Pruebas de evasión de virus: uso de VM con AV para probar la detección de la carga útil

Después de algunas investigaciones, creo que he llegado a una respuesta. Puede que tenga que aclarar mi pregunta, pero en pocas palabras, lo que quiero hacer es lo siguiente: me gustaría poder probar mi carga útil contra la mayor cantidad posible de motores / bases de datos antivirus. Normalmente hago esto con el total de virus, pero me dicen que si subes una muestra, aumenta la probabilidad de que mi carga útil sea detectada. En otras palabras, las muestras cargadas en VT reciben una "atención especial" y, por lo tanto, la mayoría de las herramientas desalientan a los usuarios a subir.

Mi solución es escanear mi muestra / carga útil con máquinas virtuales que contienen varios programas antivirus. En mi búsqueda encontré una herramienta que hace justamente esto. Es decir, es un total de virus de código abierto sobre el que yo, como usuario, conservo el control total.

Conoce a Malice . La malicia funciona girando los contenedores de la ventana acoplable que contienen varios AV. La mayoría de ellos son gratuitos, pero también puede proporcionar claves de producto para los AV que tienen suscripciones de pago. Esto es exactamente lo que estaba buscando. Ahora puedo ejecutar un comando como malice scan sketchy.exe y escaneará contra los motores AV predeterminados. Si bien no es tan completo como el total de Virus, esto es definitivamente lo suficientemente bueno. Realmente un proyecto genial, espero que continúe su desarrollo activo.

Si bien esto responde a mi pregunta, es posible que alguien conozca una solución mejor, así que esperaré al menos unos días para aceptar mi propia respuesta.

Como se mencionó @atdre, hay muchas otras herramientas similares. opswat.com/solutions/multi-scanning irma.quarkslab.com/overview.html github.com/PlagueScanner/PlagueScanner github.com/joxeankoret/multiav herdprotect.com

Hay varias formas de probar la detección de la carga útil, incluidas formas de cargar variaciones de su carga útil en VirusTotal.

Si desea cargar en VirusTotal, considere usar Recomposer para cambiar un poco lo que está haciendo (y proporcionar esas variaciones) .

Si busca cargas útiles más avanzadas, consulte este recurso, enlace , o los que se mencionan en mi comenta la pregunta original anterior.

En un intento por completar las respuestas anteriores y agregar algunos recursos más, también propondré usar las reglas de yara. Existen muchas herramientas, como loki , que utilizan las reglas de yara para detectar muchos tipos de malware. Tienen una enorme lista de firmas de antivirus conocidos y algunos personalizados. Aparte de esta herramienta, generalmente propongo reglas yara para el reconocimiento de archivos maliciosos.

Para diferentes tipos de análisis, puede configurar localmente un Cuckoo Sandbox , o usar directamente su plataforma en línea.

Mi sugerencia general es encontrar y configurar o crear algunas herramientas que puedan ejecutarse localmente (vms, scripts, contenedores, etc.), para que pueda estar seguro de sus acciones y del hecho de que no las enviarán. datos, exponiendo sus artefactos.

¡Feliz caza!