Малварь и AI

[nonameboy]

Whisper
Нет) все будет проще...
Будет белый список и стор от мс на 10. Все. Если файло не подписано, то все - досвидули. Как и с дровами на 64 битах. Сколько там боролись с рк в р0 - рустоки всякие, гапсы и проче, насилие над ядром, ав пыхтели, все расхучивали... А мс просто выкатила запрет на загрузку без серта и все....

Более того... Уже есть vbs (не путать со скриптами) - безопасность на базе виртуализации. Там тупо 2 ядра уже.. Да что там. HVCI на базе slat не дасть ntdll запатчить - ты из р3 не сможешь сделать ничего и никак (ну только если скопировать секцию кода и дернуть что надо, но не фильтрануть)...

Если к вбс прикрепять анализ телеметрии на базе ии - это прям супер ботнет!

 

[Dendy]

вот почитал топик, следил.

и ни разу не было по мобилы.
вы представляете что скоро не будет компов? и это не размышление , это стата по биржам.

может ктото на завод собрался, а мне вот больше интересно изучение baseband чем ядра винды.

 

[nonameboy]

вы представляете что скоро не будет компов?

Сжечь еретика!

и ни разу не было по мобилы.

Ну вот ты первый и вбросил...

Хотя я и кожу под никсы, но только сетевое, все остальное для меня мрак в плане секурити там. Лично я про андроед ничего не могу сказать. Хотя пячил сорцы фуксии - мне понравились

 

[Whisper]

nonameboy
Скажи учитель - куда податься бедному ронину? ведь мы честь пока не уронили, у нас еще есть дух и славные деяния предков.

 

[nonameboy]

Whisper
Слух... ну какой я тичер.. ты вогнал меня в краску... я стесняюсь.. все я ушел

 

[demu]

Смешные. Как ваши серты и ИИ помогут от рце в SMB с in-memory малварью по типу импланта DoublePulsar? Никак
Малварь будет жить вечно. Просто всякие крабы, ревилы, и прочие церберы с трикботами и дридексами будут заниматься чем-то другим. А конкретно - ебать телочек на островах. А остальные будут через сплойты по тихому работать. Все.

Те кто не могут уйдут программистами в белую, либо будут заниматься другими белыми темами, где средняя ЗП уже превысила доходы от продажи говносмоков с амадеями. А вот кардерам пиздец, да.

 

[nonameboy]

А конкретно - ебать телочек на островах.

Это очень сильная аллегория... но я не осилил =(

ИИ помогут от рце в SMB с in-memory малварью по типу импланта DoublePulsar

А должен? Он должен помочь там где может, а именно поиск аномалий в данных наприме, чтобы не дрочить все правилами, биометрия - чтобы понять кто перед тобой. Ну это в идеале.
То что описал ты - это из другой степи ИМХО

 

[Whisper]

demu
Допустим вы правы, какой вы видите цену трафа? как легко будет этот траф добыть, что на счет жевучести командных серверов, чем собственно вы будуте отбивать вложенное время и денежку?
А еще с кардерами сдохнет инфраструктура, дропы ботоводы и вся прочая дребедень. уже сейчас на форумах тухленько а то ли еще будет.

 

[demu]

demu
Допустим вы правы, какой вы видите цену трафа? как легко будет этот траф добыть, что на счет жевучести командных серверов, чем собственно вы будуте отбивать вложенное время и денежку?
А еще с кардерами сдохнет инфраструктура, дропы ботоводы и вся прочая дребедень. уже сейчас на форумах тухленько а то ли еще будет.

никто не будет продавать инсталлы. Траф возможно. Обработка под % будет, уверен. Техник уйма, вы слишком узкомысленно мыслите. Спам по почте, биржи и связки. Больше в паблике ни у кого идей то и нет. На деле белая стоимость трафа будет падать, так как с тем же ИИ станет гораздо сложнее генерировать кучу ботов и следовательно КПД будет выше. Доля трафика в интернете будет расти. Если кто-то придумает способ конверта трафика в инсталлы - молодец, съест все соки. А пока на будущее загадывать рано. Инертность у корпоративного сектора слишком высокая. Мгогим не позволит параноя или политики безопаности уходить в облака. У тех же бигов фильтры почтовые гораздо слабее для корпоративных решений, нежели для персональных. Ничего не изменится, тема не умрет. Заебали ныть.

Уже с 2000-х годов ноют что тема умрет. О БЛЯ серты ввели, инфекторы померли. Дотнет, что? Бляя UAC нам пизда. Епт а это что, Integrity level? Ух все жесть. Епт, они ввели смартскрин. Нам пизда. Ебать, UWP и контеризация, вот сейчас то точно пизда.

И это у кодеров. У кардеров аналогичная история, только со своими терминами. О бля 3D-secure, нам пизда. О бля 2FA нам пизда. Сцуко, антифрод палит сферу, все прошла эпоха(((

Хоть че то из этого сбылось? А теперь давайте подумаем о следующем.

