На заметку Ещё-раз про ЭЦП программ, а так-ли сложно обойти Касперского ?

Тема в разделе "Крипторы и исследование защиты", создана пользователем X-Shar, 13 апр 2016.

↑ ↓
  1. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.805
    Симпатии:
    426
    Пол:
    Мужской
    Репа:
    +959 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    sddefault.

    Всем привет !

    Как-то я уже касался ЭЦП (электронная цифровая подпись программ), если кратко, то у АВ есть база доверенных программ, а точнее их сертификатов и ЭЦП, такие программы считаются надёжными и выполняются с наивысшими привелегиями, часто и не проверяются вообще...:)

    В общем то-что такой подход весьма сомнителен за примерами ходить не надо, вот даже темы:

    Информация - Бабло побеждает зло, или как обмануть антивирус

    RMS - полностью скрытая установка и управление.

    Но вот на антималваре тоже интересная тема, там много буковок, но рекомендую почитать:Раскопаем стюардессу? - Современные угрозы и защита от них

    Если вкратце:

    Пишем вирус, а лучше качаем паблик исходник какой-нить там "крысы" или стилера, покупаем ЭЦП от старого доброго комодыча, стоит-то не дорого меньше 20-30 баксов по мойму, а-то и бесплатно можно заюзать...Dmeh-Smeh-Smeh!!!Dmeh-Smeh-Smeh!!!Dmeh-Smeh-Smeh!!!

    Получаем фуд, на всех популярных АВ, да не просто фуд, а обход проактивок, файерволов и т.д. !i'm crazyсмех-смех!!!so happycool cool

    Вот даже ролик был приведён:



    :Mem1::Mem1::Mem1:
     
    • Мне нравится Мне нравится x 4
  2. rain.hf Житель форума
    rain.hf
    Ответить в чате

    Форумчанин

    Регистрация:
    08.12.2015
    Сообщения:
    134
    Симпатии:
    111
    Репа:
    +121 / 3 / -6
    начнём с того что сертификат не стоит 20-30$ , получить его не так то и просто нужна куча документов , детект (Сигнатурный) собьёт но не полностью то же самое и с пропуском антивирусов кто то пропустит кто то нет .
    Заюзать сертификат бесплатно можно ,но тут ещё больше срака надо писать опять пачка доков ,и репозиторий на твой проект в открытом виде дабы доказать что это фри проект и является опен сорс в пример приведу (Process hacker)
    Подписывать вирус сертификатом крайне не выгодно , во первых аверы все ровно поймают код вреданоса как не крути если не аверы то люди много кто реверсит семплы в ручную и потом кидает отчёты в лабы , во вторых стоит сертификат не 20-30 $ а 200-300$ за один файл который вам прослужит примерно 5-7 дней а то и меньше . а теперь стоит подумать комуже из вирмейкеров выгоден сертификат ? отвечу не кому , юзают их обычно скрипт кидди начитавшихся подобных статей ,и думаюших что у них после подписи получится вечная малварь ну и владельци криптолокеров хотя вторые в последнее время предпочитают различные эксплоиты .
     
    • Мне нравится Мне нравится x 2
  3. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.805
    Симпатии:
    426
    Пол:
    Мужской
    Репа:
    +959 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Хм., я получал сертификат для этого сайта всего за 5$ при условии что брал на три года, никаких проверок не было, просто подтвердил владение домена и всё...

    Для программ не получал, но знаю что у того-же Symantec например можно сделать доверенную подпись, бесплатно или за небольшую плату, правда нужно предоставить им код программы !

    А смысл этих подписей не сбить сигнатурный детект, а обойти проактивную защиту, т.е. файерволы, HIPS и т.д., кстати в видяшке также показано что проверок никаких нет там...

    На офсайте MediaGet есть информация:
    Код:
    Реквизиты Администрации:
    ООО «Ключ»
    ИНН 7733239762
    КПП 773301001
    ОГРН 1157746586084
    125466, гор. Москва, Новокуркинское  шоссе, дом 39,пом. I, комната 71
    Но! Сертификат выдан совершенно другому юр. лицу, а именно:
    Код:
    CN = Inbox OOO
    O = Inbox OOO
    STREET = 16 of. 2, per. Monetchikovski 5-I
    L = MOSCOW
    S = MOSCOW
    PostalCode = 115054
    C = RU
     
  4. rain.hf Житель форума
    rain.hf
    Ответить в чате

    Форумчанин

    Регистрация:
    08.12.2015
    Сообщения:
    134
    Симпатии:
    111
    Репа:
    +121 / 3 / -6
    ну ты посмотри сколько стоят сертификаты для исполняемых файлов к примеру тот же Symantec стоит 400$ а если не самому делать а покупать готовый то все 600 будет
    Проактивную защиту ты подписью себе не обеспечишь , она собьётся только на результате скантайм проверки и файл будет пропускаться некоторыми антивирусами без проверки , например тот же каспер ложил большой болт на файлы с подписью комодо и при запуске всё ровно проанализирует .
    зы. вот как раз про это я писал выше те кто торгуют сертификатами напивают свою песню про божественную неприкосновенность файла аверами после подписи и многие кто не разу с этим не сталкивался охотно верят .
     
