Domanda Malware Camuffare un Virus/Rat/Backdoor

Stato
Discussione chiusa ad ulteriori risposte.
Ordina per data Ordina commenti per reazioni
S

~Senpai

Utente Electrum
20 Ottobre 2017
235
28
57
113
Come da titolo, volevo sapere come si possa camuffare un virus.
Esempio generico:
Windows Defender di Windows 10 blocca un file che in verità è un Rat
Ecco volevo sapere come è possibile nascondere un virus dagli antivirus/Windows Defender
Non mi serve un tool che faccia lui, vorrei sapere se c'è qualche tipo di modifica/criptazione da applicare, e se c'è come si chiama, almeno me le studio
(Mi sarò spiegato male)
Grazie mille
 
zSenpai ha detto:
Come da titolo, volevo sapere come si possa camuffare un virus.
Esempio generico:
Windows Defender di Windows 10 blocca un file che in verità è un Rat
Ecco volevo sapere come è possibile nascondere un virus dagli antivirus/Windows Defender
Non mi serve un tool che faccia lui, vorrei sapere se c'è qualche tipo di modifica/criptazione da applicare, e se c'è come si chiama, almeno me le studio
(Mi sarò spiegato male)
Grazie mille
Clicca per espandere...
Allora, innanzitutto, bisogna capire come lavorano le varie difese per contrastarle:
l analisi statica e' l analisi lenta che analizza per bene il file cosi' come e', cioe' appena lo scarichi, e senza eseguirlo; Questo processo e' piu' lento, e spesso e' reso inutile da semplici manovre quali offuscamento del codice, crypt o binding con altri file o compressione [vediti queste tecniche].
L analisi dinamica invece, analizza meglio l ambiente dopo l esecuzione del malware, e quindi processi, prestazioni, collegamenti, servizi attivi ed eventuali azioni secondarie, come esecuzione di codice secondario ecc......
Questo metodo e' utile dopo che il file infetto e' stato eseguito, ed e' piu' veloce ma meno preciso, ed e' ancora piu' difficile da bypassare per eventuali sandbox o ambienti controllati. Per ovviare, bisogna injectare il processo del malware nel processo di un applicazione comune e che non sia sospetta; Oltre a cio' , usa uno stub, che esegue il malware direttamente nella ram, ed evita cosi' sia un analisi statica, sia un analisi dinamica con ambiente controllato, poiche' potresti bypassarlo. Infine, vi e' l analisi ibrida: e' un ibrido fra statica e dinamica, ed e' usata poiche' riunisce gran parte dei vantaggi di entrambe, Le tecniche per bypassarlo, sono unirne piu' di una per evitare problemi, e inoltre vi e' un altro metodo: two-phase infection: fai scaricare un file che deve solo sistemare il sistema [scusami il gioco di parole lol], e poi scarica il malware vero e proprio; In questo modo, l analisi statica e' bypassata totalmente, e anche l hash-detection e altre tecniche usate per rilevare file infetti. [proprio perche' il file infetto ancora non e' presente nel malware]. Per evitare problemi con la rilevazione post-infection, usa un malware modulare, in modo che nel codice dello stesso file, non ci siano keylogger, credentials grabber ecc... che sarebbero subito rilevabili, ma falli scaricare ed eseguire one-time, in modo da evitare che sia possibile risalire al file infetto.
 
  • Mi piace
Reazioni: sergio007sergio e ~Senpai
zSenpai ha detto:
Come da titolo, volevo sapere come si possa camuffare un virus.
Esempio generico:
Windows Defender di Windows 10 blocca un file che in verità è un Rat
Ecco volevo sapere come è possibile nascondere un virus dagli antivirus/Windows Defender
Non mi serve un tool che faccia lui, vorrei sapere se c'è qualche tipo di modifica/criptazione da applicare, e se c'è come si chiama, almeno me le studio
(Mi sarò spiegato male)
Grazie mille
Clicca per espandere...
Bisogna usare un buon crypter. Se vuoi che nessun antivirus venga rilevato bisogna avere un FUD Crytpter.
 
