Суббота, 05.10.2024, 00:40 Приветствую вас Гость | Группа "Гости" 
[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 1 из 1
  • 1
Модератор форума: Marra_Kesh, xXxSh@dowxXx  
Немного размышлений о VX сегодня
Anton93Дата: Воскресенье, 12.10.2014, 17:43 | Сообщение # 1
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
Все, что описано ниже, моё личное мнение, которое я обосную на фактах, оно может быть ошибочным, это нормально, посему критику очень приветствую.

За последние 2 года, по данным облачных АВ сервисов, и личной статистике, я уже не вижу массовой эпидемии какого-нибудь червя, как это было лет 5 назад. Я не беру во внимание примитивные Autorun-поделки, которых раньше кодилось тоннами, я говорю о серьезных продуктах, таких как Sality, Virut. Которые для распространения заражают исполняемые файлы, в качестве основной техники используют EPO (сокрытие точки входа), основной код при этом шифруется, генерится один или несколько декрипторов, и цепляется к последней секции.



Так о чем это я?
Куда все это ушло? Что поменялось за пару лет?

По моим наблюдениям алгоритмы работы АВ не сильно изменились. Технике EPO, уже лет 10, если не ошибаюсь, и она до сих пор канает. Декрипторы метаморфные, оставшийся статичный код перезашифровывается каждый раз, и получившаяся последовательность байт тоже не постоянна. Перенеся все это на Server-side уровень, мы лишаем эвристику и АВ-контор любого шанса создать сигнатуру. Ведь генератора семплов не будет в самом теле, соответственно нельзя угадать как расшифровщик будет выглядеть в следующий раз. Нет, ты сейчас скажешь, что хитрые аверы назаражают 10 000 EXE'мпляров и постараются сделать некую регулярку, чтобы обнаружить его, но тогда можно применить технологию медленного метаморфизма, когда генерация происходит из внешних факторов среды, например в одно время дня, семплы генертся по одной конструкции, в остальное, по другой. И таких вариаций может быть ооочень много.



Собственно, самый главный вопрос из всего того что я написал выше: применяя все эти техники можно создать червя которых с легкостью может распространиться на очень большие масштабы, однако сегодня я этого не вижу, почему?

Прошу обратить внимание, я исключил из текста:
1) использование эксплоитов, так как по большей части для них нужны либо хорошие деньги (ага LNK-Exploit ой как дорого помню на забугорных форумах толкали), либо очень высокая квалификация и терпение для реверсинга;
2) использование сертификатов (опять же затратно, да не дай бог отзовут, тогда опять плати);
3) использование драйверов (опять же из-за затратности на сертификат, потому что современная винда не хавает левые драйвера).
Прикрепления: 0440273.png (11.5 Kb) · 7548148.png (21.2 Kb)


ICQ: 41896

Сообщение отредактировал Anton93 - Воскресенье, 12.10.2014, 18:10
 
xXxSh@dowxXxДата: Понедельник, 13.10.2014, 18:43 | Сообщение # 2
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Цитата Anton93 ()
однако сегодня я этого не вижу, почему?

тут складывается сразу множество факторов:

1) кодеров такого уровня, имеющих хорошую квалификацию для разработки, написания и организации целого комплекса мер по поддерживанию дальнейшей жизнедеятельности подобного "зверя", не так много, и они уходят от этого со временем на другой уровень, а порой и вовсе в другую область, не заниматься же этим постоянно!?

2) вечная проблема с серверами, постоянный контроль, перенос бэкапов в случае его закрытия по каким либо причинам, поддержание анонимности серверов и тп.

3) сама суть активного распространения "червей" сводится к тому что ты уже описал в исключениях: использование актуальных уязвимостей (эксплоитов), да бы не зависнуть в пределах одной машины или локальной сети, ну и к тому же если делать по уму и браться за дело конкретно, то и без драйверов скорее всего будет не обойтись, а как ты уже успел заметить - новые ОС'и не хавают левые драйвера!

