварь. Мы уже обсуждали, что лучшая вещь в авере - проактивка, но аверам проще запилить облако, а шароварники и прочие любители протекторов пусть живут, как хотят.
     
  8. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.242
    Щас кстати и битки и монеро полезли вверх сильно, я думаю они этому очень рады.

    Ресурсы системы пользователя ограничены, ресурсы облака потенциально не ограничены. Проактивка может серьезно тормозить слабую систему. А для шареварников вполне можно зарепортить фалс-позитив аверу, если что.

    В первую очередь криптору надо выделить исполняемую память, а все такие методики (виртуалаллок, маппинг, создание новой кучи и тд) можно спалить. Я слышал, что сейчас модно подгружать CLR и выделять исполняемую память через её JIT, но в живую пока таких семплов не видел. И это видимо только для шелла будет работать, а не для произвольного исполняемого файла.
     
  9. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    M0rg0t,

    > Вот много раз просил того же Инди закодить РоС - спрятать модуль в памяти, сможет его пропалить авер или нет. Так и не увидел ничего.

    На многих форумах была реализация. Лично тебе ничего не показывал, это же всё паблик. Можешь и тут поискать реализация древняя как говно мамонта.
     
  10. M0rg0t

    M0rg0t Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    1.574
    напоминает сказку про белого бычка.

    не видел такие семплы, но мб и есть.
    А так да , ты прав конечно, вся суть сводится к перехвату аллокации памяти, и дальше распаковка.

    Тестил одну идею - не выделять память, а перезаписывать уже существующую, но беда в том , что система не выделяет RWX , везде либо RW или RX. А вызов NtProtect также мониторится, и в итоге приходим все к тому же самому.
     
  11. sl0n

    sl0n Мамонт дзена **

    Публикаций:
    0
    Регистрация:
    26 сен 2003
    Сообщения:
    684
    Ну я как-то давно делал защиту как у авиры ве шифруется хукается KiUserExceptionDispatcher, при доступе к кодовой секции страница памяти расшифровывается и выполняется если идет доступ за границу страницы то расшифровыввается следующая а текущая зашифровывается, тормозило это знатно но пахало =))
    --- Сообщение объединено, 7 янв 2021 ---
    поправка не у авиры а у армадиллы
     
    hiddy нравится это.
  12. nullPtr

    nullPtr Member

    Публикаций:
    0
    Регистрация:
    6 ноя 2020
    Сообщения:
    138
    Детект в памяти в теории может защитить морфер бинаря. Например для пролива 1000 инсталов на говностиллер морфим бинарь и она сама по себе имеет фуд статик. После льем на траф с криптом стилера, а в памяти будет фуд статик. Если энтропия и прочее норм (фолс позитив одним словом), то малварь отработает, а пока она отправится на облаку, его проанализируют, то 1000 инсталов отработают. Тут блин, с поведением гемор. Как варик сисколы из ring3. И все. Как я вижу на сегодняшний день - это макс защита малвари.

    Но да лан ребята. Тот же ракун дает отстук 80% не смотря на то, что вТЕМП дропает +100500 dll для работы с фраерфоксом.
    --- Сообщение объединено, 7 янв 2021 ---
    Уже бро. Шифровать не выгодно. Многие бекапятся, и тем более брать админку сложнее.
    Ща новое направление, которое профитнее шифра, менее геморойнее и без нужды получать админ права.
     
  13. piligmindo

    piligmindo Member

    Публикаций:
    0
    Регистрация:
    31 дек 2018
    Сообщения:
    69
    Какое, если не секрет?

    Как я понимаю, директколы это вообще стандарт по умолчанию на сегодня. Почему их не используют повсеместно?

    Я, конечно, не специалист, но будь я антивирусом, то память с такими атрибутами по умолчанию считал бы палевом)
     
  14. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.242
    Ну это никак не помогает от авера на уровне ядра или на уровне гипервизора.
    --- Сообщение объединено, 7 янв 2021 ---
    Это значит запретить JIT-компиляцию, как класс. Хотя вот на iOS это сделали и ничего. Наоборот всякие Flutter'ы и Xamarin'ы были вынуждены делать AOT-компиляцию для iOS, что в принципе хорошо.
     
    M0rg0t нравится это.
  15. piligmindo

    piligmindo Member

    Публикаций:
    0
    Регистрация:
    31 дек 2018
    Сообщения:
    69
    Rel, сорри если несу ерунду - я только изучаю программирование и заканчиваю школу)

    Я имел ввиду не всю исполняемую память в принципе, а в контексте обозначенной задачи. Если я ее правильно понял) Я имел ввиду что то вроде module stomping.

    А антивирус может навесить перехват на sysenter при работающем PG ? Кроме того, фиберы не видны из ядра, может это может как то помочь?
     
  16. nullPtr

    nullPtr Member

    Публикаций:
    0
    Регистрация:
    6 ноя 2020
    Сообщения:
    138
    оч изи. отписал те
    да хз еслчестно. Как бы в блеке немного по другому работает. Если твой лоаедер закрепился в системе, то значит авер там беспонтовый
    Прост тендеция немного другая
    Но ты то обошел аваста. А на уровне ядра имхо технология недостаточно развита. Хотя не уверен. Зачем ав выпиливать малварь? Они хоть завтра могут.
     
  17. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.242
    Ну в теории может, работают ли так какие то аверы - это нужно каждого конкретного смотреть.

    Ну RWX память в часто используется в двух вещах: малвари и JIT-компиляторах, из-за вторых ее вряд ли можно заблочить. Module stomping от тебя все равно потребует изменения прав на страницы, занятые кодом модуля.

    Ну что значит не видны из ядра, файбер же в контексте потока исполняется, не?
     
  18. piligmindo

    piligmindo Member

    Публикаций:
    0
    Регистрация:
    31 дек 2018
    Сообщения:
    69
    Просто так было написано в Windows Internals :)
     
  19. M0rg0t

    M0rg0t Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    1.574
    значимость и толк от этой технологии весьма сильно преувеличен. А сложность реализации не особо простая, учитывая что (в 99% случаев) сейчас 32 битная малварь выполняется на 64 битных ОС. Надо или пилить свой HG или использовать сисколы через механизмы винды (Wow64), что не совсем сискол и авер его может перехватить.

    Так и есть, да и майкрософт придумал технологию ACG.
     
  20. piligmindo

    piligmindo Member

    Публикаций:
    0
    Регистрация:
    31 дек 2018
    Сообщения:
    69
    Зачем писать 32-х битную малварь, когда 99% ОС - 64-х битные? Зачем преодолевать сложности с HG и прочими костылями из за разницы разрядности, когда можно этого не делать?