Symantec: Trojan.Gen.2 - полное раскрытие

Тема в разделе "Новости и статьи IT безопасности", создана пользователем komrad.vasvas, 26 фев 2015.

↑ ↓
  1. komrad.vasvas Пользователь
    komrad.vasvas
    Ответить в чате

    Первый уровень

    Регистрация:
    26.02.2015
    Сообщения:
    1
    Симпатии:
    7
    Пол:
    Мужской
    Репа:
    +7 / 0 / -0
    Trojan.Gen.2

    Такой популярный детект дает Symantec на совершенно разные файлы. Trojan.Gen.2 - очень общий детект (точнее отображаемое имя) под которым может быть все что угодно - нельзя заранее сказать, что именно там, увидев это имя.

    Попробуем провести мини-анализ этого детекта, чтобы развеять накопившиеся мифы вокруг него и ответить на популярные вопросы о нем.

    Для начала вкратце изложим уже имеющуюся по нему в интернете информацию, затем дополним своими данными и сделаем вывод.

    1. Первым делом нужно смотреть первоисточник - информацию на официальном сайте.
    http://www.symantec.com/security_response/writeup.jsp?docid=2011-082216-3542-99
    Там нам сообщают, что это генерик-детект (т.е общий, под разное вредоносное ПО) на много разных троянов, для которых не было создано отдельных сигнатур, защищает от многих троянов со сходными характеристиками. Также есть общие рассуждения о троянских конях и их способах проникновения. При этом о данной угрозе сказано, что это угроза низкого риска - "Risk Level 1: Very Low" и ее вообще легко удалить с компьютера (Removal: Easy).

    Своими словами: это глобальное наименование детекта, куда суется на скорую руку детект на что угодно (пока не сделан целевой детект на семейство), детектирует по каким-то общим характеристикам (хитро-размытая сигнатура). Причем чаще всего ей детектируется что-то малоопасное, а что-то сильнопасное скорее всего и чаще всего будет обнаруживаться каким-то иным именем.

    2. Вторым делом ознакомимся с мнением экспертов по информационной безопасности, причем с теми, которые целенаправленно изучают продукты Symantec:

    Далее будем цитировать эксперта под ником Corvus Corax с форума club-symantec.ru:

    "Когда ещё эпидемия началась в 2011 очень активно, то Вирлаб все винлоки загонял под Trojan.Gen.2, скорее всего из-за их поразительной схожести."

    "помню, как первые винлоки детектились Trojan.Gen.2. По факту, Trojan.Gen обновляется и детект появляется после работы вирлаба, т.е. это матрица, которая находит целую кучу подобного (по опред. характеристикам) мусора, чаще пиратского"

    "Trojan.Gen.2 активно выносил винлоки(или выносит до сих пор) - высока вероятность ложняка, но, скорее всего, Symantec компенсирует это обширными белыми списками"

    "Ещё прикол в том, что после Susp.Cloud.9 файл у меня в карантине получил наименование именно Trojan.ADH, выходит это не просто эвристика, как и Trojan.Gen это какие то очень общие сигнатуры, которые обновляются, в данном случае они скорее не обновляются, а просто корректируются. Обе работают по целым семействам вредоносов, знаменитый Winlock тоже начинал с Trojan.Gen.2, до сих пор помню. Поскольку Gen и ADH не полностью проактивные, то соотв. и вердикт после них не меняется, то есть вирлаб их уже не рассматривает, это законченный детект. Я просто пытаюсь понять как работают эти две не сигнатурные или полусигнатурные технологии и что конкретно приходят за обновления для них. "

    Своими словами кратко: эксперт не противоречит сказанному на официальном сайте - ведет речь о том, что детект общий, часто становится самым первым, является проактивным и то ли сигнатурным, то ли бессигнатурным, в общем детект сложный, хитрый, технологичный.


