ВАЖНО Не большой и не маленький обход сигнатуры любого антивируса при помощи десяти строк на Си

Тема в разделе "Крипторы и исследование защиты", создана пользователем X-Shar, 22 мар 2016.

↑ ↓
  1. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.800
    Симпатии:
    425
    Пол:
    Мужской
    Репа:
    +957 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Специалист по информационной безопасности под ником evasiv3 опубликовал на прошлой неделе запись в своем блоге, в которой рассказывается о том, как можно обойти любой антивирус при помощи десяти строк кода.

    Изначально Evasiv3 планировал написать огромный пост о способах обхода антивирусной защиты, однако, протестировав первый шаг своего «руководства» он был очень удивлен: ни один из 56 протестированных продуктов, призванных обеспечить безопасность пользователя в сети, не обнаружил его бинарник.

    [​IMG]

    В своей работе evasiv3 использовал Veil-Evasion, часть Veil-Framework'a. Автор отмечает его как «превосходный инструмент, который почти никогда его не подводил».

    Код, представленный ниже, написан на С++ и ориентирован на атаку, в первую очередь, windows-платформы:
    Код:
    #include <windows.h>
    #include <iostream>
    int main(int argc, char **argv) {
    char b[] = {/* your XORd with key of 'x' shellcode goes here i.e. 0x4C,0x4F, 0x4C */};
    char c[sizeof b];
    for (int i = 0; i < sizeof b; i++) {c = b ^ 'x';}
    void *exec = VirtualAlloc(0, sizeof c, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
    memcpy(exec, c, sizeof c);
    ((void(*)())exec)();
    }

    Приведенный выше код создает массив символов с шелл-кодом, выполняет операцию XOR с невероятно сложным ключом «х» в нижнем регистре, выделяет немного памяти, копирует массив в нее и после выполняет.

    Если вы сейчас подумали «да ладно!», то у вас та же реакция, что и у Evasiv'a. Масла в огонь подливает тот факт, что бинарник был обнаружен 0 антивирусов из 56 после проверки через VirusTotal. Продемонстрированный выше АВ-обход показывает, что простейший и основной метод проникновения до сих пор является рабочим.

    Конечно, большинство антивирусов сосредоточены на пресечении эксплуатации уязвимостей, а не на них выявление, так что «хоронить» их пока рано.

    На скриншоте в начале статьи указана дата за 2015 год, однако, автор кода перепроверил бинарник VirusTotal перед публикацией в своем блоге. Результат тот же: 0 из 56.

    Источник:Обходим антивирус при помощи десяти строк кода

    Мой комментарий: Возможно что АВ спалят в памяти, но всё-равно не плохо...My mindсмех-смех!!!
     
    • Мне нравится Мне нравится x 5
    • Стрёмный копипаст ! Стрёмный копипаст ! x 1
  2. Indy Уважаемый пользователь
    Indy
    Ответить в чате

    Форумчанин

    Регистрация:
    21.01.2015
    Сообщения:
    251
    Симпатии:
    144
    Пол:
    Мужской
    Репа:
    +170 / 5 / -28
    Ну вот и с чего должен быть детект, надо было сигнатуру заюзать. Уже школота статьи писать желает, не ясно только для кого.
     
    • Мне нравится Мне нравится x 1
  3. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.800
    Симпатии:
    425
    Пол:
    Мужской
    Репа:
    +957 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Ты всё правильно понял, это рекламная статья гамно-хостинга ua-hosting.company (Информация - Повесть о том как нельзя выбирать хостинг, или вся правда про ua-hosting.company), у них есть блог на Хабре, вот они для рекламы и пишут статьи, в основном рекламного содержания конечно, НО по правилам Хабра нужно ещё что-то писать, вот они и пытаются лесть в ИБ, статья скорей-всего заказная...

    Про автора самого блога незнаю, может-быть и хороший спец., пока там всего одна статья, вот он этот блог:attactics[dot]org

    А если интересуют вирусы, именно как технологии, вот интересные на мой взгляд статьи на Хабре, старые правда:

    Вирусы. Вирусы? Вирусы! Часть 1

    Вирусы. Вирусы? Вирусы! Часть 2

    Там и комменты можно почитать, писал бывший разработчик одного антивирусного движка...
     
