Открыть список
Как стать автором
Обновить

Комментарии 4

Отличная статья спасибо, познавательная, но хочу добавить пару моментов:

Мало кто это понимает, но если мы говорим про серьёзную малварь, не то-что делают скрипт-кидди, то цель крипторов/пакеров немного поменялась, если раньше крипторы использовались именно для обхода антивирусов, например как дело происходило лет наверное десять назад:

Брался уже детектируемый зверек, накрывался протектором и вау-круто, он не детектится...)))

Что происходит сейчас?

Да, статический детект и какую-то эмуляцию кода так можно сбить, но в момент запуска из-под думаю любого антивируса, пусть даже дефендера, что у нас будет происходить:

1. Все антивирусы способны выявить факт распаковки и запуска зверька в памяти.

2. Облако, да это действенное оружие против таких вирусов, а проводил тесты, даже суток не проходит, а иногда даже за пару часов, такого типа вирусы попадают в детект.

3. Детект по поведению так не обойти, но про это сказано в этой статье.)

Так зачем крипторы нужны сейчас?

Всё очень просто, для усложнения исследования и усложнения детекта уже чистых зверьков.

Вот пример, есть у вас чистый зверек, цель именно усложнить детект.
Для этого пакуется зверек, после распаковки в памяти, он может по максимому морфить свой код перед запуском.
Это всё усложнит детекты следующих образцов в облаке, более-того сам криптованный зверек не обязательно паковать в файл, можно например «спрятать» его в картинку и качать с какого-то легального обменника и т.д., что ещё более усложнит детекты чистого файла, т.к. каждый следующий образец будет почти уникальным.)

Если интересно подробнее, как-то делал статьи по крипторам и не только:https://xss.is/threads/37420/
Сколько лет уже существую такие вещи как Software Restriction Policies и AppLocker, но корпоративный сегмент до сих пор приходит в ужас от вложенного в письмо заархивированного exe'шника.
Спасибо за статью! Очень интересно.
Скажите, а могут ли криптороы/пакеры, для повышения сложности обнаружения, применяться каскадно? То есть, например, сначала Rex3, потом Hellowin, затем еще какой-нибудь.
Ну смысла в этом нет.)

Основная проблема, с точки зрения хакера, это-то что после распаковки такого типа пакеров в ОЗУ ваша программа видна как на ладоне и её можно проверить антивирусом, сдампить и т.д.)

Для понимания происходящего, вот простой пакер UPX, его очень легко сдампить, хоть в ручную, хоть автоматически…

Примерно тоже самое и с пакерами, антивирусы делают это в автоматическом режиме.

Тут можно ещё применить различные антидампы и виртуальные машны, смысл например виртуальной машины, что ваш зверек не будет виден в ОЗУ, а будет виден если по простому интерпретатор виртуальной машины, да эти механизмы могут усложнить исследование программы, но если говорить про детект, то тогда будет детекты на саму виртуальную машину, либо её части.)
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Информация

Дата основания
2002
Местоположение
Россия
Сайт
www.ptsecurity.com
Численность
501–1 000 человек
Дата регистрации

Блог на Хабре