Обход антивирусов, антиэмуляция. Часть II

  • Автор темы HHIDE_DUMP
  • Дата начала
  • Просмотры 986
  • На форуме работает ручное одобрение пользователей. Это значит, что, если Ваша причина регистрации не соответствует тематике форума, а также Вы используете временную почту, Ваша учётная запись будет отклонена без возможности повторной регистрации. В дальнейшем - пожизненная блокировка обоих аккаунтов за создание мультиаккаунта.
  • Мы обновили Tor зеркало до v3!
    Для входа используйте следующий url: darkv3nw2...bzad.onion/
  • Мы вновь вернули telegram чат форуму, вступайте, общайтесь, задавайте любые вопросы как администрации, так и пользователям!
    Ссылка: https://t.me/chat_dark_time

HHIDE_DUMP

Гость
H

HHIDE_DUMP

Гость
Привет! В этой статье мы продолжим обсуждать насущные проблемы обхода антивирусов. А именно продолжим обсуждать тему, которую мы затронули в
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
статье. Статья не была написана мной. Я переводил
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!


Мне нужен код, который будет считаться вредоносным. Легчайший путь сделать это, это использовать хорошо известную Meterpreter нагрузку из
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
. Я написал код на C, который вызывает не зашифрованный meterpreter шеллкод, который описан
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
. Я зашифровал код таким образом, что любой антивирусный статический анализ не удастся (включая анализ загрузчика-расшифровщика).

Здесь представлена копия главной функции:

Код:
int main( void )
{
    decryptCodeSection(); //Дешифрование кода
    startShellCode(); // Вызвать дешифрованный шеллкод метерпретера.
    return 0;
}
Эта версия кода обнаруживается локальными антивирусами и имеет VirusTotal счёт:

12/55

Это показывает, что в настоящее время, антивирусы все больше и больше зависят от динамического анализа, но для большинства из них это еще не так.

Из этого результата, моя цель заключается в том, чтобы найти методы, обхода антивируса и снизить оценку обнаружение до нуля.

Сложные методы:

Существуют сложные способы обхода антивирусов, эти методы хорошо документированы. Важно знать их, но это не тема этой статьи. Эти сложные методы обычно используются в современной малвари не только для того, чтобы избежать обнаружения антивирусами.

1. Метод инъекции кода

Инъекция кода состоит во внедрении кода в другой процесс. В основном это делается с помощью DLL инъекции, но существуют и другие методы. Сложность этого метода заключается в том, что при инъекции кода мы должны найти способ выполнить нужный нам код, не загружаясь системой нормально (особенно, потому что базовый адрес постоянно меняется). DLL инъекция, работает только если подгружается DLL. При использовании инъекции кода, важно помнить, что код должен быть в состоянии модифицировать указатели памяти основанные на перемещении секций.

DLL инъекция и инъекция кода уже были описаны в интернете. Эти методы трудно воплощаются в жизни, поэтому их описание выходит за рамки этой статьи. Просто имейте в виду, что инъекция кода это хороший способ оставаться скрытым, но этот метод содержит много кода, который может быть опознан эвристическом анализатором как вредоносный.

2. Метод RunPE

Термин "RunPE" относится к способу, который состоит из запуска некоторого кода в другом процессе, заменяя код процесса, на код который вы хотите выполнить. Различие между инъекцией кода, это то, что при инъекции кода вы выполняете код в отдалённом процессе; в RunPE методе вы заменяете код удалённого процесса на тот, который вы хотите выполнить.
Вот краткий пример того, как он может работать, чтобы скрыть вредоносное ПО.

Представьте, что вредоносная программа упакована/зашифрована и вставлена в другой двоичный файл, предназначенный для загрузки (используя, например, связанные ресурсы). Когда загрузчик будет запущен, он:
  • Создаст действующий системный процесс, используя, например, CreateProcess.
  • Прекратит проецировать память процесса, используя NtUnmapViewOfSection.
  • Заменить память, кодом малвари (используя WriteProcessMemory).
  • После возобновления процесса (используя ResumeThread) вредоносный код выполнится вместо процесса.
Заметка: Замещение памяти процесса невозможно, если процесс защищён с помощью DEP (
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
).
В этом случае, вместо того, чтобы использовать метод RunPE, загрузчик может просто вызвать другой экземпляр самого себя и внедрить в него вредоносный код.

Поскольку модифицированный код написан самим злоумышленником, метод всегда будет работать (при условии, что загрузчик скомпилирован без DEP).

Простые, но эффективные методы

Теперь, когда мы обсудили некоторые сложные методы, давайте рассмотрим простые методы антиэмуляции.

Основное ограничение антивирусных сканеров - это время, в течение которого они могут потратить слишком много сил на что-либо. Простейший метод обхода антивируса состоит в том, чтобы забрать у него побольше времени, прежде чем вредоносный код будет расшифрован. Использование простой задержки Sleep, не приведёт к обходу антивируса, так как антивирусный эмулятор адаптирован к этому. Этот тип обхода называется «Предложение, от которого вы должны отказаться», потому что этот тип обхода налагает на антивирусы некоторый код, на который антивирусу потребуется много ресурсов, поэтому я уверен, что антивирус отстанет от нас до запуска зловредного кода.

Пример 1: Выделение и заполнение 100 миллионов байтов памяти.
В этом примере, мы просто выделяем и заполняем 100 мегабайт памяти. Этого достаточно, для того, чтобы обескураживания любую антивирусную эмуляцию.

Код:
#define TOO_MUCH_MEM 100000000
int main( void )
{
  char * memdmp = NULL;
  memdmp = (char *) malloc(TOO_MUCH_MEM);

  if( memdmp != NULL )
  {
    memset(memdmp, 00, TOO_MUCH_MEM);
    free(memdmp);
    decryptCodeSection();
    startShellCode();
  }
  return 0;
}
VirusTotal счёт:
0/55

Видите как легко избежать обнаружение антивирусом? Этот метод основан на классической и очень частой функции malloc. Ещё плюс в том, что нет никаких строк, на который можно было бы построить сигнатуру. Единственный недостаток, это то, что 100 мегабайт памяти сгорают, а это может быть обнаружено хорошей системой мониторинга.
Заметка: если вы не запустите часть с memset, то оценка будет 4/55.

Пример 2: 100 миллионная инкременция
Этот метод ещё легче. В данном случаем, мы используем for цикл, чтобы инкрементировать переменную счётчик 100 миллионнов раз. Этого достаточно, чтобы обойти антивирус, но это ничто для современного процессора. Человек не заметит никакой разницы между этим кодом и кодом без обхода.

Код:
#define MAX_OP 100000000

int main( void )
{
  int cpt = 0;
  for(int i = 0; i < MAX_OP; i++)
  {
    cpt++;
  }
  if( cpt == MAX_OP )
  {
    decryptCodeSection();
    startShellCode();
  }
  return 0;
}
VirusTotal счёт:
0/55
Метод «Предложение, от которого вы должны отказаться» очень мощен. Ну, на этом всё. Спасибо за внимание. Продолжение следует.
 

О нас

  • Наше сообщество существует уже много лет и гордится тем, что предлагает непредвзятое, критическое обсуждение различных тем среди людей разных слоев общества. Мы работаем каждый день, чтобы убедиться, что наше сообщество является одним из лучших.

    Dark-Time 2015 - 2024

    При поддержке: XenForo.Info

Быстрая навигация

Меню пользователя