• ! Привет посетитель !

    Зачем данный ресурс нужен ?

    В рунете было много ресурсов с интересными обсуждениями и работами по вирусным технологиям, а также в область ИБ.

    Но со временем у людей меняются интересы, а кто-то просто не может держать такие сайты, сайты удаляются, я подумал а печему-бы не сделать такой архив со статьями на тематику вирусов и ИБ.

    Цель ресурса:

    Собрать какие-то актуальные утеренные обсуждения и работы.

    Пока-что поднял два сайта:

    1) https://archivevx.net/exelab/f/

    2)Vxlab.info - Тут просто сделаю перепост статей сюда:https://archivevx.net/index.php?forums/vxlab-info-Статьи-ресурса.4/

Малварь по шагам [№2] Авторан

Пришло время откатить цикл до первого сейва и попробовать продолжить его иначе. Запускаем свой воображаемый SVN. Было принято решение отказаться от пошагового написания проекта, но вставлять массу ссылок на существующую malware, старые статьи, диаграммы и рисунки.

В прошлом выпуске (https://www.archivevx.net/index.php?threads/Малварь-по-шагам-№1-Протокол-бота.5/) мы узнали о том как правильно строить протокол бота, сегодня мы поговорим об одном из краеугольных камней любой малвариавторане.

Любую malware можно разделить на составные блоки: одни из них отвечают за выживание, другие опциональны.

Прошли времена, когда malware можно было жёстко классифицировать как «файловый вирус» или «троян«, Вы можете добавлять абсолютно любые модули к своему боту.

Массовое появление интернета позволило уйти от традиционных файловых инфекторов, в сторону клиент-серверных ботов, поддерживающих апдейт кода.

1608882177304.png


Каждый бот состоит из модулей

==Что такое autorun?==

В буквальном переводе — автозапуск: Код или метод, позволяющий переживать перезагрузку системы.

Как легко догадаться, этот модуль мы относим к life support, без него могут обходиться только грабберы, ворующие информацию при запуске и сразу отправляющие её хозяину. С появлением приложений, шифрующих свои данные несохраняемым паролем, даже грабберам понадобилось жить в системе. Поэтому autorun является одним из самых узких мест любого вируса.

==Места силы==

Где же взять новых авторанов, если вы простой малварщик, а не правительственная контора с большой и хорошо оплачиваемой исследовательской группой?

=Чужая малварь=

Как ни прискорбно, самым быстрым способом получения технического преимущества является выдирание модуля из тела более успешной особи. Аналитики помещают в отчеты md5 и sha1 хеши пойманных семплов, которые можно нагуглить или стянуть со всяких av-отстойников, требующих регистрации.

Плюсы: Всё придумано и отлажено до вас.
Минусы: Навыки отладки\дизассемблирования.

В ряде случаев суть метода можно понять имея на руках только ProcessHacker и редактор реестра.
Аналитики зачастую вырезают или даже намеренно портят куски кода, отвечающие за новые методы, так что просто выдернуть их из PDF-отчёта не получится.

=Антивирусные утилиты=

Какова ирония? Работники антивирусного фронта (и не только) выпускают утилиты (и\или txt-списки) для поиска малвари, в которых указывается огромное множество путей в реестре и на диске. Примером может служить утилита Руссиновича Autoruns или Starter. Гугл в помощь («windows 7 autorun place», etc).

Если вы думаете, что все известные аналитикам пути авторана знает и корректно обрабатывает антивирус, то вы ошибаетесь. Если (часто попадающая в ловушки ав) малварь будет использовать метод икс — они добавят код или правило, обрабатывающее этот метод.

=Паблик методы=

В свежем апдейте одного широко известного лоадера используется нестандартный авторан, который (как выяснилось в процессе гугления ветки реестра) был описан в Хакере 2003 года. Так что всё новое — хорошо забытое старое. Каждый день в сети появляются интересные документы, большинство из них на английском. Мониторинг свежей «прессы» , особенно не очень известной, сулит интересными атаками.

==Отказ от ветки Run==

Почти вся malware использует «Software\\Microsoft\\Windows\\CurrentVersion\\Run», это не могло остаться незамеченным. Проблема противостояния av-конторам в том, что мы не знаем по каким правилам они отлавливают софт. Мне в руки попадал софт аналитиков нескольких компаний, обычно это самописные логеры или yara-скрипты, которые ловят интересующую аналитика малварь, после снятия слоя криптора в памяти.

Однозначно могу сказать, что все наиболее часто используемые малварью методы служат как косвенный признак, а стало быть их использование навешивает клеймо «вредонос» даже без участия живого аналитика.

Отказавшись от стандартных методов, вы повысите срок жизни семпла и добавите аналитикам головной боли.

Больше малвари вкусной и разной!