  4. Indy Уважаемый пользователь
    Indy
    Ответить в чате

    Форумчанин

    Регистрация:
    21.01.2015
    Сообщения:
    251
    Симпатии:
    144
    Пол:
    Мужской
    Репа:
    +170 / 5 / -28
    X-Shar

    Листанул ссылки, это какой то не правильный авер:


    То что он понимает под пермутацией носит название и смысл морфинга. Метаморфизм и пермутация совсем другое. Первое это генерация кода из уже имеющегося, в частном случае используя компиляцию. Пермутация это рекомпиляция исходного тела, выделение ядра от треша и его рекомпиляция. Как то так.
     
    • Мне нравится Мне нравится x 3
  5. ason Уважаемый пользователь
    ason
    Ответить в чате

    Форумчанин

    Регистрация:
    21.01.2015
    Сообщения:
    213
    Симпатии:
    243
    Пол:
    Мужской
    Репа:
    +259 / 1 / -4
    Если я правильно понял,то это всего лишь инструмент который по идее должен помочь запустить само тело вируса(сам инструмент и не должен детектиться ).
    На хабре 42 комментария и ни одного ответа от человека который бы запустил этот транспортник вместе с телом вируса (даже на виртуалке),после чего можно
    и говорить о детекте.
    Не знаю,может и ошибаюсь.
     
  6. Indy Уважаемый пользователь
    Indy
    Ответить в чате

    Форумчанин

    Регистрация:
    21.01.2015
    Сообщения:
    251
    Симпатии:
    144
    Пол:
    Мужской
    Репа:
    +170 / 5 / -28
    ason

    Для любого эмулятора это то же самое, что и напрямую вызвать буфер. Поэтому вообще не ясно о чём он там болтает. Как я понял он думает что имеет значение сложность ключа, не зная про эмулятор ничего.
     
  7. ason Уважаемый пользователь
    ason
    Ответить в чате

    Форумчанин

    Регистрация:
    21.01.2015
    Сообщения:
    213
    Симпатии:
    243
    Пол:
    Мужской
    Репа:
    +259 / 1 / -4
    Зато я "прослезился"читая в коментах как тяжело живется пожилым ITишникам и как глупа молодежь.
    Не знаю почему меня это зацепило но я уверен что любой адекватный специалист начнет изучение предмета с
    "корневых каталогов" причина-следствие.Это закон.И связь поколений здесь вообще не причем.
    P.S. Извиняюсь за оффтоп.
     
  8. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.800
    Симпатии:
    425
    Пол:
    Мужской
    Репа:
    +957 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Как понял смысл в том-что сигнатурный детект можно этим обойти, т.е. если обработать так вирус и залить на VT не будет детекта, сомнительно конечно, НО при запуске большинство АВ будут детектить...

    Так-то надо-было действительно сигнатуру забить и посмотреть, я делал как-то похожее что-то, почти все АВ детектили в памяти, либо эмулятором ловили такое...
     
  9. Indy Уважаемый пользователь
    Indy
    Ответить в чате

    Форумчанин

    Регистрация:
    21.01.2015
    Сообщения:
    251
    Симпатии:
    144
    Пол:
    Мужской
    Репа:
    +170 / 5 / -28
    X-Shar

    Это же просто копирование в буфер, что же этим обойти то можно :)

    Там есчо некие фреймворки юзались и что в конце тестилось не известно. Аналогично можно заявить что всё обходится циклом for, так как после тестов детекта небыло.
     
    • Согласен(а) Согласен(а) x 1
  10. rain.hf Житель форума
    rain.hf
    Ответить в чате

    Форумчанин

    Регистрация:
    08.12.2015
    Сообщения:
    134
    Симпатии:
    111
    Репа:
    +121 / 3 / -6
    мне кажется что Специалист по информационной безопасности под ником evasiv3 слишком громко сказано
     
    • Мне нравится Мне нравится x 2

Поделиться этой страницей