Обсуждение будущего Windows-малвари.
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Будущее малвари ?
- Автор темы KAHRAMAN 404
- Дата начала
Все прекрасно знают, что в моём понимании хорошо и это точно не петон, сишарп или прочая ява-шляпа. Это точно не локеры и не стилеры, потому что это конечная, в принципе мы уже на этом этапе. Думаю закат малвари уже рядом, остаются только взломы и кража инфы.
а что тогда? банкботы? формграбберы? лоадеры?
Уверен? Думаю нет.
Если аверы так хотели бы выпилить малварь, то они сделали бы еще лет 10 назад.
Что мешает хукать на ринг0 каждую свежеприготовленную прогу? Отправлять сразу на облако? Прогонять через гипервизоры?
Тот же инжект 20 летней давности каспер пропускает, а тут обошли протект аваста пассов сисколами ринг3 (карл, ринг3, не драйвера). О чем речь?
Уверен, что лет через 5 когда intel sgx будет во многих пк, а юзеры перейдут на 10, то спокойно можно юзать анклавы (CreateEnclave доступен уже с 10 венды, но тут еще нужно чекать поколоение процесса), тогда на детект в памяти станет пакую.
Малварь будет жить, иначе многолямная индустрия аверов разрушится, десятки тысячи спецов останутся без работы, так же сми и прочяя нечисть.
А если считаешь, что не так, то обосуню что к чему
Малварь умирает, и это факт. Просто вспоминаю 2011 год (хотя бы), как тогда было хорошо. Тогда любой школьник нефиг дела мог поднять ботнет на 20-50к машин, тупо купив "микс азия" за 10баксов штука. Тогда крипт жил месяцами , даже runPe, а лоадпе так вообще вечно, ибо сканеров памяти не было. Тогда облако было вроде как только у аваста (evo-gen, и то). Авира напрягала сильно крипторов , но опять же - авера можно было реверснуть, алгоритм был не где-то там в облаке, а тут , в бинарнике. Тогда связки пробивали 15-20% браузеров, не было UAC и прочей фигни. Большинство ОС были 32 битными, как и браузеры. Да ладно, что говорить - плохо сейчас, и это факт, я согласен что закат малвари. Аверы и вендоры понемногу убивают все. Недаром локерщики, у которых 100500 баксов, удаляют авера с машины, а не вкладывают бабки в "опход", потому что обхода Софоса/Симантека/каспера на максималках НЕТ.
Да, есть люди типа Инди или еще какие теоретики с блогов, что постят РоС вида "обошел все антивирусы и скачал ххх.ехе с инета". В теории оно все просто, да. А запилите на практике, тем более не бесплатно - множество людей ищут за достойную зп криптовщиков , кодеров и прочих гениев. Но нет никого.
Да, есть люди типа Инди или еще какие теоретики с блогов, что постят РоС вида "обошел все антивирусы и скачал ххх.ехе с инета". В теории оно все просто, да. А запилите на практике, тем более не бесплатно - множество людей ищут за достойную зп криптовщиков , кодеров и прочих гениев. Но нет никого.
Это не малвари закат а отсутвие новых спецов заряженных идеями, которые могут и умеют делится знаниями. Вон поглядите что хочет новая шкила и впомните что хотели вы в 2000. Сейчас им стиллеры да хвнц на петоне подовай. Не учатся ничему некоторые и учиться не хотят. Кина американского насмотрелись или крышу срывает от жадности. Ты ему про аномалии, он тебе про хабар. Ни о чем думать не хотят, кроме бабок. Пока кишки по веткам не разбросает. Классика тех лет.
И что же по твоему мнению будет актуально в будущем?
Всё, там где сами отдают.
Поспорим, что лет через 5-8 скажешь, что в 2021 году вырубались аверы вручную, брутили дедики, визор не был таким ахеренным и дрова можно было подгрузить и пачгард обойти. Всё меняется и становится сложнее, но дыры по-любому будут, вопрос только какой у тебя бекграунд, чтоб докопаться до этого кейса.
P.s. жути не нагоняй пацанам)
а как же аутоит ?