At3x ha detto:
Bisogna usare un buon crypter. Se vuoi che nessun antivirus venga rilevato bisogna avere un FUD Crytpter.
Clicca per espandere...
Non è sufficiente, gli antivirus effettuano una analisi comportamentale sul codice in runtime.
Se un frammento di codice è considerato malevolo il malware verrà rilevato comunque, al massimo con un crypter fai qualche punteggio in meno su virustotal. L'unico modo è scrivere il malware e analizzarlo mano a mano che si aggiungono funzioni. Se una funzione lo rende rilevabile va riscritta in modo diverso o bisogna farne a meno.
Ad esempio che metti una chiamata a ProcessKill in un iterazione, o se una FileDelete senza scelta dell'utente è probabile che l'analisi comportamentale faccia il suo lavoro.
Se il malware invece utilizza una struttura simile ad altri malware rischia il rilevamento per analisi euristica.
Metodi efficaci sono l'inserimento di istruzioni di selezione morte, ad esempio la verifica dell'esistenza di un file che mai verrà creato con all'interno codice non malevolo.
Altra soluzione è dividere il malware in eseguibili diverse o dll, per evitare policy di sicurezza sui file scaricati può essere utile far compilare al malware porzioni di codice una volta avviato in locale usando software presenti già sul pc, come il compilatore .net su windows.
Cercare di delegare operazioni rilevabili a software esterni, ad esempio far scaricare un file al browser piuttosto che chiamare l'api di windows FileDownload oppure far eliminare file a CCleaner piuttosto che farlo direttamente tramite il malware.
Anche i crypter che decriptano il codice in runtime non sono esenti a questi controlli, l'unica soluzione è scrivere malware correttamente.
 
  • Mi piace
Reazioni: Blink01, sergio007sergio e ~Senpai
Informaticage ha detto:
Non è sufficiente, gli antivirus effettuano una analisi comportamentale sul codice in runtime.
Se un frammento di codice è considerato malevolo il malware verrà rilevato comunque, al massimo con un crypter fai qualche punteggio in meno su virustotal. L'unico modo è scrivere il malware e analizzarlo mano a mano che si aggiungono funzioni. Se una funzione lo rende rilevabile va riscritta in modo diverso o bisogna farne a meno.
Ad esempio che metti una chiamata a ProcessKill in un iterazione, o se una FileDelete senza scelta dell'utente è probabile che l'analisi comportamentale faccia il suo lavoro.
Se il malware invece utilizza una struttura simile ad altri malware rischia il rilevamento per analisi euristica.
Metodi efficaci sono l'inserimento di istruzioni di selezione morte, ad esempio la verifica dell'esistenza di un file che mai verrà creato con all'interno codice non malevolo.
Altra soluzione è dividere il malware in eseguibili diverse o dll, per evitare policy di sicurezza sui file scaricati può essere utile far compilare al malware porzioni di codice una volta avviato in locale usando software presenti già sul pc, come il compilatore .net su windows.
Cercare di delegare operazioni rilevabili a software esterni, ad esempio far scaricare un file al browser piuttosto che chiamare l'api di windows FileDownload oppure far eliminare file a CCleaner piuttosto che farlo direttamente tramite il malware.
Anche i crypter che decriptano il codice in runtime non sono esenti a questi controlli, l'unica soluzione è scrivere malware correttamente.
Clicca per espandere...
grazie mille della risposta
 
La mia idea invece sarebbe questa, ma non so se è giusta (in quanto devo ancora provarla):
- inizialmente scrivi in vc++ un'applicazione che crea il PRIMO eseguibile malevolo. Ovvero: se usi visual studio metto l'eseguibile malevolo come risorsa e nel codice metto una funzione apposita che preleva il codice binario dell'eseguibile, il quale viene copiato in una directory un po' nascosta.
- Nel PRIMO eseguibile malevolo è contenuto il codice per scaricare il Manager dei virus. Ovvero ancora: Tale PRIMO eseguibile malevolo scarica un programma (sempre scritto da te) che ha il compito a sua volta di gestire la connessione con il server web dal quale estrae tutte le istruzioni impartite da te. Quando viene eseguito per la prima volta questo Manager, viene generato un codice e lo invia al tuo server web il quale si occupa di prendere tale codice e di inserirlo nella tabella di un database. Quello è il codice identificativo della vittima. Poi il manager si occupa di scaricare gli ALTRI software malevoli sempre creati da te.
- Gli ALTRI software malevoli non sono altro che backdoors, keyloggers, uploaders, etc che si occupano di spiare/danneggiare/etc il pc della vittima.

