Или смотреть в сторону андройд малвари, подозреваю что на андроиде вообще никто не обновляется почти, ну и не ставят антивирусы.
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Статья Немного о рынке малвари
- Автор темы Quake3
- Дата начала
Криптом убрать рантайм можно только точечно, то есть это не универсальный крипт, да и это не крипт по большей части, а просто чистка получается
Посла загрузки файла в память, будь то RunPE или LoadPE или более новые техноголии, до вызова точки входа должны быть перехвачены все функции из IAT, и все которые ведут по итогу в ntdll должны передавать управление на соответсвующий перехватчик, который вызовет соответствующий syscall напрямую из кода приложения, но очень гемморойная это затея, потому как такой подход подразумевает, что у тебя заранее продумываются перехваты под конеретные вызовы Api, если в софте что-то поменяется, то придется все переделывать, то есть решение далеко не универсальное, но так можно спасти какой-то качественный, но увы уже старый и палящийся в рантайме софт
Ну и спасет это только от аверов, которые ставят перехваты не в ядре, а в юзермоде, но таких по прежнему очень много, поэтому оживить что-то старенькое можно, но только повторяюсь при точечном подходе, универсального решения исправления рантайма без исходных кодов нет и не будет
- Автор темы
- Добавить закладку
- #23
Да, именно так. Точечно кое что убрать можно, но как уже писал выше, никто не будет точечно играться со всем подряд.
I had never estimated the value of a charger, excellent article! Quite clearly, totally in agreement with the support and as you say, it is like all software needs new functionalities or adjustments that the client or market in general requests or the opportunity arises 
Фишка то в чём, он палит не саму мальварь, а всё что на неё похоже. Отсюда проблема с обходом его в последнее время. Мне вот делают, накидывая 200-700 мб на файл, по-другому он всегда ругается. Буду благодарен, если скажите как его обойти в нормальном размере!)
Да может, дело в том, что я не делаю массовую малварь, поэтому у меня с виндефом никогда не было проблем, а вот касперский иногда серьезно доебывает, особенно с тех пор, как они KSN запилили (облачный антивирус), да и проактивка у них неплохая. Преимущество виндефа в том, что в теории мелкомягкие могут любую лютую херню в ядре творить, а вот для других вендоров это может быть чревато всякими бсодами, если мелкомягкие чего-то дополнительного накрутят из защит ядра и никого не предупредят.
Чтож) давайте поговорим о высоком... в разрезе малвари
Мне кажется что для __тру__ разработчика малвари не так важна зп в ирле и коммерс в целом, как сам интеллектуальный вызов с глобальном смысле.
Во-первых без спору тут важен недюженный интеллект, во-вторых опыт, а это постоянные ресерчи, анализ и тесты, в третьих крайне важна фантазия и не стандартный взгялд на вещи.
Лишь человек с не традиционной фантазией способен находить новые способы обходов, обнаружить новые способы инжектов или модифицировать существующие, представляя их в новом амплуа, о котором антивирусные EDR знать ничего не будут.
И мне кажется "ему" не интересна деструкция или какие то массовые инфекты и последствия, ему важен вызов!
Мне кажется что для __тру__ разработчика малвари не так важна зп в ирле и коммерс в целом, как сам интеллектуальный вызов с глобальном смысле.
Во-первых без спору тут важен недюженный интеллект, во-вторых опыт, а это постоянные ресерчи, анализ и тесты, в третьих крайне важна фантазия и не стандартный взгялд на вещи.
Лишь человек с не традиционной фантазией способен находить новые способы обходов, обнаружить новые способы инжектов или модифицировать существующие, представляя их в новом амплуа, о котором антивирусные EDR знать ничего не будут.
И мне кажется "ему" не интересна деструкция или какие то массовые инфекты и последствия, ему важен вызов!
- Автор темы
- Добавить закладку
- #29
ML детекты? Видел такое у симантека, когда каким-то образом палилось все подряд, а надо было запустить 1 паблик софт.
Аналогично. Но от АРТ и подобного не спасет ничего, включая цифровые подписи (разве что репутация файла в облаке, и то) , а вот от масс атак виндеф очень хорошо.
Еще радует , что он понемногу вытесняет других аверов.
Это да. К счастью, не имею с ним дела (в плане, против него), на работе у товарища стоит KATA, это вещь.
Согласен полностью, без интереса к теме не надо и начинать (в плане, первичным должно быть желание Знать, Сделать, а не срубить бабла). Но я пишу в целом о рынке, дабы прояснить людям, почему создав тему "ищу приват софт, бюджет 500 баксов" они не найдут ничего, кроме кидалова.
Это уже до абсурда доходит, с каждой итерацией поиска где этот дурень в облаке детект повесил. Я его даже затроллил (или он меня) отправил просто 800 файлов с обфускацией вывода в консоли "дефендер *мат*" и разными вариациями мата, что бы он наконец снял сигнатуру с обфускатора (дилдо поймет, речь про то что константы у всех сборок конфузера кастом/паблик генерятся почти одинаково, я поменял логику, а переписать полностью как обычно лень ради одного дефендера).
И чудо, он на следующий день снял детект в облаке и больше не детектил, в итоге это со стиллера сняло детект с обфускации констант.
