Из за чего появляются детекты ВД (Wacatak Sabsik Wacapew)?

[Detools]

Тема о которой я нашел очень мало инфы в интернете, хотелось бы поинтересоваться у вас. Может быть кто знает. Прилетает вакапев детект потом как морфи код как его не меняй все равно вд помечает вакапом. Может знает кто как фиксить?

 

[Barmaleus]

Тема о которой я нашел очень мало инфы в интернете, хотелось бы поинтересоваться у вас. Может быть кто знает. Прилетает вакапев детект потом как морфи код как его не меняй все равно вд помечает вакапом. Может знает кто как фиксить?

Поведение и сигнатуры.

 

[Brejnev]

это статика. энтропия, импорт, сигнатуры

 

[stalkerDz]

I had faced those detection alot and i insure u that its all behaviour based detection

 

[xChimera]

Эмулятор, AI-х#йня, облако в основном
Импорты сигнатуры и тд само собой
Да и по приколу тоже детекты ебашит

 

[yslvintage]

Эмулятор, AI-х#йня, облако в основном

К сожалению, все намного проще

 

[Billboard]

К сожалению, все намного проще

Выебнуться что шаришь - Вместо того что бы объяснить

 

[yslvintage]

Выебнуться что шаришь - Вместо того что бы объяснить

Как мне говорили на дамаге "открой mpengine.dll в IDA и сразу все станет понятно". В целом стало понятно, но не сразу. Плюсом майки еще и pdb поставляют (жаль что с задержкой и приходится ждать), очень вкусно.

Если коротко подводить итог по этим детектам:
1. Они анализируют похожесть файла с теми, что есть в базе (их вносит туда индус руками), ломать ее очень легко (как - думай сам, я не мать тереза).
2. Есть анализ аномалий в бинарнике, тут только играться и тестировать.
3. За поведение в эмуляторе не знаю - я его просто ломаю, эмулятор доисторический и отдает очень много невалидной на данный момент информации.

А так совет - весь форум кишит дизинформацией, если ты напишешь Wacatac в поиск - 99% информации будет фейком, да и я могу ошибаться где-то (мои бинарники фудовые на вд уже месяц пролива без какого-либо "крипта"). Потому советую думать своими мозгами.

 

[Brejnev]

Плюсом майки еще и pdb поставляют (жаль что с задержкой и приходится ждать), очень вкусно.

- не поделишься с сообществом?

 

[yslvintage]

- не поделишься с сообществом?

К сожалению, базу иды случайно снес. Они публикуют PDB с задержкой в ~месяц, потому остается только копировать mpengine и ждать

 

[2x2 LTD]

Поведение и сигнатуры.

доброго дня ,посмотрите лс !

 

[stonedgeek]

Cloud-based ML analysis. Shellcode or unpacked payloads in RAM. execution of suspicious scripts or processes. Code similiarity to known malware signatures (string patterns, function calls, section headers, etc.).

 

[yslvintage]

Cloud-based ML analysis. Shellcode or unpacked payloads in RAM. execution of suspicious scripts or processes. Code similiarity to known malware signatures (string patterns, function calls, section headers, etc.).

Have you ever looked at Windows Defender Cloud payload/decompilation? Or you just make assumptions based on signals from the space?

 

[InCrease]

Все сложнее.
wacatac!** это детект низкорепутационного файла с zone=3, скачанного на Х компьютеров с небольшого подмножества сайтов Z.

 

[yslvintage]

Все сложнее.
wacatac!** это детект низкорепутационного файла с zone=3, скачанного на Х компьютеров с небольшого подмножества сайтов Z.

Откуда вы такие эксперты беретесь... Вы хоть раз тестировали/чистили клауд детекты? Откуда вы эту информацию берете?

 

[Apocalypse]

Ты конечно зря быканул, часть правды в его словах есть, не зря же он лоадер продает.

 

[yslvintage]

Ты конечно зря быканул, часть правды в его словах есть, не зря же он лоадер продает.

То что он продает свой лоадер это круто.
Из примеров - люмму все восхваляли, но потом ты смотришь их билд а там OLLVMчик и 40 детектов с нуля на билде, и самый простой детект от WD, о чем мы говорим?)

Из самого простого - Wacatac вешается на файл, даже если ты его перекидываешь на вмку через копирование. Какие скачки с веба, какие трасты? Это детект именно PE файла, а не методов его распространения