Ora passiamo alle problematiche che possono crearsi.
- Il PRIMO eseguibile malevolo non dovrebbe creare problemi. Soprattutto se il codice binario del Manager incluso nel PRIMO eseguibile venisse criptato prima e decriptato dopo l'esecuzione sempre dal PRIMO eseguibile ciò non dovrebbe creare problemi con l'antivirus. Non credo che un antivirus segnali come malevolo un programma che scrive solo un file. Poi il PRIMO eseguibile malevolo esegue solo il Manager.
- Già con il Manager potrebbero esserci i primi problemi. Dato che richiede una connessione ad internet ciò può insospettire. Inoltre quando vengono eseguiti in memoria gli altri file scaricati l'antivirus potrebbe rompere le scatole.
E qui io mi fermo.
Scusate se ho scritto con un italiano non molto corretto in qualche punto
 
  • Mi piace
Reazioni: ~Senpai
brazenho ha detto:
La mia idea invece sarebbe questa, ma non so se è giusta (in quanto devo ancora provarla):
- inizialmente scrivi in vc++ un'applicazione che crea il PRIMO eseguibile malevolo. Ovvero: se usi visual studio metto l'eseguibile malevolo come risorsa e nel codice metto una funzione apposita che preleva il codice binario dell'eseguibile, il quale viene copiato in una directory un po' nascosta.
- Nel PRIMO eseguibile malevolo è contenuto il codice per scaricare il Manager dei virus. Ovvero ancora: Tale PRIMO eseguibile malevolo scarica un programma (sempre scritto da te) che ha il compito a sua volta di gestire la connessione con il server web dal quale estrae tutte le istruzioni impartite da te. Quando viene eseguito per la prima volta questo Manager, viene generato un codice e lo invia al tuo server web il quale si occupa di prendere tale codice e di inserirlo nella tabella di un database. Quello è il codice identificativo della vittima. Poi il manager si occupa di scaricare gli ALTRI software malevoli sempre creati da te.
- Gli ALTRI software malevoli non sono altro che backdoors, keyloggers, uploaders, etc che si occupano di spiare/danneggiare/etc il pc della vittima.

Ora passiamo alle problematiche che possono crearsi.
- Il PRIMO eseguibile malevolo non dovrebbe creare problemi. Soprattutto se il codice binario del Manager incluso nel PRIMO eseguibile venisse criptato prima e decriptato dopo l'esecuzione sempre dal PRIMO eseguibile ciò non dovrebbe creare problemi con l'antivirus. Non credo che un antivirus segnali come malevolo un programma che scrive solo un file. Poi il PRIMO eseguibile malevolo esegue solo il Manager.
- Già con il Manager potrebbero esserci i primi problemi. Dato che richiede una connessione ad internet ciò può insospettire. Inoltre quando vengono eseguiti in memoria gli altri file scaricati l'antivirus potrebbe rompere le scatole.
E qui io mi fermo.
Scusate se ho scritto con un italiano non molto corretto in qualche punto
Clicca per espandere...

Questo è un metodo molto utilizzato dai malware, probabilmente è capitato a tutti che l'antivirus rilevi un malware chiamato Tr.Dropper o Dropper/Gen, Tr/Downloader o cose simili.
Che fanno proprio ciò che dici tu, scaricano codice eseguibile e lo compilano in locale, oppure scaricano altri malware e li eseguono. Di per se non contengono codice malevolo i malware dropper però una volta che il malware scarica codice malevolo viene etichettato anche lui come malware, viene rimosso e viene inviato in malware analysis alla casa costruttrice dell'antivirus entrando a far parte dei database di malware noti venendo divulgati tra le varie case secondo accordi presi tra gli antivirus makers. Quindi non è una soluzione efficace agli antivirus.
 