Какая вероятность, что сбудется сегодняшняя тема, которая кратко описывается: о ИИ, бля нам пизда. По тому же паттерну, что и многочисленные паники раньше.

 

[demu]

вы как ванги которые пророчат конец света и всегда проебываются. Хоть один прогноз апокалипсиса будет верен? Или в 2030 будут говорить: бля вход в инет по биометрии, нам пизда. И опять не сбудется?

 

[nonameboy]

о ИИ, бля нам пизда.

ну это ты сгоряча лупанул. такого не было. ты слишком аггресивен. в этом топеге приветствуются лучи добра!

Уже с 2000-х годов ноют что тема умрет.

Но она сильно поменялась. Не отрицай.

О БЛЯ серты ввели, инфекторы померли.

Для многих это значило очень многое. Очень.

Дотнет, что? Бляя UAC нам пизда. Епт а это что, Integrity level? Ух все жесть. Епт, они ввели смартскрин. Нам пизда.

А вот про это уже нет. Не ныли.

вы как ванги которые пророчат конец света и всегда проебываются.

конец света нет, но измениться многое. опять.

take it easy bro

 

[Whisper]

Ну так не сомневайтесь пезда и есть, сравните легкость и объемы доходов лет 10-15 назад и сейчас, а ведь трудности отсеяли многих, конкуренции явно меньше
а значит сейчас для тех кто работает должно быть все сильно жирнее в плане навара чем 10-15лет назад.
А сколько форумов и движухи было 15 лет назад...тендеции того.., писец у ворот.
А правда такова что для того что бы 2% которых мы назовем китами как то жили, должно быть вокруг дохуя планктона....того самого которому пиздец.
Чуствую я вы с инде будете последними из колхозных магикан =)

 

[demu]

А вот про это уже нет. Не ныли.

Значит это было только в моем кругу общения. Я как и многие тогда обосрался от введение integrity level в процессы.

ну это ты сгоряча лупанул. такого не было. ты слишком аггресивен. в этом топеге приветствуются лучи добра!

А что я сейчас вижу в теме? Или мне показалось?

Для многих это значило очень многое. Очень.

Инфекторы живее всех живых.

Чуствую я вы с инде будете последними из колхозных магикан =)

Инде-клерк к блеку или vx никогда не имел отношения. Только к солям и спайсам.

По факту, говорят вот многое изменилось. Типа инфекторы якобы умерли, ввели серты.

Открываем новости. Читаем в конце 2017 года про новую версию Expiro который появился в 2003

Page Not Found

securingtomorrow.mcafee.com

Читаем в 2018 году про кернелмод руткит с юзермод ратником

The Slingshot APT FAQ

While analyzing some memory dumps suspicious of being infected with a keylogger, we identified a library containing strings to interact with a virtual file system. This turned out to be a malicious loader internally named “Slingshot”.

securelist.com

Или например про уефикит
https://xakep.ru/2018/09/28/lojax/

или просто смотрим на размер ботнета Emotet

И понимаем что тема не изменилась. Из темы ушли только те, которым на нее было всегда насрать.

 

[Whisper]

А evil-phreak? вы такого помните?
А еще скажите какой самый крутой файловый инфектор вы знаете?

 

[demu]

А evil-phreak? вы такого помните?
А еще скажите какой самый крутой файловый инфектор вы знаете?

газават и салити

С чего вдруг EvilPhreak вспомнил? Не ты ли? Ну был такой на васме во времена когда еще great был жив, и что с того?

 

[Whisper]

Это не инфекторы это дрисня какая то.
Gazavat
Virus:Win32/Expiro.S infects files by appending its virus code to these files. It may then create a copy of the infected file using the same file name but with the extension IVR. For example, if this virus infects the file "calc.exe", this virus may create an infected copy as "calc.ivr".

Sality
Infection
W32.Sality will infect executable files on local, removable and remote shared drives. It replaces the original host code at the entry point of the executable to redirect execution to the polymorphic viral code, which has been encrypted and inserted in the last section of the host file.

 

[Bozon]

ну это ты сгоряча лупанул. такого не было. ты слишком аггресивен. в этом топеге приветствуются лучи добра!

demu, второй уже человек(после меня) про агрессию намекает тебе

По теме:
Каждый файл, содержит в себе так или иначе детерминированный код со множеством ветвлений, условий и проч.
В отдельных случаях(лоадеры) код подгружается из интернета или собирается из либ(dll, etc).

Сперва, друзья, нужен базис - основы или идея, на которой построится целая ИИ индустрия вирусов.

