Discussione Malware Come testare la capacità di evasione dei vostri virus e la truffa svelata di antiscan.me

Netcat

Utente Jade
17 Gennaio 2022
451
128
331
691
Cosa è antiscan.me? Si tratta di un servizio online che consente di fare 5 scansioni di un virus da voi generato, mettendolo sotto ai riflettori di ben 26 antivirus, prima di chiedere un pagamento. Il servizio promette di impegnarsi a non distribuire i risultati delle scansioni effettuate, tuttavia questa mattina, durante i miei esperimenti, mi sono fatto l'autopwn. Antiscan.me non è altro che un honeypot, allestito per attirare malware developer e convincerli con l'iganno a fornire un sample dei loro artefatti. Come l'ho scoperto?

Come tutte le altre mattine, prima di fare le altre cose ho verificato il mantenimento delle capacità d'evasione delle mie backdoor, sviluppate perlopiù in Go o in Python (a seconda di come mi gira). La conoscenza di questi due linguaggi di programmazione versatili e d'alto livello mi conferisce l'abilità di generare artefatti quasi irrilevabili, anche se per me è solo un'attività amatoriale. Durante il primo test sul mio PC locale, il signor Defender afferma che va tutto bene, il file non risulta infetto (definizioni dei virus aggiornate alla data dell'8 febbraio 2022 + Cloud attiva). Dopo aver scansionato lo stesso file su antiscan.me, però, il signor Defender afferma questa volta la dicitura "Backdoor-Win32/Golang", e io "wtf man?", fatto ciò, torno a testare lo stesso file sul mio computer locale (, e con mia sorpresa, dopo la scansione su antiscan.me il file risulta flaggato anche localmente, con la stessa nomenclatura riportata da antiscan.me. SCAM CONFIRMED. Antiscan? It's going to be ANTISCAM!

Possibili pensieri di chi potrebbe questionare questa condotta
"Ma il codice etico ti impone di distribuire il tuo file alle case produttrici di AV"

No, il codice etico non ha a che vedere con il rovinare il lavoro compiuto nel generare un virus in grado di scavalcare ogni layer di sicurezza di un AV. Il codice etico di un hacker, impone maturità e un minimo di rispetto per sé stessi, e per gli altri utenti. Che senso ha stare ore a scontrarsi con un terminale che restituisce continuamente errori per poi vedere tutto vanificato da una scansione? A me, l'idea, non entusiasma proprio.

"Se loro vogliono distribuire i risultati è per proteggere gli utenti!"
Mi dispiace deluderti, ma nessuna casa produttrice di AV ha realmente a cuore la sicurezza e la privacy dei propri utenti. Gli hacker white hat che lavorano per queste software house, purtroppo, non hanno il cappello così bianco. Documentatevi. Nello scorso decennio, Avast è stata segnalata per raccogliere dati sugli utenti di nascosto, per poi rivenderli ad agenzie pubblicitarie. Reperivano i loro dati di navigazione con il pretesto di installare un plugin per il browser, che a loro detta, serviva per monitorare la sicurezza dell'utente. Probabilmente uno dei migliori attacchi di social engineering che abbia mai conosciuto, li ammiro e li odio allo stesso tempo. Volete sapere quali sono le uniche cose che contano per le case produttrici di AV? La prima cosa è l'esistenza dei black hat, perché senza di loro non avrebbero più nessuno da "proteggere". Quali boomer proteggerebbero, se i criminali informatici smettessero d'esistere? La seconda cosa che vogliono, sono i vostri soldi. Del resto, non gli interessa davvero nulla. L'importante è che paghiate la sottoscrizione annuale per loro, come le brave pecore.

Detto questo, l'unico metodo attualmente viabile per testare i virus è creare un LAB con vari computer o di macchine virtuali su VirtualBox, installare su ciascuno di essi un antivirus diverso, e disabilitare le caselle di autocondivisione dei sample, incluse quelle di condivedere i vostri dati personali con le aziende dell'AV usato durante i test.
Avrei dovuto ascoltare quello che mi disse qualche settimana fa un mod di questo forum in privato, invece che relegarmi a quel sito di merd*. Non fate il mio stesso errore.
 
Detto questo, l'unico metodo attualmente viabile per testare i virus è creare un LAB con vari computer o di macchine virtuali su VirtualBox, installare su ciascuno di essi un antivirus diverso, e disabilitare le caselle di autocondivisione dei sample, incluse quelle di condivedere i vostri dati personali con le aziende dell'AV usato durante i test.
Avrei dovuto ascoltare quello che mi disse qualche settimana fa un mod di questo forum in privato, invece che relegarmi a quel sito di merd*. Non fate il mio stesso errore.
Yes condivido a pieno! Tempo fa lessi sul forum una cosa simile, però in quel caso di parlava di VirusTotal (che ormai è risaputo faccia sample sharing con tutti gli altri antivirus). Non fatevi scammare, tutti questi siti o strumenti che vi fanno scansioni multiple con diversi AV sono al 99% truffe che vi fanno bruciare il vostro sample (e fegato, ndr.).
L'unico modo attendibile è crearsi un proprio lab virtuale, come detto sopra, ed installarasi uno alla volta gli AV sui quali si interessa fare il test
 
VirusTotal non è una truffa infatti perchè dichiara pubblicamente che i risultati vengono distribuiti. Risulta utile solo in contesti in cui si vuole sventare un piano di infezione su larga scala di un black hat. Antiscan.me, afferma di non distribuire risultati, ma stamattina ho constatato il contrario. Alla larga.
 
Potete anche evitare lo sbattimento della creazione di un lab e controllare se l'hash del file in questione è presente nei database dei suddetti siti.
Così facendo non distribuite il file e potrete comunque sapere se è stato analizzato.
 
  • Mi piace
Reazioni: 0xbro
Potete anche evitare lo sbattimento della creazione di un lab e controllare se l'hash del file in questione è presente nei database dei suddetti siti.
Così facendo non distribuite il file e potrete comunque sapere se è stato analizzato.

Si può fare ma ci sono anche due cose da considerare: la prima dal punto di vista di forensic e attribution perché se non è ancora stato caricato sul sito lui salva il tuo IP e il timestamp e quando lo sarà setterà il campo First Seen alla data della tua query. La seconda è che potrebbe benissimo essere già rilevato dall'euristica di alcuni av senza essere mai stato caricato in cloud.
 
Si può fare ma ci sono anche due cose da considerare: la prima dal punto di vista di forensic e attribution perché se non è ancora stato caricato sul sito lui salva il tuo IP e il timestamp e quando lo sarà setterà il campo First Seen alla data della tua query. La seconda è che potrebbe benissimo essere già rilevato dall'euristica di alcuni av senza essere mai stato caricato in cloud.
Il primo problema si risolve facendo controllare l'hash direttamente dal client, il secondo diversificando i client.