Уход от сигнатурного анализа антивирусных сканнеров, о чем упорно молчат антивирусные компании,...или по чем "антивирусный опиум" для народа!?, Реализм полиморфизма, или как положить "на лопатки" любое ан Опции

Добрый день.

После долгого наблюдения за борьбой современных антивирусных средств и продуктов, за кошелек простого пользователя...и всего остального, что измеряется в твердой валюте....решил провести собственное исследование....поработал ручками и головой!!!

И так...что мы будем делать, все просто, как и все генеальное...будем видоизменять, "мутировать" образцы...заразы...пардон, образцы вирусов, которые минимально или вообще не обнаруживаются современными антивирусными средствами, даже от именитых брэндов...Ужас, скажит читатель!?
Нет, все просто мы будем применять возможности классического полиморфизма, а также внесем реализм в данную тему! В данном вопросе, мы используем бесплатные ресурсы с широким набором антивирусных средств, знание кода и языков програмирования (С,С++,JS), и различные HEX-редакторы, и конечно мой любимый GNU/Linux!
Образец первый....трам..пам.пам ...барабанная дробь: Worm.Aliz.A, он же Win32/Aliz.worm, W32/Aliz 2 и так далее, червяк, отвратная вещь для платформы Win32! вот что о нем пишет нам virustotal:
поразмыслив, не много, я решил подкорректировать в редакторе некоторые строчки кода...и получил, вот такой белый и чистый файлик с телом червяка:
Далее, у нас на вивисекции, оказался легенький exploit, он же по версии того же ресурса: JS.Seeker.K
, JS.Except.A, Trojan.JS.Seeker-1 и т.д., вот его личины: , посмотрели ужаснулись, опять такая гадость!
Теперь делаем с ним тоже, что и с первым червяком, Ррраз:
А теперь и еще:, вот так!

И что мы теперь видим? Просто вирусы у нас, под нашими заботливыми руками и с применением полиморфизма, мутировали также, как их билогические братья, в части червя, так вообще стали безобиднее сытой и довольной морской свинки!!! И это друзья уже реальности нашего дня, кстати весь код в теле заразы, так и остался полностью функциональным, и это самое неприятное...Мда!!!

Кому будет интересно дальнейшее, пишите, спрашивайте? В свободное время постараюсь еще написать и провести интересные эксперименты для вас!!!

С уважением к Вам

Кстати, что же мы применяли....это:
Ubuntu 12.04.1 LTS
Gnome Commander 1.2.8.15
встроенное ПО, в виде браузеров: FireFox 15.1, Midori 0.4.3; текстовый редактор...и все!

P.S. Пока не забыл, и руки, мозг автора топика и полиморфизм...

И еще немного теории, для тех кто не в теме!

1. Полиморфный вирус - вирус, предпринимающий специальные меры для затруднения своего обнаружения и анализа. Не имеет сигнатур, т. е., не содержит ни одного постоянного участка кода. В большинстве случаев два образца одного и того же вируса-полиморфика не будут иметь ни одного совпадения. Достигается это за счет шифрования основного тела вируса и существенной модификации от копии к копии модуля-расшифровщика.
Каждый экземпляр полиморфного вируса шифруется своим ключом. Для шифрования кода полиморфного вируса могут использоваться случайные ключи и алгоритмы шифрования.
Для обнаружения полиморфных вирусов, как правило, используются специально разрабатываемые для каждого полиморфного вируса алгоритмы обнаружения.
2.В классификации CARO полиморфные вирусы в зависимости от их сложности разделяют на несколько уровней.
Уровень 1. Вирусы первого уровня полиморфизма используют постоянные значения для разных расшифровщиков. Их можно обнаружить по некоторым постоянным участкам кода расшифровщика. Такие вирусы принято называть "не совсем полиморфными", или олигоморфными (oligomorphic).
Уровень 2. Ко второму уровню полиморфизма относят вирусы, расшифровщик которых имеет постоянной одну или несколько инструкций. Например, он может использовать различные регистры, некоторые альтернативные инструкции в расшифровщике. Такие вирусы также можно распознать по определенной сигнатуре - заданным сочетаниям байт в расшифровщике.
Уровень 3. Вирусы, использующие в расшифровщике команды, не участвующие в расшифровании вирусного кода, или "команды-мусора", относят к третьему уровню полиморфизма. Это такие команды ассемблера, как NOP, MOV AX, AX, STI, CLD, CLI и т.д. Данные вирусы также можно определить с помощью некоторой сигнатуры, если произвести отсеивание всех "мусорных" команд.
Уровень 4. Вирусы четвертого уровня используют в расшифровщике взаимозаменяемые инструкции и "перемешанные" инструкции без изменения алгоритма расшифрования. Например, ассемблерная команда MOV AX,BX имеет взаимозаменяемые инструкции: PUSH BX - POP AX; XCHG AX,BX; MOV CX,BX - MOV AX,CX и т. д. Детектирование данных вирусов возможно с помощью некоторой перебираемой сигнатуры.
Уровень 5. Пятый уровень полиморфизма включает свойства всех перечисленных уровней, а кроме того, расшифровщик может использовать различные алгоритмы расшифрования вирусного кода. Для расшифровки возможно использование основного вирусного кода, расшифровки части самого же декриптора или нескольких расшифровщиков, поочередно расшифровывающих друг друга либо непосредственно вирусный код. Как правило, обнаружение вирусов данного уровня полиморфизма с помощью сигнатуры невозможно. Если для обнаружения такого вируса возможен серьезный анализ кода только самого расшифровщика, то для лечения необходимо произвести частичную или полную расшифровку тела вируса, чтобы извлечь информацию о зараженном файле.
Уровень 6. К нему относятся нешифрованные вирусы - т. е. вирусы, состоящие из программных единиц-частей, которые "перемешиваются" внутри тела вируса. Данные вирусы, как "кубики", тасуют свои подпрограммы (инсталляции, заражения, обработчика прерывания, анализа файла и т. д.). Такие вирусы еще называются пермутирующими (permutating).
3.Первым представителем полиморфных вирусов стал "Chameleon" в начале 1990 года, однако проблема стала серьезней чуть позже – в апреле 1991 года была зарегистрирована эпидемия "Tequila". Идея полиморфных вирусов стала столь популярна, что дошло до создания генераторов полиморфных вирусных кодов – первым стал MtE. Кроме того, генератор позволял получать полиморфный вирус из обычного – путем присоединения к OBJ-файлу вируса файла полиморфного кода с идентичным расширением.
Фактически, с появлением генераторов для создания полиморфного вируса не требовалось знать код оригинального вируса – достаточно было просто "скормить" его генератору, и тот делал всю работу за начинающего хакера. Впоследствии полиморфные вирусы стали крайне популярны, так как для их отлова требуются специальные математические алгоритмы восстановления исходного кода вируса, эмуляция исполняемого вирусом действий и другие сложности.
Генераторы полиморфных вирусов также совершенствовались – в середине девяностых это были MTE 0.90 (Mutation Engine), TPE (Trident Polymorphic Engine), четыре версии NED (Nuke Encryption Device) и DAME (Dark Angel's Multiple Encryptor).
Полиморфные вирусы активно развивались примерно до начала XXI века, однако затем произошел общий крен вирусописательства в сторону червей и троянов. Технология постоянной мутации кода для затруднения обнаружения антивирусными программами временно оказалась невостребованной.
Однако начиная примерно с 2003 года полиморфизм снова начинает привлекать внимание вирусного сообщества. Это было вызвано тем, что антивирусные программы все больше и больше совершенствовались, и уже стало нельзя использовать в качестве инструментов скрытия кода различные программы-паковщики, которые были на тот момент излюбленным детищем вирусописателей.