А также направления применения - анализ активности пользователя(для отсева АВ), определение типа пользователя(геймер, офисный работник, домохозяйка и проч.), общение с пользователями в соцсетях(скажем, впаривание файлов под видом красивой девушки/парня, ведение диалога), скам-проекты(подделка и имитация селебрити-личностей(deepfake: видео, аудиопотоки) и последующая обработка толпы - опять впариваем файлы :smile46.
Да и тот же дроппер можно заставить отработать при опр. условиях only - раньше было time-lapse cryptography(отложенный запуск), хэширование строк из ProgramFiles(и послед. расшифровка участка кода, в случае наличия опр. программы или папки), а теперь ИИ с нейронкой - анализ видеопотока(что открывает юзер, скажем браузер, офисное приложение, читалку и т.п) и от хэша картинок полученных(perceptual хэшинг) уже расшифровывать участок кода.

Да о чем я говорю... Почему ИИ не может порождать агента-разведчика, намеренно провоцирующего АВ систему для выявления обратной реакции ?
Раз у интеллекта нет возможности(или есть) реверсить и изучить алгоритм детекта малвари, то возможно лучше создать идеальный и недетектируемый "алгоритм" работы, который бы не агрил АВ систему.
Z0mbie о чем-то подобном писал ранее: http://z0mbie.daemonlab.org/automaton.txt (конечные автоматы), http://z0mbie.daemonlab.org/dpgn_rus.txt (отложенный запуск)

или вот еще одна достойная выдержка из записки "О ТОМ, КАК НАЕБНУТЬ ЭВРИСТИК":

Ладно, вернемся к эвристику.
Идеальный эвристик - суть нейронная сетка, натренированная на
опознавание всех известных вирусов и неопознавание всех известных
программ. Пусть сенсорами являются кусочки некого алгоритма, распознающие
те или иные свойства объекта - вируса или программы. О каждом из этих
свойств мы будем знать тогда некое число. Чем больше свойств - тем лучше.
Вполне возможно чтобы свойства задавал человек; однако я считаю идеальным
определять их также автоматически, рассматривая объекты как наборы
инструкций и параллельно - функциональных вызовов. Ну да х#й с ними. Важно
вот что. Пусть есть N критериев, и на каждый по числу. Это суть вектор,
коим и будет определяться рассматриваемый объект с точки зрения нейронной
сетки. И задачей сетки будет выдать результат - число от 0 до 1
включительно, определяющее вероятнось принадлежности объекта к вирусам
либо программам. Ясно, что ровно 0 и 1 будут соответствовать какому-то из
известных объектов, на котором сетка обучалась. Можно пойти еще дальше, и
выдавать не одно значение, а сразу с многих выходных нейронов снимать
компоненты вектора, определяющие отношение распознанного объекта к
программам, вирусам, tsr-вирусам, com-вирусам, и прочим сущностям, на коих
сетка будет обучена отдельно. В рассмотренном случае все пространство
N-мерно, и нечетко поделено на области программ, вирусов и прочих классов.
И сетка будет просто определять расстояния между N-мерным вектором,
определящим рассматриваемый объект, и ближайшими к нему векторами
известных объектов; и на основе разностей этих векторов строить результат.
На практике это выглядит так: некой проге на вход подаются 10 тысяч
вирусов и 10 тысяч обычных программ, она их все заглатывает, переваривает,
и высирает некий файл данных. Затем, при проверке, прога, используя этот
же файлик, определяет сходство проверяемого объекта с уже известными и
говорит вероятность попадания в класс вирусов. Юзер ставит планку: 70%
"похожести" -- пиздец.

Но до таких мудрствований данилову с каспером крайне далеко, так что
не будем забивать себе голову х#йней. Обходится такая "идеальная"
эвристика максимально возможной "подстройкой" под уже известную "хорошую"
программу, а также обманом "сенсоров": сокрытием вирусного кода в коде
программы.

 

[Whisper]

Конечные автоматы прекрасны, но избыточность операций для ии будет поводом для детекта, и пойдут нахуй все обфускации с полиморфами и прочей дребеденью.

 

[Bozon]

Конечные автоматы прекрасны, но избыточность операций для ии будет поводом для детекта, и пойдут нахуй все обфускации с полиморфами и прочей дребеденью.

Важно сейчас не проектировать плохо дизассемблируемый код, который будет очевидно задетектирован из-за обилия блоков опкодов специфичных - а новичкам в этой области прочитать идеи.
Все новое - это хорошо забытое старое.

 

[nonameboy]

Инфекторы живее всех живых.

В своем каноничном виде они ушли. Твои примеры не канают. Где вири уровня мистфаль, вирут итд итп.. Что ты будешь инфектить, те в каноноичном виде? Инфектор - это заражение файла и его репликация по не зараженным.

Инде-клерк к блеку или vx никогда не имел отношения. Только к солям и спайсам.

Ну он вбросил пару годных идей на самом деле. Просто он упоротый... к сожалению.

Я как и многие тогда обосрался от введение integrity level в процессы.

На том этапе - это уже приняли как должное.

Z0mbie

Куда же без зомбы в трэде! =)