На заметку Ещё-раз про ЭЦП программ, а так-ли сложно обойти Касперского ?

[X-Shar]

Всем привет !

Как-то я уже касался ЭЦП (электронная цифровая подпись программ), если кратко, то у АВ есть база доверенных программ, а точнее их сертификатов и ЭЦП, такие программы считаются надёжными и выполняются с наивысшими привелегиями, часто и не проверяются вообще...:)

В общем то-что такой подход весьма сомнителен за примерами ходить не надо, вот даже темы:

Информация - Бабло побеждает зло, или как обмануть антивирус

RMS - полностью скрытая установка и управление.

Но вот на антималваре тоже интересная тема, там много буковок, но рекомендую почитать:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Если вкратце:

Пишем вирус, а лучше качаем паблик исходник какой-нить там "крысы" или стилера, покупаем ЭЦП от старого доброго комодыча, стоит-то не дорого меньше 20-30 баксов по мойму, а-то и бесплатно можно заюзать...

Получаем фуд, на всех популярных АВ, да не просто фуд, а обход проактивок, файерволов и т.д. !

Вот даже ролик был приведён:

 

[rain.hf]

начнём с того что сертификат не стоит 20-30$ , получить его не так то и просто нужна куча документов , детект (Сигнатурный) собьёт но не полностью то же самое и с пропуском антивирусов кто то пропустит кто то нет .
Заюзать сертификат бесплатно можно ,но тут ещё больше срака надо писать опять пачка доков ,и репозиторий на твой проект в открытом виде дабы доказать что это фри проект и является опен сорс в пример приведу (Process hacker)
Подписывать вирус сертификатом крайне не выгодно , во первых аверы все ровно поймают код вреданоса как не крути если не аверы то люди много кто реверсит семплы в ручную и потом кидает отчёты в лабы , во вторых стоит сертификат не 20-30 $ а 200-300$ за один файл который вам прослужит примерно 5-7 дней а то и меньше . а теперь стоит подумать комуже из вирмейкеров выгоден сертификат ? отвечу не кому , юзают их обычно скрипт кидди начитавшихся подобных статей ,и думаюших что у них после подписи получится вечная малварь ну и владельци криптолокеров хотя вторые в последнее время предпочитают различные эксплоиты .

 

[X-Shar]

начнём с того что сертификат не стоит 20-30$ , получить его не так то и просто нужна куча документов , детект (Сигнатурный) собьёт но не полностью то же самое и с пропуском антивирусов кто то пропустит кто то нет .

Хм., я получал сертификат для этого сайта всего за 5$ при условии что брал на три года, никаких проверок не было, просто подтвердил владение домена и всё...

Для программ не получал, но знаю что у того-же Symantec например можно сделать доверенную подпись, бесплатно или за небольшую плату, правда нужно предоставить им код программы !

А смысл этих подписей не сбить сигнатурный детект, а обойти проактивную защиту, т.е. файерволы, HIPS и т.д., кстати в видяшке также показано что проверок никаких нет там...

На офсайте MediaGet есть информация:

Скопировать в буфер обмена

Реквизиты Администрации:
ООО «Ключ»
ИНН 7733239762
КПП 773301001
ОГРН 1157746586084
125466, гор. Москва, Новокуркинское  шоссе, дом 39,пом. I, комната 71

Но! Сертификат выдан совершенно другому юр. лицу, а именно:

Скопировать в буфер обмена

CN = Inbox OOO
O = Inbox OOO
STREET = 16 of. 2, per. Monetchikovski 5-I
L = MOSCOW
S = MOSCOW
PostalCode = 115054
C = RU

 

[rain.hf]

Хм., я получал сертификат для этого сайта всего за 5$

ну ты посмотри сколько стоят сертификаты для исполняемых файлов к примеру тот же Symantec стоит 400$ а если не самому делать а покупать готовый то все 600 будет

А смысл этих подписей не сбить сигнатурный детект, а обойти проактивную защиту,

Проактивную защиту ты подписью себе не обеспечишь , она собьётся только на результате скантайм проверки и файл будет пропускаться некоторыми антивирусами без проверки , например тот же каспер ложил большой болт на файлы с подписью комодо и при запуске всё ровно проанализирует .
зы. вот как раз про это я писал выше те кто торгуют сертификатами напивают свою песню про божественную неприкосновенность файла аверами после подписи и многие кто не разу с этим не сталкивался охотно верят .

 

[Lexus34]

Закрытые ключи сертификатов ни чего не стоят, они воруются у обычных разрабочтиков. Зачем что то там покупать это куча документов пасспорта итп. Лучше своровать у простого программиста который купил честный сертификат в надежде спасти свою жизнь себе и своим детям написав некую программу которая нахуй ни кому не нужна.

 

[X-Shar]

Лучше своровать у простого программиста который купил честный сертификат в надежде спасти свою жизнь себе и своим детям написав некую программу которая нахуй ни кому не нужна.

Вот интересно от куда такие тупые нытики и неадекваты берутся здесь ?

Вот, как-как ты собираешься воровать серт. у программиста ?

Ты видно даже не представляешь как работает серт., для ликвидации неграмотности и долбоёбства расскажу как формируется ЦП:

Цифровая подпись - Если по простому это шифрованый файл несимметричным ключом. В программе храниться только публичный ключ для расшифровки. Если файл перешифровать, то ключ будет уже другим, и не будет соответствовать ни одному из ключей из БД антивиря.

Антивирь расшифровывает файл этим ключом и сверяет его по базе. Если таковой найдет то в зависимости от ЦП, программе ставится "плюсик", что-типо доверенный производитель. Если зашить в прогу чужой ключ, то с помощью него уже нельзя будет расшифровать программу. Ключ шифровки храниться у производителя и является секретным. Не имея его нельзя зашифровать файл так чтобы его можно было расшифровать публичным ключом.