    3. А что же пишут "в Интернетах"? Просто поищем записи по сайтам, форумам - что обычные люди про него пишут, чем интересуется, что он у них ловит и обобщим, сделав мини-выводы.
    Прочитав топ-30 по выдаче яндекса и гугла обобщенно дела обстоят так:
    - детект "серого" ПО - кряки, кейгены (программы, которые не наносят пользователю вреда - ничего не крадут, не шифруют, не показывают рекламу - просто они вот такие нехорошие и у некоторых антивирусов при случае принято их детектировать)
    - разное мелкое кустарное ПО - читы, мелкие вспомогательные программки в разных специализированных сообществах и т.д
    - все подряд - да, так и есть. Люди жалуются на такой детект на разные файлы (игры, программы - причем легальное ПО). Т.е данный детект относительно часто детектирует и нормальные программы, причем не те, которые подозрительны по действиям (например, пишут в MBR, грузят драйвер и ставят хуки) и не те, которые полулегальны по области применения (кряки, читы), а обычные soft.
    - такое имя детекта на что-то реально опасное достаточно редко (даже эксперту из п.2 на память постоянно приходит только случай в каком-то там году с детектом винлоков). Так, что это скорее исключение, чем правило. Тот же самый детект винлоков в лохматом году и есть то самое исключение - риск у него не низкий, удаление не шибко удобное, а вот детект на кряк как раз подходит под официальное описание - риск очень низкий, удалить просто - взял и удалил через контекстное меню.



    Подведем под один знаменатель все три пункта: по неизвестной нам технологии под такой детект подпадают обычно угрозы низкого риска, причем детект достаточно часто фолсит (срабатывает ложно). Детектирует совершенно разные типы угроз, в дальнейшем может корректироваться и превращаться в более точный детект.

    Далее более самостоятельно и подробно:

    1. Если вспоминать о фолсах, то вот несколько свежих детектов на известное легальное ПО:
    WebHarvy
    https://www.virustotal.com/ru/file/...8aace53962a6c781a0ec025db595012e0ce/analysis/
    mrsdecompiler
    https://www.virustotal.com/ru/file/...2757fa4370de54747f37758454d3d8f8692/analysis/
    dll tools
    https://www.virustotal.com/ru/file/...445ac2195d469ba4773e889eb02b93a0640/analysis/
    Salute Radio
    https://www.virustotal.com/ru/file/...2413132a9842ea60b6484605958ffde1ae1/analysis/

    2. Ссылки на массовый детект кряков и читов можно и не давать. На наш взгляд это не нуждается в доказательствах, настолько это массовое явление.

    3. Данный детект распространяется не только на исполняемые файлы (обычные ехе, проще говоря), но и на другие форматы и типы угроз.
    Вот детект на pdf-эксплоит:
    https://www.virustotal.com/ru/file/...eee820ffda4e5996b6a9eead4ac604a2673/analysis/
    Вот детект на популярную adware (рекламное нежелательное ПО):
    https://www.virustotal.com/ru/file/...e8bfb2d3e1b1cf8302ffd60e380d6c1d3f4/analysis/
    И напоследок приведем пример детекта вредоносного JS-скрипта на 3 кб:
    https://www.virustotal.com/ru/file/...8eeae6d1e656e47e4c60dd14255862e5e9a/analysis/


    4. Упомянутый детект винлоков. Да, такое тоже есть.
    Вот:
    https://www.virustotal.com/ru/file/...923e75350024cf368b2f6f825a6b007c430/analysis/
    (тот, который cache.dat к шеллу дописывает)


    Логичен вопрос: так все-таки по какой хитрой технологии создаются такие детекты? почему имнно на эти файлы? как робот-создатель детекта (люди делают как раз-таки детекты на семейства или другие детекты) определяет, что нужно сделать вот такой детект на этот файл?

    Нас такие вопросы в тупик не поставят. Мы на них честно ответим.

    1. Технология обнаружения проста как мыльный пузырь: детект по контрольной сумме целого файла (примером такой контрольной суммы может служить MD5, возможно, что Symantec использует другую технологию подсчета контрольной суммы, но суть именно такова). Т.е если изменить в файле ЛЮБОЙ байт или дописать в конец файла ЛЮБОЙ байт, то этот детект пропадает. Вручную нами это было проверено на всех упомянутых в статье файлах - так и есть. Т.е детект этот никакой не хитрообщий бессигнатурно-проактивный, а совершенно "деревянный" - робот все подозрительное по хешу заносит в этот детект (тащит сюда все, что под руку попадает).

