¿Cómo ayudan los algoritmos criptográficos a los piratas informáticos a evitar el software antivirus?

5

Me preguntaba cómo los piratas informáticos usan la criptografía para evitar el software antivirus.

No tengo una comprensión profunda de cómo funciona el software antivirus, pero sé que cada antivirus tiene una base de firmas, por lo que cuando analizamos el archivo .exe, en realidad se compara la firma de .exe con las firmas en su propia base, y si coincide, el antivirus identificará .exe como virus.

Entonces, al aplicar algún algoritmo criptográfico en el archivo .exe (usando la herramienta "Crypter"), cambian la firma del archivo .exe, por lo que el antivirus no lo puede detectar como malware, ¿verdad? Pero concretamente, ¿cómo aplican el algoritmo criptográfico en el archivo .exe? Solo vi en mi libro cómo se encripta el texto simple.

    
pregunta etf 27.06.2015 - 16:39
fuente

2 respuestas

2

El cifrado de archivos ejecutables es más bien una ofuscación que un cifrado real, ya que los archivos cifrados aún tienen que ejecutarse. Así que la parte "descifradora" debe conocer el algoritmo y / o clave de descifrado.

El software antivirus tiene:

  • varios emuladores, para código x86, código x64, código JavaScript normalizado, etc.

  • varios descifradores / desempaquetadores para todos los "crypters" y archivos conocidos por el proveedor de antivirus (por ejemplo, ESET tiene 1228 descifradores / desempaquetadores como ahora)

En cuanto a su pregunta: básicamente, la coincidencia de firmas se realiza después de desempaquetar, descifrar, etc., cuando el motor antivirus descubre que no hay más niveles conocidos de archivo / cifrado / ofuscación para el archivo actual.

Sin embargo, hay 2 excepciones:

  1. Hay virus modulares, por ejemplo. Llama, en la que solo un módulo tiene clave de descifrado para otro módulo, que tiene clave de descifrado para otro módulo y así sucesivamente. Para detectar dichos virus es necesario escribir un código dedicado en el motor antivirus.

  2. Hay virus de ransomware que, aunque no se cifran ellos mismos, pueden cifrar archivos aleatorios en la computadora infectada de manera que nadie, excepto el autor del virus, tenga una clave de descifrado. Los archivos cifrados por dichos virus no son recuperables por el software antivirus.

respondido por el Tomasz Klim 27.06.2015 - 19:21
fuente
1

En pocas palabras, un atacante puede crear un ejecutable que tenga un virus cifrado dentro de él. Cuando el ejecutable se descarga en la máquina de la víctima, no se detecta como un virus porque la parte dañada está cifrada. Cuando el usuario hace clic en el archivo, el archivo ejecutable externo cargará los datos cifrados en la memoria y los descifrará, luego lo ejecutará, todo utilizando RAM para que nunca toque el disco duro. El antivirus no lo detectará debido a esto a menos que tenga protección de tiempo de ejecución. Dependiendo del antivirus utilizado, a menudo es posible omitir la detección en tiempo de ejecución de mi llamada thread.sleep ('10 '); o algo así. Cuando se hace clic en el archivo ejecutable, espera 10 segundos y luego ejecuta el archivo cifrado.

    
respondido por el user3632719 29.06.2015 - 05:38
fuente

Lea otras preguntas en las etiquetas