• Привет !

    На форуме есть зеркало в ТОРе:rusfwz3cukdej7do.onion

    Обратная связь:info@ru-sfera.org

    Всего доброго !

ВАЖНО Не большой и не маленький обход сигнатуры любого антивируса при помощи десяти строк на Си (1 Viewer)

Кто просматривает этот контент: "Тема" (Всего пользователей: 0; Гостей: 1)

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 404
Репутация
7 895
Telegram
Специалист по информационной безопасности под ником evasiv3 опубликовал на прошлой неделе запись в своем блоге, в которой рассказывается о том, как можно обойти любой антивирус при помощи десяти строк кода.

Изначально Evasiv3 планировал написать огромный пост о способах обхода антивирусной защиты, однако, протестировав первый шаг своего «руководства» он был очень удивлен: ни один из 56 протестированных продуктов, призванных обеспечить безопасность пользователя в сети, не обнаружил его бинарник.



После получения подобного результата я решил отказаться от своей идеи долгого и изматывающего обхода антивирусной защиты и действовать быстро, «грязно», но при этом невероятно просто.
В своей работе evasiv3 использовал Veil-Evasion, часть Veil-Framework'a. Автор отмечает его как «превосходный инструмент, который почти никогда его не подводил».

Код, представленный ниже, написан на С++ и ориентирован на атаку, в первую очередь, windows-платформы:
Код:
#include <windows.h>
#include <iostream>
int main(int argc, char **argv) {
char b[] = {/* your XORd with key of 'x' shellcode goes here i.e. 0x4C,0x4F, 0x4C */};
char c[sizeof b];
for (int i = 0; i < sizeof b; i++) {c[i] = b[i] ^ 'x';}
void *exec = VirtualAlloc(0, sizeof c, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
memcpy(exec, c, sizeof c);
((void(*)())exec)();
}
Приведенный выше код создает массив символов с шелл-кодом, выполняет операцию XOR с невероятно сложным ключом «х» в нижнем регистре, выделяет немного памяти, копирует массив в нее и после выполняет.

Если вы сейчас подумали «да ладно!», то у вас та же реакция, что и у Evasiv'a. Масла в огонь подливает тот факт, что бинарник был обнаружен 0 антивирусов из 56 после проверки через VirusTotal. Продемонстрированный выше АВ-обход показывает, что простейший и основной метод проникновения до сих пор является рабочим.

Конечно, большинство антивирусов сосредоточены на пресечении эксплуатации уязвимостей, а не на них выявление, так что «хоронить» их пока рано.

На скриншоте в начале статьи указана дата за 2015 год, однако, автор кода перепроверил бинарник VirusTotal перед публикацией в своем блоге. Результат тот же: 0 из 56.

Источник:Обходим антивирус при помощи десяти строк кода

Мой комментарий: Возможно что АВ спалят в памяти, но всё-равно не плохо...My mindсмех-смех!!!
 

Indy

Уважаемый пользователь
Форумчанин
Регистрация
21.01.2015
Сообщения
277
Репутация
106
Ну вот и с чего должен быть детект, надо было сигнатуру заюзать. Уже школота статьи писать желает, не ясно только для кого.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 404
Репутация
7 895
Telegram
Уже школота статьи писать желает, не ясно только для кого.
Ты всё правильно понял, это рекламная статья гамно-хостинга ua-hosting.company (Информация - Повесть о том как нельзя выбирать хостинг, или вся правда про ua-hosting.company), у них есть блог на Хабре, вот они для рекламы и пишут статьи, в основном рекламного содержания конечно, НО по правилам Хабра нужно ещё что-то писать, вот они и пытаются лесть в ИБ, статья скорей-всего заказная...

Про автора самого блога незнаю, может-быть и хороший спец., пока там всего одна статья, вот он этот блог:attactics[dot]org

А если интересуют вирусы, именно как технологии, вот интересные на мой взгляд статьи на Хабре, старые правда:

Вирусы. Вирусы? Вирусы! Часть 1

Вирусы. Вирусы? Вирусы! Часть 2

Там и комменты можно почитать, писал бывший разработчик одного антивирусного движка...
 

Indy

Уважаемый пользователь
Форумчанин
Регистрация
21.01.2015
Сообщения
277
Репутация
106
X-Shar

Листанул ссылки, это какой то не правильный авер:

Пермутация — это перестановка блоков кода в каждом новом поколении.

То что он понимает под пермутацией носит название и смысл морфинга. Метаморфизм и пермутация совсем другое. Первое это генерация кода из уже имеющегося, в частном случае используя компиляцию. Пермутация это рекомпиляция исходного тела, выделение ядра от треша и его рекомпиляция. Как то так.
 

ason

Уважаемый пользователь
Форумчанин
Регистрация
21.01.2015
Сообщения
171
Репутация
115
Ну вот и с чего должен быть детект, надо было сигнатуру заюзать. Уже школота статьи писать желает, не ясно только для кого.
Если я правильно понял,то это всего лишь инструмент который по идее должен помочь запустить само тело вируса(сам инструмент и не должен детектиться ).
На хабре 42 комментария и ни одного ответа от человека который бы запустил этот транспортник вместе с телом вируса (даже на виртуалке),после чего можно
и говорить о детекте.
Не знаю,может и ошибаюсь.
 

Indy

Уважаемый пользователь
Форумчанин
Регистрация
21.01.2015
Сообщения
277
Репутация
106
ason

Для любого эмулятора это то же самое, что и напрямую вызвать буфер. Поэтому вообще не ясно о чём он там болтает. Как я понял он думает что имеет значение сложность ключа, не зная про эмулятор ничего.
 

ason

Уважаемый пользователь
Форумчанин
Регистрация
21.01.2015
Сообщения
171
Репутация
115
Поэтому вообще не ясно о чём он там болтает.
Зато я "прослезился"читая в коментах как тяжело живется пожилым ITишникам и как глупа молодежь.
Не знаю почему меня это зацепило но я уверен что любой адекватный специалист начнет изучение предмета с
"корневых каталогов" причина-следствие.Это закон.И связь поколений здесь вообще не причем.
P.S. Извиняюсь за оффтоп.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 404
Репутация
7 895
Telegram
Поэтому вообще не ясно о чём он там болтает.
Как понял смысл в том-что сигнатурный детект можно этим обойти, т.е. если обработать так вирус и залить на VT не будет детекта, сомнительно конечно, НО при запуске большинство АВ будут детектить...

Так-то надо-было действительно сигнатуру забить и посмотреть, я делал как-то похожее что-то, почти все АВ детектили в памяти, либо эмулятором ловили такое...
 

Indy

Уважаемый пользователь
Форумчанин
Регистрация
21.01.2015
Сообщения
277
Репутация
106
X-Shar

Это же просто копирование в буфер, что же этим обойти то можно :)

Там есчо некие фреймворки юзались и что в конце тестилось не известно. Аналогично можно заявить что всё обходится циклом for, так как после тестов детекта небыло.
 

rain.hf

Житель форума
Форумчанин
Регистрация
08.12.2015
Сообщения
116
Репутация
90
мне кажется что Специалист по информационной безопасности под ником evasiv3 слишком громко сказано