Обход антивирусов. Антиэмуляция, обход сигнатур и все все все. Часть II.

Работающий пенсионер
Олдфаг
Статус
Оффлайн
Регистрация
9 Авг 2016
Сообщения
1,366
Реакции[?]
1,048
Поинты[?]
4K
ВНИМАНИЕ: Автор не призывает к нарушению УК РФ, а предоставляет информацию для общего развития. Автор не несёт ответственности за ваши действия.
В настоящее время, антивирусы все больше и больше зависят от динамического анализа, но для большинства из них это еще не так.

Из этого результата, моя цель заключается в том, чтобы найти методы, обхода антивируса и снизить оценку обнаружение до нуля.

Сложные методы

Существуют сложные способы обхода антивирусов, эти методы хорошо документированы. Важно знать их, но это не тема этой статьи. Эти сложные методы обычно используются в современной малвари не только для того, чтобы избежать обнаружения антивирусами.

1. Метод инъекции кода

Инъекция кода состоит во внедрении кода в другой процесс. В основном это делается с помощью DLL инъекции, но существуют и другие методы. Сложность этого метода заключается в том, что при инъекции кода мы должны найти способ выполнить нужный нам код, не загружаясь системой нормально (особенно, потому что базовый адрес постоянно меняется). DLL инъекция, работает только если подгружается DLL. При использовании инъекции кода, важно помнить, что код должен быть в состоянии модифицировать указатели памяти основанные на перемещении секций.

DLL инъекция и инъекция кода уже были описаны в интернете. Эти методы трудно воплощаются в жизни, поэтому их описание выходит за рамки этой статьи. Просто имейте в виду, что инъекция кода это хороший способ оставаться скрытым, но этот метод содержит много кода, который может быть опознан эвристическом анализатором как вредоносный.

2. Метод RunPE

Термин "RunPE" относится к способу, который состоит из запуска некоторого кода в другом процессе, заменяя код процесса, на код который вы хотите выполнить. Различие между инъекцией кода, это то, что при инъекции кода вы выполняете код в отдалённом процессе; в RunPE методе вы заменяете код удалённого процесса на тот, который вы хотите выполнить.
Вот краткий пример того, как он может работать, чтобы скрыть вредоносное ПО.

Представьте, что вредоносная программа упакована/зашифрована и вставлена в другой двоичный файл, предназначенный для загрузки (используя, например, связанные ресурсы). Когда загрузчик будет запущен, он:​
  • Создаст действующий системный процесс, используя, например, CreateProcess.
  • Прекратит проецировать память процесса, используя NtUnmapViewOfSection.
  • Заменить память, кодом малвари (используя WriteProcessMemory).
  • После возобновления процесса (используя ResumeThread) вредоносный код выполнится вместо процесса.
Заметка: Замещение памяти процесса невозможно, если процесс защищён с помощью DEP (
Пожалуйста, авторизуйтесь для просмотра ссылки.
).
В этом случае, вместо того, чтобы использовать метод RunPE, загрузчик может просто вызвать другой экземпляр самого себя и внедрить в него вредоносный код.

Поскольку модифицированный код написан самим злоумышленником, метод всегда будет работать (при условии, что загрузчик скомпилирован без DEP).

Простые, но эффективные методы

Теперь, когда мы обсудили некоторые сложные методы, давайте рассмотрим простые методы антиэмуляции.

Основное ограничение антивирусных сканеров - это время, в течение которого они могут потратить слишком много сил на что-либо. Простейший метод обхода антивируса состоит в том, чтобы забрать у него побольше времени, прежде чем вредоносный код будет расшифрован. Использование простой задержки Sleep, не приведёт к обходу антивируса, так как антивирусный эмулятор адаптирован к этому. Этот тип обхода называется «Предложение, от которого вы должны отказаться», потому что этот тип обхода налагает на антивирусы некоторый код, на который антивирусу потребуется много ресурсов, поэтому я уверен, что антивирус отстанет от нас до запуска зловредного кода.

Пример 1:
Выделение и заполнение 100 миллионов байтов памяти.
В этом примере, мы просто выделяем и заполняем 100 мегабайт памяти. Этого достаточно, для того, чтобы обескураживания любую антивирусную эмуляцию.


VirusTotal счёт:
0/55


Видите как легко избежать обнаружение антивирусом? Этот метод основан на классической и очень частой функции malloc. Ещё плюс в том, что нет никаких строк, на который можно было бы построить сигнатуру. Единственный недостаток, это то, что 100 мегабайт памяти сгорают, а это может быть обнаружено хорошей системой мониторинга.
Заметка: если вы не запустите часть с memset, то оценка будет 4/55.


Пример 2:
100 миллионная инкременция
Этот метод ещё легче. В данном случаем, мы используем for цикл, чтобы инкрементировать переменную счётчик 100 миллионнов раз. Этого достаточно, чтобы обойти антивирус, но это ничто для современного процессора. Человек не заметит никакой разницы между этим кодом и кодом без обхода.


VirusTotal счёт:
0/55

Ну, на этом всё. Спасибо за внимание. Продолжение следует.​
 
Последнее редактирование:
Cтранный и Апасный
Пользователь
Статус
Оффлайн
Регистрация
26 Янв 2017
Сообщения
418
Реакции[?]
101
Поинты[?]
0
ВНИМАНИЕ: Автор не призывает к нарушению УК РФ, а предоставляет информацию для общего развития. Автор не несёт ответственности за ваши действия.
В настоящее время, антивирусы все больше и больше зависят от динамического анализа, но для большинства из них это еще не так.

