• ! Привет посетитель !

    Зачем данный ресурс нужен ?

    В рунете было много ресурсов с интересными обсуждениями и работами по вирусным технологиям, а также в область ИБ.

    Но со временем у людей меняются интересы, а кто-то просто не может держать такие сайты, сайты удаляются, я подумал а печему-бы не сделать такой архив со статьями на тематику вирусов и ИБ.

    Цель ресурса:

    Собрать какие-то актуальные утеренные обсуждения и работы.

    Пока-что поднял два сайта:

    1) https://archivevx.net/exelab/f/

    2)Vxlab.info - Тут просто сделаю перепост статей сюда:https://archivevx.net/index.php?forums/vxlab-info-Статьи-ресурса.4/

Малварь по шагам [7] Network Honeypots

С незапамятных времён антивирусные конторы использовали приманки для отлова малвари.

Во времена слабого развития интернета, основным источником инфекции были зараженные файлы.
Вирус пришёл к вам на дискете, вы отправляете его на собачьей упряжке в антивирусную шарагу.

Несмотря на низкую частоту обновлений антивирусных баз, дизассемблировать весь файловый поток затруднительно. Проверку можно автоматизировать: запускаем предполагаемый файловый вирус рядом с подложными файлами-дрозофилами и если они изменены — однозначно детектируем файл как вредоносный.

Современные нам антивирусные ловушки эволюционировали до виртуальных машин, отдающих список вызываемых системных функций с последующей постановкой вердикта.

Чтобы определить криптолокер, достаточно запустить бинарь рядом с файлами из предполагаемого списка интереса: pdf, doc, mdb etc. А если после перезагрузки виртуальной машины в системе запускается новый код — детектируем (даже неизвестный) авторан.

Слабым местом таких систем является доступ в интернет, без которого некоторые виды малвари не работают должным образом. Это приводит к появлению в логах странных машин, вроде набившей оскомину ANTONY-PC, принадлежащей Касперскому. Поэтому часть ловушек симулирует доступ в сеть, собирая лог трафика оффлайн.

Похожим образом ловят сетевых червей, достаточно разместить на сервере ловушку эмулирующую конкретный сервис: FTP, TELNET, SSH etc.

С точки зрения червя, необходимо понять настоящий перед ним сервис или фальшивка.

Максимум на что может рассчитывать наш семпл — краткосрочная аренда виртуальной машины с полноценной OS. Однако, в большинстве случаев используются эмуляторы.

Вечная гонка вооружений: атакующий находит брешь в эмуляторе, владелец ловушки дорабатывает систему. Мы достаточно подробно объясняли принципы обхода файловых эмуляторов. Сегодня мы постараемся понять ограничения сетевых, написав свою ловушку.

Детали протокола

В качестве подопытного кролика был выбран telnet. Этот невероятно старый протокол возник на заре существования сетей. Первая версия датируется 1969 годом, а сравнительно актуальная 1983. Он проектировался до возникновения TCP, что не мешает ему работать до сих пор. Преимущественно используется для встраиваемой техники.

Каждый раз встречая новый протокол, надеюсь что обойдётся без чтения RFC. Пока ни разу не обошлось.
Для того чтобы быстро понять как устроен тот или иной протокол, бывает полезно посмотреть на дамп трафика. Нам поможет WireShark, имеющий встроенные парсеры.