    • Мне нравится Мне нравится x 2
  5. Lexus34 Заблокирован
    Lexus34
    Ответить в чате

    Заблокирован

    Регистрация:
    09.04.2016
    Сообщения:
    11
    Симпатии:
    5
    Репа:
    +6 / 0 / -1
    Закрытые ключи сертификатов ни чего не стоят, они воруются у обычных разрабочтиков. Зачем что то там покупать это куча документов пасспорта итп. Лучше своровать у простого программиста который купил честный сертификат в надежде спасти свою жизнь себе и своим детям написав некую программу которая нахуй ни кому не нужна.
     
  6. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.805
    Симпатии:
    426
    Пол:
    Мужской
    Репа:
    +959 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Вот интересно от куда такие тупые нытики и неадекваты берутся здесь ?

    Вот, как-как ты собираешься воровать серт. у программиста ?Dmeh-Smeh-Smeh!!!Dmeh-Smeh-Smeh!!!:Mem26:

    Ты видно даже не представляешь как работает серт., для ликвидации неграмотности и долбоёбства расскажу как формируется ЦП:

    Цифровая подпись - Если по простому это шифрованый файл несимметричным ключом. В программе храниться только публичный ключ для расшифровки. Если файл перешифровать, то ключ будет уже другим, и не будет соответствовать ни одному из ключей из БД антивиря.

    Антивирь расшифровывает файл этим ключом и сверяет его по базе. Если таковой найдет то в зависимости от ЦП, программе ставится "плюсик", что-типо доверенный производитель. Если зашить в прогу чужой ключ, то с помощью него уже нельзя будет расшифровать программу. Ключ шифровки храниться у производителя и является секретным. Не имея его нельзя зашифровать файл так чтобы его можно было расшифровать публичным ключом.

    НО КАК Я УЖЕ ГОВОРИЛ, ДА И НЕ ТОЛЬКО Я, АНТИВИРУСЫ НЕ ТОЛЬКО АНАЛИЗИРУЮТ ЦП., А ИСПОЛЬЗУЮТ И ДРУГИЕ МЕХАНИЗМЫ ПРОВЕРКИ...:)

    Даже если допустить, что разработчик софта передал свой приватный ключ вирусописателю, а серьёзные корпорации навряд-ли таким будут заниматься, то во первых это через какое-то время станет известно и сертификат аннулируют, т.е. добавят в чёрный список, а во вторых по другим признакам будет детект программы !

    О чём в общем-то тут и писалось !Dmeh-Smeh-Smeh!!!
     
  7. Nedovirus Уважаемый пользователь
    Nedovirus
    Ответить в чате

    Форумчанин

    Регистрация:
    14.05.2014
    Сообщения:
    478
    Симпатии:
    821
    Пол:
    Мужской
    Репа:
    +845 / 14 / -5
    Дичь какая-то...

    1. Разбирать что-то на примере эцп медиагета ваще нельзя - в этой области действуют не только технические правила, но и какие-то ручные надстройки сделанные по политическим мотивам. Медиагет это монстр с сотнями тысяч закачек в сутки, при таких объемах решения о чем угодно принимает не автомат с тремя if else, а человек.
    2. Стырить у какой-то большой доверенной организации подпись, ей что-то подписать свое и тихонько кому-то впарить - вполне можно. Этим даже регулярно занимаются, но это эффективно только в APT атаках (т.е в единичных случаях) и при соблюдении всех остальных телодвижений. А если подпишите свой зевс, разошлете его спамом или сделаете прогруз, то чем бы вы его ни подписали (хоть адобом, хоть гуглом), то уже через сутки у вас будет 20+ на вирустотале.
    3. Покупать подписи и подписывать свои поделки - это лучше, чем не подписывать конечно, но рациональная ли это трата средств? Может лучше купить более дорогой крипт-сервис?
    Но ч0ткие парни используют для сокрытия сразу все способы, ваще все. Они меняют все домены, переколбашивают код, ресурсы и бинарь, подписывают и уже тогда распространяют, причем делают это еженедельно и даже чаще. Вот это называется правильный подход к бизнесу, а не сокрытие чего-то там в памяти чисто в теории в одном случае в некоей фазе луны.
     
    • Мне нравится Мне нравится x 3

Поделиться этой страницей