Он хотя бы компилируемый и не тянет за собой овер 200 метров
Да потому что сейчас стало много белой темы, слишком много, даже если посмотреть те же вакансии у каспера, там просто какой-то клондайк: https://career.habr.com/companies/kaspersky/vacancies
Хотя судя по отзывам не всё так радужно, однако специалистам в любом случае надо куда-то пристраиваться, деньги то нужны: https://otrude.net/employers/25980
Всё что связано с обналом, ибо наличку ? будут прижимать в дальнейшем ещё сильнее, контроль за оборотом финансов будет усливаться с каждым годом, пока окончательно всё не перейдёт в цифру... ?
и все же писать на нем - это дичь)
Локеры и то до поры до времени, ну может ещё проксиботы под рекламный спам и прочую сео-накрутку. Возможно какие-то РАТники для разведки и т.п. Стилеры и банкотрои вымирают, т.к все вкусные ресурсы переходят на двухфакторку и усиленный антифрод (по сравнению с тем, что было). Ддос - я хз кому он нужен в 2021. Майнеры - говнище бесполезное для школоты. Что ещё осталось?
Ну как бы они уже вымерли. Ни какой криптор даже на пш не спасет ситуацию. Тупо вырубают аверов и разворачивают лохер. Как думаешь, почему ревил заинтересован не в доступах или адвертах, а в пентестерах? Ну ты понял.
Стилером не обналишь, согласен. Но все зависит от многих факторов. Включена ли двухфакторка, если по мылу, то можно ли зайти в мыло, гео, настройки самих аккаунтов. Мне например без б удается зайти в палку и перепривязать, если она стоит на каком-то мыле, потому что мыло в 80% пропускает в себя. Такая же шляпа с фб.
Но сказать, банктрои вымирают - это сильно. Ща хвнц налит почти любую платежную систему, или она не входит в состав банкбота? Те же веб инжекты дают просто невероятную гибкость. А что в теории мешает абортить исходящий запрос, менять данные и отправлять? Ничего.
Ты ни хера не смотришь со стороны юзабельности. ИБ тупо пытается удержать баланс между безопасностью и юзабельностью. Очень не удобно когда в палку заходишь каждый день, а тебя просят через почту, телефон,
Такая же х#йня с комодой. Бесспорно сильный авер, ничего не пропускает. Страшный сон задротера-малварь писателся.
Но это такая тупая хрень, что детектит белые программы, постоянные алерты, что не очень удобно.
В 2000 баги открывались легко и просто, тогда любой школьник с базовым знанием бейсика мог вызвать эпидемию. Тогда выходили , скажем так, лпе и рце под любую фигню, да еще в 2006 взломать сайт / почту было просто. А сейчас взломай вот гмейл.
Не знаю, мне сложно загадывать; пока тенденция к воровству инфы, даже локеры стремятся не столько зашифровать, а выкачать, и шантажировать. Ддос и майнеры точно сдохнут (точнее, уже сдохли), банк боты - хз. Может, на телефонах будет с них польза, но про андройд-малварь я ничего не скажу.
Вообще, СИ будет актуальна всегда. Вот взять те же загрузки - когда-то были связки, а сейчас, когда бьется один ишак на семерке (образно говоря), со связок толку мало. Но - "читы для гта5" или проги для криптоинвесторов заходят на ура, люди сами качают, запускают , отключают авер. Только опять же - до поры до времени. На айфоне скажем ты хрен что установишь.
Так чего спорить) Ес-но скажу. В 2026 для запуска любой проги на винде нужна будет личная цифровая подпись, и получать разрешения, как на андройде, а попасть в ядро смогут лишь Избранные. Вызывать винапи будет запрещено в 2025 году, как потенциально опасный неконтролируемый код, переведут всех на какой-то урезанный дотнет / winRT и будет малварь разве что в АРТ / воспоминаниях олдфагов.
Твои прогнозы, сколько осталось до самого конца малвари?
Откуда знать когда какую технологию внедрят, которая порушит то что есть сейчас.
Не могу знать, да и врядли будет такой прям резкий конец. Просто с каждым днем все ужесточают и ужесточают.
А вообще, это бесполезный спор, негатив. Каждому своё, мб я просто нуб , а у кого-то есть обходы для облака симантека , какие-то ML крипторы или морферы , хз.
Написал свой вм и под него морфер, и там крутишь нечисть
Вуаля xD
Загрузчик ВМ тоже надо чистить.