НО КАК Я УЖЕ ГОВОРИЛ, ДА И НЕ ТОЛЬКО Я, АНТИВИРУСЫ НЕ ТОЛЬКО АНАЛИЗИРУЮТ ЦП., А ИСПОЛЬЗУЮТ И ДРУГИЕ МЕХАНИЗМЫ ПРОВЕРКИ...:)

Даже если допустить, что разработчик софта передал свой приватный ключ вирусописателю, а серьёзные корпорации навряд-ли таким будут заниматься, то во первых это через какое-то время станет известно и сертификат аннулируют, т.е. добавят в чёрный список, а во вторых по другим признакам будет детект программы !

О чём в общем-то тут и писалось !

 

[Nedovirus]

Дичь какая-то...

1. Разбирать что-то на примере эцп медиагета ваще нельзя - в этой области действуют не только технические правила, но и какие-то ручные надстройки сделанные по политическим мотивам. Медиагет это монстр с сотнями тысяч закачек в сутки, при таких объемах решения о чем угодно принимает не автомат с тремя if else, а человек.
2. Стырить у какой-то большой доверенной организации подпись, ей что-то подписать свое и тихонько кому-то впарить - вполне можно. Этим даже регулярно занимаются, но это эффективно только в APT атаках (т.е в единичных случаях) и при соблюдении всех остальных телодвижений. А если подпишите свой зевс, разошлете его спамом или сделаете прогруз, то чем бы вы его ни подписали (хоть адобом, хоть гуглом), то уже через сутки у вас будет 20+ на вирустотале.
3. Покупать подписи и подписывать свои поделки - это лучше, чем не подписывать конечно, но рациональная ли это трата средств? Может лучше купить более дорогой крипт-сервис?
Но ч0ткие парни используют для сокрытия сразу все способы, ваще все. Они меняют все домены, переколбашивают код, ресурсы и бинарь, подписывают и уже тогда распространяют, причем делают это еженедельно и даже чаще. Вот это называется правильный подход к бизнесу, а не сокрытие чего-то там в памяти чисто в теории в одном случае в некоей фазе луны.

 

[Lexus34]

Вот интересно от куда такие тупые нытики и неадекваты берутся здесь ?

Вот, как-как ты собираешься воровать серт. у программиста ?

Ты видно даже не представляешь как работает серт., для ликвидации неграмотности и долбоёбства расскажу как формируется ЦП:

Цифровая подпись - Если по простому это шифрованый файл несимметричным ключом. В программе храниться только публичный ключ для расшифровки. Если файл перешифровать, то ключ будет уже другим, и не будет соответствовать ни одному из ключей из БД антивиря.

Антивирь расшифровывает файл этим ключом и сверяет его по базе. Если таковой найдет то в зависимости от ЦП, программе ставится "плюсик", что-типо доверенный производитель. Если зашить в прогу чужой ключ, то с помощью него уже нельзя будет расшифровать программу. Ключ шифровки храниться у производителя и является секретным. Не имея его нельзя зашифровать файл так чтобы его можно было расшифровать публичным ключом.

НО КАК Я УЖЕ ГОВОРИЛ, ДА И НЕ ТОЛЬКО Я, АНТИВИРУСЫ НЕ ТОЛЬКО АНАЛИЗИРУЮТ ЦП., А ИСПОЛЬЗУЮТ И ДРУГИЕ МЕХАНИЗМЫ ПРОВЕРКИ...:)

Даже если допустить, что разработчик софта передал свой приватный ключ вирусописателю, а серьёзные корпорации навряд-ли таким будут заниматься, то во первых это через какое-то время станет известно и сертификат аннулируют, т.е. добавят в чёрный список, а во вторых по другим признакам будет детект программы !

О чём в общем-то тут и писалось !

========================================================================================================================================================

"это шифрованый файл несимметричным ключом" - это не шифрованый файл а обычный PE, это не некая особая система запаковки/криптовки исполняемого файла, не надо ляляля, открыв любой файл windows с ЦП
всякий убедится в этом, предварительно задизев разумеется, хотя и без дизеля все видно.

"А ИСПОЛЬЗУЮТ И ДРУГИЕ МЕХАНИЗМЫ ПРОВЕРКИ" - Другие, возможно, а может и не все, теоритически, симметрия ЦП и механизм который применяется всего лишь гарантирует целостонсть файла и дает некую гарантию от дальнейшей его модификации, НИ КАКОГО ОТНОШЕНИЯ К СТРУКТУРЕ ЦП никогда не имела и с большой вероятностью иметь не будет.
Крадут закрытый ключ с машины разработчика, разумеется он не в курсе ( предлагают промолчать за отдельные деньги )

 

[Lexus34]

X-Shar - оскооблять тебя не хочу, я программист, да и готов поспорить у кого больше яйца, но зачем ты преходишь границу, Вот, как-как ты собираешься воровать серт. у программиста ? ну ну блин, если я тебе сказал на твоем форуме, смысл меня повторно переспрашивать ?

 

[virt]

ЦП сейчас практически не влияет на детект, разве-что можно обойти некоторые файерволы и HIPS, но в большинстве случаев "обычным смертным" это сделать не получится, ибо достаточно тяжело и геморно что-то там красть, если вы конечно не сотрудник АНБ ! :)

А так хватает способов и без ЦП что нужно делать, поэтому большинство малвари либо используют легальные программы для того-чтобы проникнуть в "контур", либо различные сплоиты и уязвимости, этого обычно хватает. :)