  • Mi piace
Reazioni: ~Senpai e brazenho
Informaticage ha detto:
Non è sufficiente, gli antivirus effettuano una analisi comportamentale sul codice in runtime.
Se un frammento di codice è considerato malevolo il malware verrà rilevato comunque, al massimo con un crypter fai qualche punteggio in meno su virustotal. L'unico modo è scrivere il malware e analizzarlo mano a mano che si aggiungono funzioni. Se una funzione lo rende rilevabile va riscritta in modo diverso o bisogna farne a meno.
Ad esempio che metti una chiamata a ProcessKill in un iterazione, o se una FileDelete senza scelta dell'utente è probabile che l'analisi comportamentale faccia il suo lavoro.
Se il malware invece utilizza una struttura simile ad altri malware rischia il rilevamento per analisi euristica.
Metodi efficaci sono l'inserimento di istruzioni di selezione morte, ad esempio la verifica dell'esistenza di un file che mai verrà creato con all'interno codice non malevolo.
Altra soluzione è dividere il malware in eseguibili diverse o dll, per evitare policy di sicurezza sui file scaricati può essere utile far compilare al malware porzioni di codice una volta avviato in locale usando software presenti già sul pc, come il compilatore .net su windows.
Cercare di delegare operazioni rilevabili a software esterni, ad esempio far scaricare un file al browser piuttosto che chiamare l'api di windows FileDownload oppure far eliminare file a CCleaner piuttosto che farlo direttamente tramite il malware.
Anche i crypter che decriptano il codice in runtime non sono esenti a questi controlli, l'unica soluzione è scrivere malware correttamente.
Clicca per espandere...

Un buon crypter che usi una delle molteplici varianti del metodo RunPE, implementando alcune modifiche, permette a qualsiasi exe malevole di passare il controllo Runtime.
 
Quello che dici tu ha senso se l'interezza del codice eseguibile fosse scritto dallo sviluppatore del malware.
Se fai una chiamata API di windows e decompili il codice, c'è o no il codice dell'api di windows? La risposta è no, viene solo richiamato e tu vedi solo la chiamata nell'eseguibile.
Adesso, il crypter cripta anche la dll delle api di windows? Ovviamente no. Quindi il codice malevolo viene eseguito quindi è rilevabile.
I metodi di rilevamento sono mostrati qui a grandi linee:
http://www-users.math.umn.edu/~math-sa-sara0050/space16/slides/space2016121708-06.pdf
Viene mostrato come i metodi di rilevamento si basano sulle chiamate API del sistema operativo.
 
Informaticage ha detto:
Quello che dici tu ha senso se l'interezza del codice eseguibile fosse scritto dallo sviluppatore del malware.
Se fai una chiamata API di windows e decompili il codice, c'è o no il codice dell'api di windows? La risposta è no, viene solo richiamato e tu vedi solo la chiamata nell'eseguibile.
Adesso, il crypter cripta anche la dll delle api di windows? Ovviamente no. Quindi il codice malevolo viene eseguito quindi è rilevabile.
I metodi di rilevamento sono mostrati qui a grandi linee:
http://www-users.math.umn.edu/~math-sa-sara0050/space16/slides/space2016121708-06.pdf
Viene mostrato come i metodi di rilevamento si basano sulle chiamate API del sistema operativo.
Clicca per espandere...

Hai presente come funziona il runpe method?
 
CryptoLab ha detto:
Hai presente come funziona il runpe method?
Clicca per espandere...
Yes, so anche come implementarlo, è praticamente spiegato sulla pagina MSDN.
Il problema è che algoritmi di rilevamento scansionano gli header PE di ogni processo in memoria centrale con l'immagine del processo nel suo percorso.
Quindi se file e processo non coincidono il processo viene immediatamente terminato.
L'implementazione di questo metodo è semplicissima ed è attuata da quasi tutti gli antivirus.
 
