Pruebas de evasión de virus: uso de VM con AV para probar la detección de la carga útil

6

Usando una herramienta como velo o hiperión para evadir un AV para realizar pruebas de prueba, no se recomienda cargarlo al total de virus porque aumenta la tasa de detección (y / o recibe algunas atenciones especiales). Según tengo entendido, si carga en Virus Total, es muy probable que su carga útil o su firma puedan terminar en las bases de datos AV.

Dicho esto, si no sabes qué AV vas a necesitar para evadir, es apropiado hacer lo siguiente:

  • compre una suscripción para decir, los x AVs más populares

  • instálalas en una máquina virtual

  • actualice para que tengan la base de datos más reciente

  • apague cualquier conexión de red (para que no pueda reportar la carga útil)

  • Escanee nuestra carga útil

1) ¿Esto evitaría que la carga útil termine en una BD AV / sea detectada?

2) ¿Hay una mejor manera de hacer esto? Sé que Virus Total le permite verificar hashes pero debe haber otras heurísticas que usan los AV.

3) Si no, ¿hay alguna máquina virtual o herramienta que alguien haya hecho para hacer esto?

Gracias.

    
pregunta ucklvs 26.12.2017 - 03:12
fuente

3 respuestas

1

Después de algunas investigaciones, creo que he llegado a una respuesta. Puede que tenga que aclarar mi pregunta, pero en pocas palabras, lo que quiero hacer es lo siguiente: me gustaría poder probar mi carga útil contra la mayor cantidad posible de motores / bases de datos antivirus. Normalmente hago esto con el total de virus, pero me dicen que si subes una muestra, aumenta la probabilidad de que mi carga útil sea detectada. En otras palabras, las muestras cargadas en VT reciben una "atención especial" y, por lo tanto, la mayoría de las herramientas desalientan a los usuarios a subir.

Mi solución es escanear mi muestra / carga útil con máquinas virtuales que contienen varios programas antivirus. En mi búsqueda encontré una herramienta que hace justamente esto. Es decir, es un total de virus de código abierto sobre el que yo, como usuario, conservo el control total.

Conoce a Malice . La malicia funciona girando los contenedores de la ventana acoplable que contienen varios AV. La mayoría de ellos son gratuitos, pero también puede proporcionar claves de producto para los AV que tienen suscripciones de pago. Esto es exactamente lo que estaba buscando. Ahora puedo ejecutar un comando como malice scan sketchy.exe y escaneará contra los motores AV predeterminados. Si bien no es tan completo como el total de Virus, esto es definitivamente lo suficientemente bueno. Realmente un proyecto genial, espero que continúe su desarrollo activo.

Si bien esto responde a mi pregunta, es posible que alguien conozca una solución mejor, así que esperaré al menos unos días para aceptar mi propia respuesta.

Como se mencionó @atdre, hay muchas otras herramientas similares. opswat.com/solutions/multi-scanning irma.quarkslab.com/overview.html github.com/PlagueScanner/PlagueScanner github.com/joxeankoret/multiav herdprotect.com

    
respondido por el ucklvs 28.12.2017 - 13:39
fuente
0

Hay varias formas de probar la detección de la carga útil, incluidas formas de cargar variaciones de su carga útil en VirusTotal.

Si desea cargar en VirusTotal, considere usar Recomposer para cambiar un poco lo que está haciendo (y proporcionar esas variaciones) .

Si busca cargas útiles más avanzadas, consulte este recurso, enlace , o los que se mencionan en mi comenta la pregunta original anterior.

    
respondido por el atdre 27.12.2017 - 21:39
fuente
0

En un intento por completar las respuestas anteriores y agregar algunos recursos más, también propondré usar las reglas de yara. Existen muchas herramientas, como loki , que utilizan las reglas de yara para detectar muchos tipos de malware. Tienen una enorme lista de firmas de antivirus conocidos y algunos personalizados. Aparte de esta herramienta, generalmente propongo reglas yara para el reconocimiento de archivos maliciosos.

Para diferentes tipos de análisis, puede configurar localmente un Cuckoo Sandbox , o usar directamente su plataforma en línea.

Mi sugerencia general es encontrar y configurar o crear algunas herramientas que puedan ejecutarse localmente (vms, scripts, contenedores, etc.), para que pueda estar seguro de sus acciones y del hecho de que no las enviarán. datos, exponiendo sus artefactos.

¡Feliz caza!

    
respondido por el Chris Tsiakoulas 30.12.2017 - 00:37
fuente

Lea otras preguntas en las etiquetas