¿Por qué el malware de base amplia utiliza la ofuscación XOR?

3

Según el título ...

El malware se puede desenfocar fácilmente si se confunde con técnicas XOR comunes y conocidas. ¿Por qué los autores de malware no utilizan ningún otro método que dificulte la tarea de desenmascarar e identificar automáticamente el código incrustado malicioso?

Mis pensamientos: Los autores de malware realmente usan otros métodos de encriptación, Simplicidad de implementación del algoritmo, Limitaciones de tamaño en el código, Las opciones pre-empaquetadas (metasploit) ofrecen estas técnicas, No es necesario: las técnicas XOR ya evitan la mayoría de los mecanismos de detección

Aun así, el malware ya es increíblemente complejo, ¿por qué el ofuscado no siempre es complejo?

    
pregunta user2089851 14.07.2013 - 07:47
fuente

1 respuesta

5

Bueno, hay técnicas de ofuscación más complejas. Por ejemplo, malware metamórfico y polimórfico.

Hay un artículo sobre searchsecurity por Margareth Rose que detalla cómo funciona:

  

Los malware metamórficos y polimórficos son dos categorías de maliciosos   Programas de software (malware) que tienen la capacidad de cambiar su código.   a medida que se propagan.

     

El malware metamórfico se reescribe con cada iteración para que cada   La versión sucesiva del código es diferente de la anterior.   Los cambios en el código dificultan los antivirus basados en firmas.   Programas de software para reconocer que diferentes iteraciones son las mismas.   programa malicioso.

     

A pesar de los cambios permanentes en el código, cada iteración de   El malware metamórfico funciona de la misma manera. Cuanto más largo sea el malware   permanece en una computadora, cuantas más iteraciones produce y más   Las iteraciones son sofisticadas, lo que lo hace cada vez más difícil para   Aplicaciones antivirus para detectar, poner en cuarentena y desinfectar.

     

El malware polimórfico también realiza cambios en el código para evitar la detección. Eso   tiene dos partes, pero una parte permanece igual con cada iteración,   lo que hace que el malware sea un poco más fácil de identificar.

     

Por ejemplo, un virus polimórfico podría tener una rutina de descifrado de virus   (VDR) y un cuerpo de programa de virus encriptado (EVB). Cuando un infectado   la aplicación se inicia, el VDR descifra el cuerpo del virus cifrado de nuevo   a su forma original para que el virus pueda realizar su función deseada.   Una vez ejecutado, el virus se vuelve a cifrar y se agrega a otro.   aplicación host vulnerable. Debido a que el cuerpo del virus no está alterado,   proporciona un tipo de firma compleja que puede ser detectada por   sofisticados programas antivirus.

     

En otro ejemplo, una nueva clave podría generarse aleatoriamente con cada   copiar para cambiar la apariencia del cuerpo del virus encriptado, pero la   La rutina de descifrado de virus debería permanecer constante. En cualquier escenario,   es la parte estática del código que hace posible que un   Programa antivirus para identificar la presencia de malware.

     

Se considera que el malware metamórfico es más difícil de escribir que   Malware polimórfico. El autor puede usar puede usar múltiples   Técnicas de transformación, incluyendo cambio de nombre de registro, código.   permutación, expansión de código, reducción de código y código de basura   inserción. En consecuencia, técnicas avanzadas como las genéricas.   Escaneado de descifrado, análisis heurístico negativo, emulación y acceso.   Para la detección se requieren tecnologías de virtualización.

Ahora, si está intentando mantener las cosas pequeñas, XOR es una excelente manera de escribir su virus. XOR es una instrucción que su procesador entiende, por lo que esto significa que para implementar un codificador XOR solo necesitará unas pocas líneas de código de ensamblaje (si está escribiendo el virus en ensamblaje) en lugar de grandes cantidades de código cuando quiera implementar de las técnicas antes mencionadas.

    
respondido por el Lucas Kauffman 14.07.2013 - 09:53
fuente

Lea otras preguntas en las etiquetas