    2. Если детект происходит по контрольной сумме и при малейших изменениях файла детект пропадает, то как получаются ложные срабатывания? Почему продукт детектирует чистые файлы? Как он понимает, что они подозрительны и их нужно задетектировать? Как он понимает, что кейген это кейген? Ведь у него только окошко и одна кнопка (ничего подозрительного он не делает - уцепиться боту-анализатору просто не за что)?
    Ответ на эти вопросы тоже очень прост. Робот компании Symantec, производящий детекты "оглядывается" на детекты других антивирусов (их сканеры есть среди его функций) и при определенных условиях (у них много детектов, но сам файл вроде ничего плохого не делает и еще какое-нибудь условие), то делается такой точный детект по контрольной сумме. Т.е происходит как бы "кража" чужого детекта.
    А "какие ваши доказательства?" можете вы спросить на вполне законных основаниях. Что ж:
    - мы не смогли обнаружить ни одного файла, который бы обнаруживался только одним Symantec этим детектом и не обнаруживался никем более (этот детект есть только тогда, когда детекты есть еще хоть у кого-то)
    - скомпилированные файлы с вызовом только MessageBox и упакованные upx (для того, чтоб вызвать детект хоть каких-то убогих антивирусов) заливались дважды на virustotal - первый раз, чтоб файл попал в symantec и получил возможность выхватить данный детект, а второй раз чтоб нам увидеть этот его детект. Разумеется, такой детект выскакивает не всегда - у Symantec есть и другие детекты, основанные на этой же мега-технологии детекта по контрольной сумме (например, WS.Reputation.1)
    - простая логика: как можно задетектить чистый файл не выполняющий ничего плохого вообще, если детект по контрольной сумме? Это же не тот случай, когда "плавающая" сигнатура под одну гребенку детектит плохое ПО и еще похожее на него хорошее, тут-то детект точно именно этого файла - он попал в вирлаб (именно он, а не какой-то там похожий на него) и на него был роботом сделан хеш-детект именно на него.

    Другого объяснения возникновения данного детекта (которое бы поясняло все три последних аргумента) просто не существует. Стоит уточнить, что в данное отображаемое имя Trojan.Gen.2 может антивирус (в смысле работник компании в ручном режиме) засунуть вообще любой детект ну совершенно, но таких детектов нами найдено не было - все найденные нами детекты соответствуют вышеописанному. Но не стоит расстраиваться - ничего страшного в такой логике работы нет, ведь Евгений Касперский говорил, что достаточно многие второсортные антивирусы это практикуют.


    Вышло так: данное мини-исследование наглядно показывает уровень "секретных высоких технологий", проактивных и бессигнатурных детектов широкого профиля у Symantec, а вроде как и эксперты (а в какой области, если не секрет?), которые на эту тему рассуждают, не разобравшись не только в технологии, но даже в применяемых терминах очень удивляют - они манипулируют непонятными им самим терминами без понимания хоть как примерно работает технология.
    Поэтому никогда не верьте в красивые маркетинговые слова - все это вполне можно объяснить "на пальцах" без громких технических терминов и окажется, что никакой хитрости и загадки нет и вовсе. Практически все технологии Symantec можно исследовать и понять как именно они работают. Тот же самый WS.Reputation.1 работает по точно такой же технологии, только логика наложения этого детекта другая (исходя из других данных накладывается роботом такой детект).
    (а тому ыксперду, который будет вам в уши лить маркетинговую туфту можете просто плюнуть в лицо).
     
    Последнее редактирование: 26 фев 2015
    • Мне нравится Мне нравится x 7
  2. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Интересное наблюдение, а есть-ли у них критерии выбора каким АВ нужно доверять а каким нет, на VT-же много АВ, например если будут обнаруживать какие-нибудь АВ на подобии зилля, то получается и Нортон задетектит ?

    Или они анализируют детект только популярных АВ, типо Нод, каспер и т.д. ?Не въехал!!!

    Вообще было-бы интересно ещё почитать про WS.Reputation.1, эксперты так гордятся этой технологией !Отдыхай!!!
     
    • Мне нравится Мне нравится x 1
  3. Nedovirus Уважаемый пользователь
    Nedovirus
    Ответить в чате

    Форумчанин

    Регистрация:
    14.05.2014
    Сообщения:
    478
    Симпатии:
    821
    Пол:
    Мужской
    Репа:
    +845 / 14 / -5
    Использование результата других антивирусов тут скорее как один из аргументов у робота в принятии решения, просто один из ключевых атрибутов, но явно недостаточный, иначе Symantec похоронил бы вселенную в ложных сработках, так что не важно да и непонятно на кого и как происходит ориентация.

