Discussione Malware nascondere coinminer da antivirus

Ordina per data Ordina commenti per reazioni
J

jack06

Utente Iron
31 Gennaio 2021
4
3
1
8
ciao a tutti!
ho questo eseguibile che è un silent coinminer, il problema è che nonostante sia del 2020, è conosciuto ad alcuni antivirus, ho modificato un po' l'eseguibile con notepad++ (solo ciò che era rimasto comprensibile e modificabile dato che è stato offuscato con upx) e ora gli antivirus che me lo trovano sono diminuiti molto (su virus total me lo trovano 14 antivirus su 70, il problema è che sono gli antivirus più comuni come avast ecc)
se ora confronto le cifre di hash che vengono con il file modificato da me e le comparo con le cifre di hash che vengono fuori dal file originale sono tutte differenti tranne la SizeHash-32 che rimane la stessa (penso sia quella a fregarmi?)avete qualche consiglio su come poterlo modificare/nascondere da tutti gli antivirus?
 
Preambolo: Nel momento in cui sottometti un eseguibile mai visto a Virustotal, questo diventa noto e la signature viene sincronizzata con tutti gli altri antivirus. Se devi testare il detection-rate di binari "nuovi" scarica le demo degli antivirus e fai dei test in locale, non utilizzare virustotal.

Gli antivirus non lavorano solo con gli hash e la detection statica ma anche e soprattutto con analisi dinamica, per cui molto probabilmente le detection rimanenti derivano da analisi dinamiche (Heuristic-based e behavioural-based).
Non sono un esperto nel rendere malware FUD, ma puoi provare ad utilizzare un altro Obfiscator oppure direttamente dei crypter (in modo che tutte le signature siano differenti e anche il codice stesso sia irriconoscibile).
Tecniche di evasione a run-time sono chiamate "in memory injection" e consistono nell'iniettare del codice malevolo direttamente in memoria. Ci sono diverse tecniche (Process Hollowing, Remote Process Memory Injection, Reflective DLL Injection), ti consiglio però di documentarti meglio online
 
  • Mi piace
Reazioni: hck2009
0xbro ha detto:
Preambolo: Nel momento in cui sottometti un eseguibile mai visto a Virustotal, questo diventa noto e la signature viene sincronizzata con tutti gli altri antivirus. Se devi testare il detection-rate di binari "nuovi" scarica le demo degli antivirus e fai dei test in locale, non utilizzare virustotal.

Gli antivirus non lavorano solo con gli hash e la detection statica ma anche e soprattutto con analisi dinamica, per cui molto probabilmente le detection rimanenti derivano da analisi dinamiche (Heuristic-based e behavioural-based).
Non sono un esperto nel rendere malware FUD, ma puoi provare ad utilizzare un altro Obfiscator oppure direttamente dei crypter (in modo che tutte le signature siano differenti e anche il codice stesso sia irriconoscibile).
Tecniche di evasione a run-time sono chiamate "in memory injection" e consistono nell'iniettare del codice malevolo direttamente in memoria. Ci sono diverse tecniche (Process Hollowing, Remote Process Memory Injection, Reflective DLL Injection), ti consiglio però di documentarti meglio online
Clicca per espandere...
Molto interessante, non mi ero mai avvicinato e mai studiato il rilevamento degli antivirus!! Sará il mio quinto hobby. Grazie!
 
  • Mi piace
Reazioni: 0xbro

DISCUSSIONI SIMILI

D
Guida Tutte le tipologie di connessione e le differenze: Adsl, Vdsl, Fibra FTTC o FTTH?
  • 6
  • 866
6
866
Manuali di Informatica e Reti
DjCanigia
Top Bottom
Indietro