Informaticage ha detto:
Non è sufficiente, gli antivirus effettuano una analisi comportamentale sul codice in runtime.
Se un frammento di codice è considerato malevolo il malware verrà rilevato comunque, al massimo con un crypter fai qualche punteggio in meno su virustotal. L'unico modo è scrivere il malware e analizzarlo mano a mano che si aggiungono funzioni. Se una funzione lo rende rilevabile va riscritta in modo diverso o bisogna farne a meno.
Ad esempio che metti una chiamata a ProcessKill in un iterazione, o se una FileDelete senza scelta dell'utente è probabile che l'analisi comportamentale faccia il suo lavoro.
Se il malware invece utilizza una struttura simile ad altri malware rischia il rilevamento per analisi euristica.
Metodi efficaci sono l'inserimento di istruzioni di selezione morte, ad esempio la verifica dell'esistenza di un file che mai verrà creato con all'interno codice non malevolo.
Altra soluzione è dividere il malware in eseguibili diverse o dll, per evitare policy di sicurezza sui file scaricati può essere utile far compilare al malware porzioni di codice una volta avviato in locale usando software presenti già sul pc, come il compilatore .net su windows.
Cercare di delegare operazioni rilevabili a software esterni, ad esempio far scaricare un file al browser piuttosto che chiamare l'api di windows FileDownload oppure far eliminare file a CCleaner piuttosto che farlo direttamente tramite il malware.
Anche i crypter che decriptano il codice in runtime non sono esenti a questi controlli, l'unica soluzione è scrivere malware correttamente.
Clicca per espandere...
Ti devo confessare che non mi sono molto studiato questa cosa... Ma ti posso dire che su mpgh ho ricevuto molti RAT fuddati solo perchè hanno usato un crypter...

PS: Ovviamente su mpgh usato rat a pagamento che normalmente vengono rivelati da qualsiasi antivirus...
PPS: Ripeto che su questa cosa sono inesperto, quindi non potrò discutere con una persona che ne sa molto più di me.
 
Informaticage ha detto:
Non è sufficiente, gli antivirus effettuano una analisi comportamentale sul codice in runtime.
Se un frammento di codice è considerato malevolo il malware verrà rilevato comunque, al massimo con un crypter fai qualche punteggio in meno su virustotal. L'unico modo è scrivere il malware e analizzarlo mano a mano che si aggiungono funzioni. Se una funzione lo rende rilevabile va riscritta in modo diverso o bisogna farne a meno.
Ad esempio che metti una chiamata a ProcessKill in un iterazione, o se una FileDelete senza scelta dell'utente è probabile che l'analisi comportamentale faccia il suo lavoro.
Se il malware invece utilizza una struttura simile ad altri malware rischia il rilevamento per analisi euristica.
Metodi efficaci sono l'inserimento di istruzioni di selezione morte, ad esempio la verifica dell'esistenza di un file che mai verrà creato con all'interno codice non malevolo.
Altra soluzione è dividere il malware in eseguibili diverse o dll, per evitare policy di sicurezza sui file scaricati può essere utile far compilare al malware porzioni di codice una volta avviato in locale usando software presenti già sul pc, come il compilatore .net su windows.
Cercare di delegare operazioni rilevabili a software esterni, ad esempio far scaricare un file al browser piuttosto che chiamare l'api di windows FileDownload oppure far eliminare file a CCleaner piuttosto che farlo direttamente tramite il malware.
Anche i crypter che decriptano il codice in runtime non sono esenti a questi controlli, l'unica soluzione è scrivere malware correttamente.
Clicca per espandere...
Ti devo confessare che non mi sono molto studiato questa cosa... Ma ti posso dire che su mpgh ho ricevuto molti RAT fuddati solo perchè hanno usato un crypter...

PS: Ovviamente su mpgh usato rat a pagamento che normalmente vengono rivelati da qualsiasi antivirus...
PPS: Ripeto che su questa cosa sono inesperto, quindi non potrò discutere con una persona che ne sa molto più di me.
 
Attenzione, il crypter funziona! Un malware rilevato perché presente nei database degli antivirus smette di essere rilevato. Infatti i crypter vengono comunemente utilizzati, ma non per mandare in giro malware già rilevati.
Tuttavia i malware che entrano nei database ci finiscono perché inviati per analisi comportamentale dagli antivirus stessi, visto che il comportamento del malware cryptato è lo stesso, è destinato a tornare ad essere rilevato per lo stesso motivo.
Nella migliore delle ipotesi deve riavvenire tutta tiritera della malware analisis, deve entrare nelle firme ecc.. infatti è possibile che venga poi terminato dopo diverse ore di utilizzo.
Tu prendi il malware, cryptalo, lascialo girare su macchina virtuale. Dopo un po l'antivirus te lo termina. Il che significa che se tu hai un malware rilevato non puoi scampartela così facilmente. Se fosse così facile non verrebbero scritte decine di versioni di un malware che fanno la stessa cosa. E non sarebbero mai nati gli algoritmi polimorfici.
Pensa al vecchio Confiker.. Quante versioni sono state scritte? Parecchie. non bastava criptarlo? No perché se fa le stesse chiamate API e dopo poco tempo la analisi comportamentale rileva il comportamento uguale al malware originale e viene terminato.
Questione di tempo, e di poco tempo.
Se vuoi facciamo un esperimento, prendi un malware e criptalo e lo facciamo girare su una macchina virtuale con un antivirus qualunque.
Se ci vuoi provare scrivimi, tanto ho una virtual machine già pronta.
 