PS: уже только с этим списком проблем, заниматься чем то подобным становиться довольно затруднительно, тем более если все делается лишь на собственном интузиазме, другое дело когда тебе поступает заказ на что то подобное, как скажем было с гениальным "червем - Stuxnet" от 2010 года, (если ты еще не слышал или не читал о нем, очень советую) ведь по многочисленным догадкам экспертов, в области кибер-безопасности, это был заказной проект гос. масштаба, его разработчики, а это однозначно была группа профессионалов, продумали практически все возможные аспекты, и использовали на то время аж два сертификата безопасности и четыре 0-day уязвимости.
 
Anton93Дата: Понедельник, 13.10.2014, 20:37 | Сообщение # 3
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
xXxSh@dowxXx,

Цитата
"червем - Stuxnet" от 2010 года, (если ты еще не слышал


да как же про него можно было не услышать, крутясь в этой сфере? я неоднократно тут на форуме про него упоминал.

Цитата
кодеров такого уровня, имеющих хорошую квалификацию для разработки, написания и организации целого комплекса мер по поддерживанию дальнейшей жизнедеятельности подобного "зверя", не так много


да вот не скажи. на wasm.ru и подобных форумах, очень много тем о том что я писал вышел, так же я видел сотни объявлений о продаже исходников таких "игрушек", обладающих свойствами, описанными выше, посему людей такого уровня сейчас не мало, не как это было лет 10 назад.

Цитата
вечная проблема с серверами, постоянный контроль, перенос бэкапов в случае его закрытия по каким либо причинам, поддержание анонимности серверов и тп.


где-то я видел разбирался тоже интересный червь, там очень подробно была расписана технология общения с сервером и его быстрого переключения, если найду - вынесу в тему. сейчас это уже не проблема.

Цитата
сама суть активного распространения "червей" сводится к тому что ты уже описал в исключениях: использование актуальных уязвимостей


нет) как раз таки Sality в версиях до 2010 годов не использовал уязвимости, а распространялся через заражение (по данным KSN он был на первом месте очень много лет. до 60% пораженных ПК по миру). и сейчас это единственный рабочий метод, на чем я и хотел сделать аспект в данной теме.


ICQ: 41896
 
Волк-1024Дата: Вторник, 14.10.2014, 01:06 | Сообщение # 4
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
Цитата xXxSh@dowxXx ()
не заниматься же этим постоянно!?

Таки да, постоянный кодинг со временем порядком осточертевает, да и сфера IT в общем тоже. Вечно гнуть спину перед ящиком - на это не каждый пойдёт)

Ну а черви - это не модно что ли наверно уже, либо, скорее всего, не выгодно.

Цитата Anton93 ()
Sality

Помню словил я как-то себе Win32.Sality.aa - так она весь винт пожрала, все exe были битыми или зараженными.


Pascal, C\C++, Assembler, Python
 
Anton93Дата: Вторник, 14.10.2014, 18:13 | Сообщение # 5
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
Волк-1024,

Цитата
Таки да, постоянный кодинг со временем порядком осточертевает, да и сфера IT в общем тоже. Вечно гнуть спину перед ящиком - на это не каждый пойдёт)


дык тут не за бесплатно же. указанные выше черви составляли большой ботнет. а на нем не хило можно капусту рубить.
Virut к примеру Zeus'a раздавал насколько я знаю. т.е. это был заказ владельцам ботнета. зевса контролировали уже не они

Цитата
Помню словил я как-то себе Win32.Sality.aa - так она весь винт пожрала, все exe были битыми или зараженными


с боевым крещением тебя, ты поймал по истине адскую штуку wink


ICQ: 41896
 
xXxSh@dowxXxДата: Вторник, 14.10.2014, 19:32 | Сообщение # 6
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Цитата Волк-1024 ()
постоянный кодинг со временем порядком осточертевает, да и сфера IT в общем тоже. Вечно гнуть спину перед ящиком - на это не каждый пойдёт)

Мне например сам кодинг не надоедает, тем более если стараться постоянно в нем совершенствоваться и изучать что то новое, не крутясь в одной и той же тематике.
Ну а что касается проектов на личном энтузиазме, то тут конечно напряжно, не на долго меня хватает, тем более если делаешь все в одиночку.
 
  • Страница 1 из 1
  • 1
Поиск:

delphicode.ru © 2008 - 2024 Хостинг от uCoz