Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker

Dark-forum

Информация о пользователе

Привет, Гость! Войдите или зарегистрируйтесь.


Вы здесь » Dark-forum » Халявные » Еще раз про FUD


Еще раз про FUD

Сообщений 1 страница 20 из 487

1

Начало.
Краткая теория защиты "специфического" программного обеспечения от детектирования антивирусами в вопросах и ответах

1. >Сколько продержится FUD?
Один из самых тупых и надоедливых вопросов клиентов. Клиент даёт нам файл, мы его криптуем, убеждаемся на чекерах, что он ФУД; проверяем на Virtual Box, как правило на х64 Windows 7 и х86 Windows XP, что он работает (если встроена защита от VM – смотрим что крипт отрабатывает без проблем) и передаем закриптованный файл. Дальнейшие очевидные действия клиента – постановка на траф или обновление существующего ботнета. Причем на всем вашем трафе или ботнете будет находиться один и тот же файл – с одинаковой сигнатурой, импортом etc. Сигнатура, как правило,
может быть выделена антивирусным программным обеспечением на многих этапах.
Этапы возможного выделения сигнатур файла антивирусным ПО, по порядку использования:
• Выделение сигнатуры на этапе использования не надёжной связки или при обновлении ботнета;
• Непосредственно на целевой машине, при подозрениях с точки зрения эвристики и поведенческих аналализаторов, защищаемого софта;
[Здесь не рассмотрена возможность анализа файлов загружаемых извне в чистом не зашифрованном виде на Облачном уровне корпоративными системами раннего обнаружения вирусной угрозы и подобными системами провайдеров]
После обнаружения подозрений, файл, как правило передается в АВ – контору для исследований и его сигнатура добавляется в базу, после чего АВ – конторы иногда обмениваются между собой информацией или просто воруют друг у друга. Все файлы вашего ботнета с момента обновления базы становятся частично детектируемыми (PD), а со временем практически полностью детектируемыми (FD). Тем не менее, если использовался полиморфный криптор, данная проблема может быть решена как правило вовремя элементарным рекриптом без чистки.
Рекомендации:
• На этапе разработки применение модульности, обеспечивать максимальную скрытность основного модуля софта. Или при покупке софта – смотреть не только на его функционал, а на возможность применения "родных" модулей типа плагинов, но и на количество детектов и чем детектится новый билд, а так же на отсутствие специфики файла, например таких как оверлей; обращать особое внимание на «криптуемость» файла;
• Передавать не закриптованные и закриптованные файлы только в архивах с не тривиальным паролем;
• Использование обязательного динамического шифрования данных при обновлении ботнета;
• Использование только «надёжных» связок при прогрузах, т.к. она сама по себе может «спалить» файлы;
• Самое оптимальное, что может быть – использование встроенного в Админ –панель автоматического криптора, с возможностью криптования на лету, так что бы на каждой машине ботнета файл был хотя бы с уникальной сигнатурой, не говоря уже о пермутированности, морфинге каждого билда и т.д.

Продолжение следует….
__________________________________________________ ______________

2

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

3

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

4

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

5

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

6

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

7

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

8

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

9

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

10

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

11

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

12

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

13

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

14

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

15

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

16

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

17

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

18

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

19

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

20

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.


Вы здесь » Dark-forum » Халявные » Еще раз про FUD


Рейтинг форумов | Создать форум бесплатно