Всем привет !
Провёл я небольшое исследование, цель этого исследования был посмотреть как популярные антивирусы (Нод, Касперский, Нортон) реагируют на направленные атаки и как быстро будут блокировать угрозы, в случае массовой атаки.
Для этого были написаны простенькие инструменты (С исходниками можете ознакомится ниже):
1. Для направленной атаки, использовался кейлоггер локального действия, упакованный в SFX архив, для отправки логов использовался специальный скрипт, ознакомится с методикой можно здесь:Малварь как искусство - Пишем кейлоггер Stealth Keylogger (100% FUD)
2. Для массовой атаки использовался просто криптор/протектор, которым критовался сервер DarkComet Original из этой темы:DarkComet RAT (все версии)
Итак итоги:
Так-как это исследование чисто для себя, то тут не будет никаких графиков, как это бывает на явно не проплаченных тестах, просто поделюсь своими наблюдениями:
- Ну во первых, если говорить про направленные атаки, то практически все пропускают, будь-то кейлоггер или новый криптор...
Причём если говорить про криптор, то если не использовать как в делфи класс string, а использовать динамическое выделение в памяти и работать с шифрованными/расшифрованными данными как с байтами в памяти, то хвалёная технология нода и др.веба детекта в памяти почему-то отваливается, незнаю почему ?
Я использовал ещё эти техники:ВАЖНО - Учимся обходить детект антивирусов - Часть 1.
Весьма работают...
- Массовая атака:
Для проверки времени обнаружения новых угроз, я включил "Облако" у антивирусов (Нод, Касперский), а также залил вирусы на VT и был приятно удивлён:
Нод начал детектить залитые файлы менее чем за 8-мь часов после заливки, причём пропалил не только сами файлы, ну и пути к ним, после утреннего обновления все мои проекты полетели в карантин (Бинарники) !
В общем в кратце выводы следующие:
1) Крипторы сейчас актуальны, НО знайте если вы начнёте распространять заразу, скорей-всего буквально за менее суток будет детект, всё зависит, от попадёт/непопадёт вреданос в облако, если на VT то капец будет будет очень близок, дело нескольких часов скорей-всего...
Возможно частичным решением тут будет, криптовать с разным ключом, разный стаб в каждом билде, каждый раз генерировать мусор в зависимости от случайных данных...:)
2) Почему-то у меня не детектили антивирусы запуск в памяти, ну и обход уже задетектиного стаба, буквально пятиминутное дело...
Как пример в стабе, удалил хук, изменил расположение функции расшифровки данных, тупо поместил его в функцию run и немного разбавил мусором, всё детект пропал...:)
3)Но несмотря на всё выше сказанное, всё-же антивирусы справляются со своей задачей, а это защита от массовых атак, ну а действительно, очень быстрая реакция и облачная защита, буквально за несколько часов может остановит атаку (Всё зависит от объема охвата), но понятно что к сожалению какой-то процент может заразиться, так-что не попадайтесь...:)
От направленной атаки, данные решения бесполезны и практически не защищают...
Особенно если знать какой антивирус стоит у жертвы, достаточно скачать его к себе и потестить, если это криптор, то достаточно определить в каком месте детект и скрыть этот код за антиэмуляцией (Определить можно банально и легко, просто комментируя код (Часто API) и проверять детект после билда).
Если исходник какого трояна, то вообще часто достаточно немного поменять код, или поиграть с флагами компиляции, даже не меняя код...:)
Провёл я небольшое исследование, цель этого исследования был посмотреть как популярные антивирусы (Нод, Касперский, Нортон) реагируют на направленные атаки и как быстро будут блокировать угрозы, в случае массовой атаки.
Для этого были написаны простенькие инструменты (С исходниками можете ознакомится ниже):
1. Для направленной атаки, использовался кейлоггер локального действия, упакованный в SFX архив, для отправки логов использовался специальный скрипт, ознакомится с методикой можно здесь:Малварь как искусство - Пишем кейлоггер Stealth Keylogger (100% FUD)
2. Для массовой атаки использовался просто криптор/протектор, которым критовался сервер DarkComet Original из этой темы:DarkComet RAT (все версии)
Итак итоги:
Так-как это исследование чисто для себя, то тут не будет никаких графиков, как это бывает на явно не проплаченных тестах, просто поделюсь своими наблюдениями:
- Ну во первых, если говорить про направленные атаки, то практически все пропускают, будь-то кейлоггер или новый криптор...
Причём если говорить про криптор, то если не использовать как в делфи класс string, а использовать динамическое выделение в памяти и работать с шифрованными/расшифрованными данными как с байтами в памяти, то хвалёная технология нода и др.веба детекта в памяти почему-то отваливается, незнаю почему ?
Я использовал ещё эти техники:ВАЖНО - Учимся обходить детект антивирусов - Часть 1.
Весьма работают...
- Массовая атака:
Для проверки времени обнаружения новых угроз, я включил "Облако" у антивирусов (Нод, Касперский), а также залил вирусы на VT и был приятно удивлён:
Нод начал детектить залитые файлы менее чем за 8-мь часов после заливки, причём пропалил не только сами файлы, ну и пути к ним, после утреннего обновления все мои проекты полетели в карантин (Бинарники) !
В общем в кратце выводы следующие:
1) Крипторы сейчас актуальны, НО знайте если вы начнёте распространять заразу, скорей-всего буквально за менее суток будет детект, всё зависит, от попадёт/непопадёт вреданос в облако, если на VT то капец будет будет очень близок, дело нескольких часов скорей-всего...
Возможно частичным решением тут будет, криптовать с разным ключом, разный стаб в каждом билде, каждый раз генерировать мусор в зависимости от случайных данных...:)
2) Почему-то у меня не детектили антивирусы запуск в памяти, ну и обход уже задетектиного стаба, буквально пятиминутное дело...
Как пример в стабе, удалил хук, изменил расположение функции расшифровки данных, тупо поместил его в функцию run и немного разбавил мусором, всё детект пропал...:)
3)Но несмотря на всё выше сказанное, всё-же антивирусы справляются со своей задачей, а это защита от массовых атак, ну а действительно, очень быстрая реакция и облачная защита, буквально за несколько часов может остановит атаку (Всё зависит от объема охвата), но понятно что к сожалению какой-то процент может заразиться, так-что не попадайтесь...:)
От направленной атаки, данные решения бесполезны и практически не защищают...
Особенно если знать какой антивирус стоит у жертвы, достаточно скачать его к себе и потестить, если это криптор, то достаточно определить в каком месте детект и скрыть этот код за антиэмуляцией (Определить можно банально и легко, просто комментируя код (Часто API) и проверять детект после билда).
Если исходник какого трояна, то вообще часто достаточно немного поменять код, или поиграть с флагами компиляции, даже не меняя код...:)