Как эта магия сработала - я примерно представляю, может индусы покопались, может ML сработал что код в целом норм и похожее можно пропускать (потом я потестил на дедике и ноуте с впн, что бы исключить что он это сделал лично для меня и лично этой вмки).
Еще есть вариант блокировок подсетей его серваков где он его запускает и смотрит (обычно нидерландские Azure), но так половину инета заблочить можно (у меня без коннекта на сервер ничего похожее на вирусное не запускается и по поведению задетектить нельзя, если сервер сам захотел сбросить коннект - краш с "ошибкой"). В итоге убил 4 дня на исследование и понял что
Такое чувство что он как-то эмулирует дотнет сборки (а это сделать намного сложнее чем натив) у себя во время принятия сэмпла и выдает вообще всевозможные сигнатуры какие можно снять с .exe и которых нету у легитимного софта.
Ну и еще не надо забывать про его кэш в системе, в который он видимо и сигнатуры с сервера сохраняет и точно локальные. Из-за этого процесс нахождения проблемного кода и сигнатуры очень сильно замедляется, приходится или перезагружать систему или сбрасывать до снапшота.
Псевдо ML проверки такие как у есета обычно бесполезны, очень быстро находится проблемный код и чистится.
Последнее редактирование:
Думаю что ML сильно разовьется у АВ через время, сейчас его везде где только можно суют, вообще ML очень мощная штука при правильном подходе, так что мне кажется близится эра, когда малварщики будут писать алгоритмы ML которые будут генерить малварь, которая в свою очередь будет нацелена на обход детектов ML со стороны АВ
Битва машин)))
Битва машин)))
Зумеры просто изобрели эвристику заново. Тьфу на этот ML, а так идея когда был бум приходила, генерация кода, да и она даже не нова. Область перспективная.
Ну разница есть между эвристикой, правила для которой написаны вручную, либо "эвристикой", которая самообучается со временем
На самом деле сейчас наверно нет ни одного вендора без мл на борту или на удаленных серверах аверлабов.
Мл применяется и для классификации и кластеризации, и при выявлении проактивных признаков выходящих за пределы "правил".
Вспомните к примеру стадию становления движков у Аваста (евоген), Симантека (AdvML), там детектилось всё что не лень,
потом движки дообучились на большой выборке и стало лучше.
У виндефа кстати мощный МЛ, благодаря этому они так быстро целые семейства малвари и ранее неизвестные образцы детектят.
Это симбиоз, которого им так не хватало. Если раньше (до эры мл в аверах) эвристики сначала извлекали признаки, а потом
система, основанная на правилах тупо (if\else, switch\case) оценивала потенциальную совокупность признаков для вывода вердикта,
то современные движки как минимум используют что-то вроде классификации основанной на решающих деревьях, случайных лесах
или пилят свои нейронки для этих целей или совокупность техник.
Ну бля, 95% вакансий на ХХ - пиздёж и наебалово в плане оплаты, а во-вторых зачастую ХХ толком не представляет что ему нужно от конкретного кодера и получаются всякие питон/хтмл/похапе/жс/си/асм 100в1, 50 высших образований и 1000 лет стажа, говно-принеси-подай и мозги тебе там выебут гораздо сильнее.
Вообще не понимаю, как мелкософт до сих пор не сделал обязательную подпись исполняемых файлов. Прям сразу вся школомалварь и АВ, которые наживаются на этом, пойдут на завод.
Вообще не понимаю, как мелкософт до сих пор не сделал обязательную подпись исполняемых файлов. Прям сразу вся школомалварь и АВ, которые наживаются на этом, пойдут на завод.
Они сделали, для дров правда. Думаю, что штат кодирующий белый софт гораздо больше штата проверяющих его. Выдать серт на компанию нет проблем. Но, компаний дохуялиард, тут шлеп - стилаком спиздили у кого-то серт и отзывать его теперь... Начнут малварь им подписывать, а пока отзовут серт и миллионник на больную голову аверов свалится. Потому и неа имхо.
По статье, абсолютно согласен с Quake3. Рынок малвари потерял "среднее", либо это хуета, либо это очень дорогая игрушка. АВ убивают школоту и скрипткидди, настоящие остануться бороться. Развиваться слава богу есть куда.
Так в принципе и должно быть. Сегодня сложно найти большой куш и при этом хорошо не потратиться . А слово "хорошо " -это каждому свое.
По теме скажу, что писать нужно под себя($), чистить нужно код ($), сертификат($), крипт нужен иногда($) , но это, разумеется даже не 100$ , побольше будет.
- Автор темы
- Добавить закладку
- #39
Да хз кто выебет мозги больше - дебил начальник в реале, или тупой заказчик в инете; но на белой работе хотя бы не надо выдумывать велосипеды.
Все к этому идет, думаю сделают сначала опционально (запретить запуск РЕ без подписи).
- Автор темы
- Добавить закладку
- #40
Что думаешь на тему нейронки в обратную сторону ? В плане нейросеть генерит тысячи семплов, какие-то палятся АВ, какие-то нет, на основе этого идет обучение - как лучше генерить импорт/код в целом, т.е. морфер/криптор/обфускатор на основе нейросети. Или бред полный?