Из этого результата, моя цель заключается в том, чтобы найти методы, обхода антивируса и снизить оценку обнаружение до нуля.

Сложные методы

Существуют сложные способы обхода антивирусов, эти методы хорошо документированы. Важно знать их, но это не тема этой статьи. Эти сложные методы обычно используются в современной малвари не только для того, чтобы избежать обнаружения антивирусами.

1. Метод инъекции кода

Инъекция кода состоит во внедрении кода в другой процесс. В основном это делается с помощью DLL инъекции, но существуют и другие методы. Сложность этого метода заключается в том, что при инъекции кода мы должны найти способ выполнить нужный нам код, не загружаясь системой нормально (особенно, потому что базовый адрес постоянно меняется). DLL инъекция, работает только если подгружается DLL. При использовании инъекции кода, важно помнить, что код должен быть в состоянии модифицировать указатели памяти основанные на перемещении секций.

DLL инъекция и инъекция кода уже были описаны в интернете. Эти методы трудно воплощаются в жизни, поэтому их описание выходит за рамки этой статьи. Просто имейте в виду, что инъекция кода это хороший способ оставаться скрытым, но этот метод содержит много кода, который может быть опознан эвристическом анализатором как вредоносный.

2. Метод RunPE

Термин "RunPE" относится к способу, который состоит из запуска некоторого кода в другом процессе, заменяя код процесса, на код который вы хотите выполнить. Различие между инъекцией кода, это то, что при инъекции кода вы выполняете код в отдалённом процессе; в RunPE методе вы заменяете код удалённого процесса на тот, который вы хотите выполнить.
Вот краткий пример того, как он может работать, чтобы скрыть вредоносное ПО.

Представьте, что вредоносная программа упакована/зашифрована и вставлена в другой двоичный файл, предназначенный для загрузки (используя, например, связанные ресурсы). Когда загрузчик будет запущен, он:​
  • Создаст действующий системный процесс, используя, например, CreateProcess.
  • Прекратит проецировать память процесса, используя NtUnmapViewOfSection.
  • Заменить память, кодом малвари (используя WriteProcessMemory).
  • После возобновления процесса (используя ResumeThread) вредоносный код выполнится вместо процесса.
Заметка: Замещение памяти процесса невозможно, если процесс защищён с помощью DEP (
Пожалуйста, авторизуйтесь для просмотра ссылки.
).
В этом случае, вместо того, чтобы использовать метод RunPE, загрузчик может просто вызвать другой экземпляр самого себя и внедрить в него вредоносный код.

Поскольку модифицированный код написан самим злоумышленником, метод всегда будет работать (при условии, что загрузчик скомпилирован без DEP).

Простые, но эффективные методы

Теперь, когда мы обсудили некоторые сложные методы, давайте рассмотрим простые методы антиэмуляции.

Основное ограничение антивирусных сканеров - это время, в течение которого они могут потратить слишком много сил на что-либо. Простейший метод обхода антивируса состоит в том, чтобы забрать у него побольше времени, прежде чем вредоносный код будет расшифрован. Использование простой задержки Sleep, не приведёт к обходу антивируса, так как антивирусный эмулятор адаптирован к этому. Этот тип обхода называется «Предложение, от которого вы должны отказаться», потому что этот тип обхода налагает на антивирусы некоторый код, на который антивирусу потребуется много ресурсов, поэтому я уверен, что антивирус отстанет от нас до запуска зловредного кода.

Пример 1:
Выделение и заполнение 100 миллионов байтов памяти.
В этом примере, мы просто выделяем и заполняем 100 мегабайт памяти. Этого достаточно, для того, чтобы обескураживания любую антивирусную эмуляцию.


VirusTotal счёт:
0/55


Видите как легко избежать обнаружение антивирусом? Этот метод основан на классической и очень частой функции malloc. Ещё плюс в том, что нет никаких строк, на который можно было бы построить сигнатуру. Единственный недостаток, это то, что 100 мегабайт памяти сгорают, а это может быть обнаружено хорошей системой мониторинга.
Заметка: если вы не запустите часть с memset, то оценка будет 4/55.


Пример 2:
100 миллионная инкременция
Этот метод ещё легче. В данном случаем, мы используем for цикл, чтобы инкрементировать переменную счётчик 100 миллионнов раз. Этого достаточно, чтобы обойти антивирус, но это ничто для современного процессора. Человек не заметит никакой разницы между этим кодом и кодом без обхода.


VirusTotal счёт:
0/55

Ну, на этом всё. Спасибо за внимание. Продолжение следует.​
Нифигасе ты быстро строчишь, ждём третий части))) можно уже свою книгу писать "вирусология с 0" маскируем троян...
 
Работающий пенсионер
Олдфаг
Статус
Оффлайн
Регистрация
9 Авг 2016
Сообщения
1,366
Реакции[?]
1,048
Поинты[?]
4K
Нифигасе ты быстро строчишь, ждём третий части))) можно уже свою книгу писать "вирусология с 0" маскируем троян...
Третьей сегодня скорее всего не будет, если только ближе к вечеру)
 
Сверху Снизу