Как чистят детекты вредоносов?

Question

[StickPunk]

Как создатели вредоносов чистят детекты от антивирусов? Слышал, что они как-то могут уменшить количетсво обнаружений например с 10 до 3, а то и вовсе до 0. По какому принципу это делается и возможно ли как-то это отследить? Они делают это криптованием файла или есть что-то посложнее?

Comments

[Everything_is_not_so_bad]

А какой вредонос ты собрался писать?

[StickPunk]

Иерокопус Таманский, никакой, мне интересен принцип работы и как это обнаружить.

[Everything_is_not_so_bad]

StickPunk, тогда ищи профильные ресурсы, заранее вооружившись знаниями по УК (на всяк случай).

Answer 1

[Uno]

Все решения по противодействию системам защиты направлены только на существующий в них функционал. Вывод - изучай существующие системы защиты, т.е. антивирусы.
Что в них есть в общих чертах?
- сигнатурное детектирование, исполняемый файл пилится на кусочки и все эти кусочки сравниваются с бд, далее скоринг, при наборе определенного кол-ва баллов - файл - вирус.
- несигнатурное, - поведенческое, эвристическое, любое другое, - нигде ничего не сранивается, а в код антивируса вшиты в общем виде злоумышленнические паттерны поведения, что тоже в совокупе отправляется на скоринг из первого пункта.

Наиболее эффективными в последнее время оказались не черные списки (как сами антивирусы), а белые - смарт скрин от виндоус итд. Когда у тебя запускается не что угодно, и в процессе проверяется, и если вирус - не запустится уже ни у кого (у кого есть такой же антивирус), а изначально, у первого кто запустил - централизованного поставщика функционала белого списка ПО проверяется большим количеством инструментов, и если ок - запускается у кого угодно навсегда.

Надежда выявить злонамеренное программное обеспечение сводится лишь к надежде, что все вместе взятые антивирусные компании работают хорошо, правильно и грамотно. От словосочетания "вместе взятые" додумывается самый эффективный локальный способ выявлять злостное ПО - установить на виртуальную машину как можно больше неконфликтующих между собой антивирусных решений, и проверять семплы там. У кого эвристика лучше работает, у кого - статика. Отсюда и антивирусные компании поняли, а почему бы и нам не взять на вооружение подобие данного способа - и начали перед запуском любой программы запускать её сначала в песочнице, и смотреть на её поведение там. Вирусы научились детектировать песочницы, и в них не делать ничего опасного и выдающего их.

В общем, это - "кошки-мышки". Твой вопрос достаточно общий - по типу "а как поисковые системы копят столько информации, я слышал о каких-то кроулерах, но неужели все так просто?" - ну да, не так просто, а с какой целью интересуешься? Думаешь, с вопроса на тостере сможешь начать самую успешную в будущем антивирусную компанию, или наоборот, сделать вирус, который обойдет все их системы защиты?

Comments

[StickPunk]

Недавно просто на одном из скам сайтов наткнулся на ехе файл, который оказался стиллером, антивирус сразу же его запалил, стало интересно и я проанализировал его. Выявил следующее:
- Написан на Python, сконверченный в C и скомпиленный через Nuitka.
- К архиву добавляет одинаковое окончание помимо уникального номера.
- Отправляет данные в Telegram.
- VirusTotal показал 12 детеков.
Затем я его случайно удалил, зашел еще раз на тот сайт, скачал и в этот раз антивирус молчал. Я его снова запустил на виртуалке и проанализировал. Токен и айди Telegram оказались такими же, структура файлов и их содержание аналогичное, они были довольно специфические, поэтому я уверен что это один и тот же стиллер. Я снова залил его на VirusTotal и он показал 1 детект. На форумах сказали что это криптование, но сколько не спрашивал, никто не видел человека криптующего Python стиллеры.

[Uno]

StickPunk, это скорее всего не крипт, а просто py2exe и подобная хрень, которую аверы не считают за малварь через раз. глупость да и только, однако работает. Ленивые малварьмейкеры делают так сейчас. "Компиляция" при скачивании, хеш каждый раз уникальный, особенно если морфить питон слегка. Щас такую хрень школоте спалил конечно)) на их "благо" они не осилят автоматизацию и не поставят на конвейер, и слава богу.
Рекомендую запускать скачанное в песочнице, в виртуалке.