Estoy trabajando en un proyecto único en el que intentaré crear un malware que utilice algún tipo de algoritmo genético para "evolucionar" y dejar de ser reconocido por un software AV basado en firmas.
Para esto tendré que codificar mi propio AV pequeño programado para detectar la variedad de malware. Así que mi pregunta es, ¿qué patrones buscan los AV basados en firmas?
Puedo pensar en cadenas de texto en el archivo, tamaño del archivo.
La mayoría de las soluciones antivirus utilizan una variedad de técnicas para identificar malware.
El enfoque más simple (y más antiguo) es usar firmas de malware conocido, como los hashes MD5 / SHA1, o cadenas específicas en binarios. Esta técnica funcionó más exitosamente con malware anterior que no tenía el número de variantes que vemos hoy.
A continuación tenemos el análisis estático heurístico. Esto funciona al escanear archivos y buscar características sospechosas como empacadores, códigos ocultos, importaciones de bibliotecas específicas, etc. Podría decir que esto es lo más cercano a los "patrones" de los que está hablando. Uno podría escribir malware y modificarlo hasta que no sea detectado por la heurística de malware más común. Estos patrones y algoritmos son secretos bien guardados de cada proveedor de antivirus y es poco probable que los compartan más allá de explicaciones genéricas.
La última forma de identificación de malware es a través del análisis heurístico dinámico. Esto ocurre cuando el malware se ejecuta en un recinto de seguridad y el antivirus analiza lo que hace el software. Examina las bibliotecas a las que llama, las acciones que realiza, si trata de ocultarse, si realiza entradas de registro, etc. Hay muchas formas de evitar la identificación a través del análisis dinámico que son demasiado profundas para esta respuesta. decir que se puede pasar por alto.
TL; DR Nadie puede decirle exactamente cuáles son los patrones para cada programa antivirus. Hay algunas cosas genéricas que todos buscan, pero los detalles son secretos.
Una línea de investigación fructífera para esto sería probablemente observar cómo otros marcos de evasión A-V manejan el problema. Los proveedores de AV de AFAIK no lo hacen totalmente abierto a lo que buscan y es probable que esto varíe de proveedor a proveedor.
Veil Framework es un ejemplo reciente de omisión de AV, también AVoid , también vea esta publicación
Descarga las reglas de yara git repo. Examine las cadenas de cada archivo .yar. Puede estar seguro de que si puede crear un malware con otras cadenas, su malware puede evadir el 99% de las suites de seguridad.