Informaticage ha detto:
Attenzione, il crypter funziona! Un malware rilevato perché presente nei database degli antivirus smette di essere rilevato. Infatti i crypter vengono comunemente utilizzati, ma non per mandare in giro malware già rilevati.
Tuttavia i malware che entrano nei database ci finiscono perché inviati per analisi comportamentale dagli antivirus stessi, visto che il comportamento del malware cryptato è lo stesso, è destinato a tornare ad essere rilevato per lo stesso motivo.
Nella migliore delle ipotesi deve riavvenire tutta tiritera della malware analisis, deve entrare nelle firme ecc.. infatti è possibile che venga poi terminato dopo diverse ore di utilizzo.
Tu prendi il malware, cryptalo, lascialo girare su macchina virtuale. Dopo un po l'antivirus te lo termina. Il che significa che se tu hai un malware rilevato non puoi scampartela così facilmente. Se fosse così facile non verrebbero scritte decine di versioni di un malware che fanno la stessa cosa. E non sarebbero mai nati gli algoritmi polimorfici.
Pensa al vecchio Confiker.. Quante versioni sono state scritte? Parecchie. non bastava criptarlo? No perché se fa le stesse chiamate API e dopo poco tempo la analisi comportamentale rileva il comportamento uguale al malware originale e viene terminato.
Questione di tempo, e di poco tempo.
Se vuoi facciamo un esperimento, prendi un malware e criptalo e lo facciamo girare su una macchina virtuale con un antivirus qualunque.
Se ci vuoi provare scrivimi, tanto ho una virtual machine già pronta.
Clicca per espandere...

È semplice. Un malware conosciuto da gli AV come dici tu, viene cryptato con una chiave, metodo nuovo è univoco, esso viene rilevato, ok basta cambiare Stub e modalità di criptazione. Anche se il malware resta obsoleto. Ti posso dare la prova se vuoi. Crea una rat con uno dei classici rat tools della situazione. Njrat ecc ecc ecc e poi io te lo rendo pulito e neutrale! Verrà rilevato, ok. Cambierò il codice della Stub inerente al mio Crypter è sara nuovamente pulito. Ps tutto ciò senza andare nei vera meccanismi di cosa è come lo faccio.


Inviato dal mio iPhone utilizzando Tapatalk
 
Per me, nel codice, l'importante sono chiamate ad applicazioni esterne a Windows. Ad esempio, per eliminare un file non si usa delete direttamente, ma si fa una chiamata ad un programma di terze parti, tipo CCleaner, etc.
 
Black_Mamba ha detto:
Per me, nel codice, l'importante sono chiamate ad applicazioni esterne a Windows. Ad esempio, per eliminare un file non si usa delete direttamente, ma si fa una chiamata ad un programma di terze parti, tipo CCleaner, etc.
Clicca per espandere...
Questo potrebbe essere utile, ma gli antivirus controllano queste chiamate, inoltre aggiungi 2 cose che un applicativo [e ancora peggio un malware] dovrebbe avere:
  1. dipendenze da parti terze: se non ha installato ccleaner [per esempio], non puoi effettuare cio'
  2. chiamate a risorse, programmi ecc... che l antivirus tende a controllare, inoltre lo sai se quel determinato applicativo ha i permessi per fare le varie cose che vuoi ?? [naturalmente non intendo a livello terra terra, ergo cancellare un file, ma cose piu' complesse]
Ad ogni modo, la cosa migliore e' stare attenti all' esecuzione del codice e a dove viene salvato il file per persistenza e l agent vero e proprio. Fatta attenzione a questo, con un po' di ingegno e con un buon codice modulare, puoi evitare rilevamento appena uno scarica il tuo file, poi se programmi bene il malware per infettare aggressivamente, l antivirus deve sudare per rimuoverlo.

