malware "segmentado"

5

He estado investigando cómo funcionan las herramientas antimalware y siento que me estoy perdiendo algo con el análisis heurístico.

Lo que he aprendido hasta ahora
Los programas antimalware pueden usar firmas y análisis heurísticos para determinar si un programa es malware o no. Los autores de malware utilizan código polimórfico para evitar el reconocimiento de firmas y ofuscar las acciones dentro del código para evitar algunas heurísticas.

El escenario
Si un autor de malware tuviera que segmentar su código en una multitud de binarios diferentes, ¿podría detectarse esto? Estoy imaginando un escenario donde un simple keylogger que usa muchos ejecutables polimórficos para registrar claves, recibir comandos y enviar datos, para aparecer como herramientas benignas.

Siento que esto podría crear una gran cantidad de falsos positivos con programas que usan uno o dos enlaces clave y otras herramientas pequeñas.

Mis preguntas
¿Es esto algo que podría ser una forma efectiva de evitar la detección?
¿Hay alguna forma de protegerse de esto, si no lo hay ya?

    
pregunta Wrathbelle 11.11.2015 - 00:58
fuente

1 respuesta

3

He estado escribiendo malware para pruebas de seguridad profesional durante más de 20 años. La evasión de la detección de AV es uno de los requisitos comunes de nuestros clientes. El enfoque depende de qué mecanismo de exploración se debe evadir.

La detección basada en patrones es muy simple en el entorno AV. Esto es como una expresión regular que intenta identificar una parte común del malware específico. Si el malware cambia con respecto a esta firma de identificación, la detección no funcionará más. El cambio de los fragmentos de código (por ejemplo, cadenas, nombres internos) o la ubicación del bloque de código en el binario se realiza rápidamente y tendrá éxito.

Una detección basada en heurística hace algo similar pero no con bloques de código sino con "acciones". Una acción sería abrir un archivo, escribir una cadena y cerrar el archivo nuevamente. Una secuencia sospechosa en un sistema de archivos de Windows puede estar creando un archivo y agregándole el indicador oculto de inmediato. La mayoría de los productos de AV declaran este malicioso. Y en la mayoría de los casos lo es (¿cuántas aplicaciones legítimas hacen esto?). Pero si espera unos segundos entre estas dos tareas o hace algo más (como abrir otro archivo mientras tanto), la heurística perderá la conexión original entre las tareas iniciales.

La división de las tareas en varios archivos binarios que se ejecutan como instancias de subprocesos múltiples podría causar un efecto similar. Esto se debe a que el software AV no puede correlacionar tantas acciones de múltiples procesos. El desafío podría ser que tenga que implementar todos sus archivos binarios en el host de destino para establecer su marco. Pero esto podría levantar algunas banderas durante el análisis heurístico (múltiples descargas, descargar otro binario después de la ejecución o extraer múltiples ejecutables desde un solo binario). Normalmente estoy descargando partes adicionales y abandono el "descargador" original. Esto funciona bien, genera pequeños binarios y es eficiente. La detección de AV funciona bastante mal con archivos ultra pequeños y simples.

Nunca he tenido un caso en el que no fuera posible evitar la detección de AV. Podría llevar más tiempo de lo habitual. Esta podría ser la razón por la que algunas personas llaman aceite de serpiente AV.

    
respondido por el Marc Ruef 04.06.2016 - 21:01
fuente

Lea otras preguntas en las etiquetas