    А что именно? Про логику наложения данного детекта?
    Мне представляется логика наложения этого детекта такой:
    новый-неизвестный-файл + не-получил-другого-детекта + малопопулярен + нет-в-системе-мониторинга-популярного-белого-ПО

    Проверить это просто - создавай любой невирусный софт с любым невирусным функционалом (пустая форма, калькулятор, открытка-поздравление, hello) и дважды заливай на VT (с интервалом в пару дней) - весь он будет WS.Reputation.1
     
    • Мне нравится Мне нравится x 2
  4. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Мне непонятен один момент пока:

    Я к примеру делаю вирус/либо криптую неважно, так-вот вирус не будет детектиться как WS.Reputation.1, хоть и новый файл, ведь так (Будем считать что другие компонеты тоже не реагируют) ?

    Так вот, теперь к примеру запаковываем этот вирус в Winrar (sfx), будет-же типо доверенной программы тогда...Не въехал!!!

    И таким образом можно в теории достаточно долго троянить, или всё-же на наш архив тоже через какое-то время будет WS.Reputation.1 ?Не въехал!!!

    Тоже например можно реализовать загрузку через какой-нить скрипт, тогда сам вирус может никогда не попасть на VT и репутация тоже не сработает-же ?Не въехал!!!

    Какой тогда смысл в ней, не лучше-ли тогда сделать вообще белые списки программ, а остальное всё в блок ?
     
  5. Nedovirus Уважаемый пользователь
    Nedovirus
    Ответить в чате

    Форумчанин

    Регистрация:
    14.05.2014
    Сообщения:
    478
    Симпатии:
    821
    Пол:
    Мужской
    Репа:
    +845 / 14 / -5
    1. Вирус будет изначально иметь вирусный детект, если есть на него сигнатура/эвристика
    2. Если на п.1 детекта нет, то после попадания файла в вирлаб он будет нормально задетектирован, WS.Reputation.1 дается только файлам, которые не являются явно вирусами. Если же он опознан вирусом, то ему будет дан другой детект. По вышеизложенной моей логике это является условием "+ не-получил-другого-детекта +" - т.е ему он не удовлетворяет.

    не, не будет

    Так примерно и есть - что не вирус и не в белом списке (и нет тенденции попадания туда) - в блок (WS.Reputation.1).
     
    • Мне нравится Мне нравится x 2
  6. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    А-а, ну тогда примерно понимаю, т.е. 1-2 дня это анализ файла в ихнем вирлабе и создание оценки файлу, так что-ли ?
    Ну недоверенный это-да, но детект WS.Reputation.1 на sfx навряд-ли будет-же, хотя это надо проверить ради интереса !

    Попробую как ты сказал:

    Только на sfx-архив, там не будет ничего вредоносного, просто распаковка в папку темп и запуск пустой формы, напишу тогда потом здесь о результатах !WinkSmile
     
    • Мне нравится Мне нравится x 1
  7. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Вложения:

    • Мне нравится Мне нравится x 1
  8. Nedovirus Уважаемый пользователь
    Nedovirus
    Ответить в чате

    Форумчанин

    Регистрация:
    14.05.2014
    Сообщения:
    478
    Симпатии:
    821
    Пол:
    Мужской
    Репа:
    +845 / 14 / -5
    именно так мыслю

    Эксперимент не чистый выходит. Компиль просто формочку с записью в текстовый файл при нажатии на кнопку - так будет чище. И будем два файла отслеживать Dmeh-Smeh-Smeh!!!
    А то закодил какой-то "GoldSpy" (нано врать не может) и выложил его на форум, беспредел!
     
    • Мне нравится Мне нравится x 2
  9. sasha1998 Житель форума
    sasha1998
    Ответить в чате

    Форумчанин

    Регистрация:
    23.12.2014
    Сообщения:
    31
    Симпатии:
    27
    Репа:
    +27 / 0 / -1
  10. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Да-ну их нафиг, там хоть что заливай, какая-нить собака да задетектит, я-уж всё по серьёзному сделал, запортил нашу форму, путём замены первого байта (Можно было несколько байт запортить, но нестал), далее js-скриптом генерирую нормальную форму, т.е. добовляю этот байт, далее запускаю нашу форму + картинку (Это для понта).

    Но и это ещё не всё, сама форма также упакована, но уже в запаролленный sfx-архив + обфусцировал код js...

    Вот, что получилось:https://www.virustotal.com/ru/file/...c636f2a21b0c550e856ec4f5/analysis/1425051151/

    Какой-то ByteHero только детектит, хотя в нашем случае может и неплохо.

    И ещё, ради интереса сможете вытащить из архива пароль (Хотя не сложно, он виден там в коде) ?My mind

    https://yadi.sk/d/h37s3wrfevn3G
     

Поделиться этой страницей