PS: Qualche mese fa' comunque, qualcuno ha creato double agent, che sfruttando dll injection, injectava il codice malevolo nella interfaccia dell antivirus facendolo divenire un malware vero e proprio: in questo caso si sfruttavano le dipendenze e quella alla nel caricamento, ma avevano 2 certezze:
  1. riuscire a bypassare l av
  2. sapevano che la maggior parte degli utenti monta un av sul pc = dipendenze quasi sicure con privilegi elevati
Vedi qui double agent: https://github.com/Cybellum/DoubleAgent
 
Gorate ha detto:
Allora, innanzitutto, bisogna capire come lavorano le varie difese per contrastarle:
l analisi statica e' l analisi lenta che analizza per bene il file cosi' come e', cioe' appena lo scarichi, e senza eseguirlo; Questo processo e' piu' lento, e spesso e' reso inutile da semplici manovre quali offuscamento del codice, crypt o binding con altri file o compressione [vediti queste tecniche].
L analisi dinamica invece, analizza meglio l ambiente dopo l esecuzione del malware, e quindi processi, prestazioni, collegamenti, servizi attivi ed eventuali azioni secondarie, come esecuzione di codice secondario ecc......
Questo metodo e' utile dopo che il file infetto e' stato eseguito, ed e' piu' veloce ma meno preciso, ed e' ancora piu' difficile da bypassare per eventuali sandbox o ambienti controllati. Per ovviare, bisogna injectare il processo del malware nel processo di un applicazione comune e che non sia sospetta; Oltre a cio' , usa uno stub, che esegue il malware direttamente nella ram, ed evita cosi' sia un analisi statica, sia un analisi dinamica con ambiente controllato, poiche' potresti bypassarlo. Infine, vi e' l analisi ibrida: e' un ibrido fra statica e dinamica, ed e' usata poiche' riunisce gran parte dei vantaggi di entrambe, Le tecniche per bypassarlo, sono unirne piu' di una per evitare problemi, e inoltre vi e' un altro metodo: two-phase infection: fai scaricare un file che deve solo sistemare il sistema [scusami il gioco di parole lol], e poi scarica il malware vero e proprio; In questo modo, l analisi statica e' bypassata totalmente, e anche l hash-detection e altre tecniche usate per rilevare file infetti. [proprio perche' il file infetto ancora non e' presente nel malware]. Per evitare problemi con la rilevazione post-infection, usa un malware modulare, in modo che nel codice dello stesso file, non ci siano keylogger, credentials grabber ecc... che sarebbero subito rilevabili, ma falli scaricare ed eseguire one-time, in modo da evitare che sia possibile risalire al file infetto.
Clicca per espandere...
L'argomento mi interessa tantissimo, hai qualche riferimento a riguardo tipo link o libri?
 
Stato
Discussione chiusa ad ulteriori risposte.

DISCUSSIONI SIMILI

N
Discussione Gli errori più comuni che facilitano la strada agli hacker (Unix/Windows)
  • Chiuso
  • 3
  • 409
3
409
Sicurezza Informatica
Netcat
N
Discussione Come spacciare un C2 per una connessione normalissima, bypassando il firewall (social engineering - get pwned blue team)
  • Chiuso
  • 0
  • 296
0
296
Sicurezza Informatica
Netcat
0
Guida Cosa studiare per imparare l'Hacking e diventare un Ethical Hacker
  • In evidenza
  • 20
  • 13K
20
13K
Pentesting e Ethical Hacking Guide e Tools
Explosssive
Z
Gruppo di Guadagno GUADAGNO MATEMATICO! Crearsi una rendita mensile extra grazie al nostro servizio esclusivo!
  • Bumped
  • 29
  • 1K
29
1K
Guadagnare con Investimento
Zio Paperone
0
Guida I migliori libri per studiare l'Ethical Hacking e Penetration Testing nel 2024
  • Release
  • In evidenza
  • 29
  • 8K
29
8K
Pentesting e Ethical Hacking Guide e Tools
0xbro
Top Bottom
Indietro