[julius]

Texneker, а у самого в подписи такая обнадеживающая фраза написана "Чтобы быть уверенным в прочности обороны, укрепляй позиции, которые противник не может атаковать."! Укрепляй, не укрепляй... Так, что, все антивирусники уязвимы? Если да, то какова вероятность зацепить такой "исправленный" вирус?

Я всего лишь показал, вершину айсберга, тщательно укрытую или сокрытую маркетингом антивирусных технологий. Есть фраза: "против лома нет приема..." дальше многие знают!? Так и с полиморфами, пока защита не будет основываться на полиморфизме, даже работая в четкий границах "песочниц", мы из года в год, будем бездарно тратить финансовые средства и время, на попытки угнаться за "паровозами" средств атак и уязвимостей...Панацеи, как таковой нет, но если посмотреть на биологические решения в природе , то можно взять оттуда много полезного, но это не про антивирусные технологии - это очень сложный вопрос концепции и задач, когда разработчику надо знать, не как и откуда, а укреплять позиции, где не может быть вообще... , даже проактивные системы тут буксуют на каждом шагу из-за узости человеческого мышления (читай желания маркетологов), т.е. сделать шаг от проактивности (передактивности), к активности динамических средств обнаружения и активного изменения возможностей защиты, аналог иммунные системы всех без исключения живых организмов. Нелинейнные алгоритмы с реальным полиморфизмом систем безопасности на уровне кода, а не процессов и привилегий, где в принципе исключен пользователь с его человеческим фактором, самообучение, без тотальной эвристики и сигнатурного анализа...

Все или почти все антивирусные продукты, это таблетка аспирина или очень хорошего сбалансированного противовирусного препората, в Вселенной изменчивости вирусов, изменчивость - вот ключ к проблеме защиты, не защищать все то, что можно защитить, а только когда необходимо, и в нужный момент времени, тратя ресурсы на защиту только того, что может пострадать в будущем!!! От реальных полиморфов, нет не тех, которые создаются на программных генераторах полиморфного кода и несут в себе код не полиморфника-родителя, а тех которые в зависимости от среды, подвержены локальному мутогенезу, пока ничего в принципе реального нет....мы подходим к эпохи развитого ЭВО (электронно-вирусного оружия), также и к естественному отбору сред и средств выживших и также мутировавшихся в ареале помлиморфных технологий...как то так!!!Но могу и ошибаться!!!?

Теперь о реальности, зацепить такую заразу, пока меньше 5-10 %, затем когда вирусописатели израсходуют свой постоянный багаж обычных вирусных технологий, плюс повальное увлечение облачными сервисами, вот там то и пойдет развитие, благодатная среда сама разовьет полиморфизм, но успеют ли антивирусные средства, это уже вопрос к будущему!!!

И еще для самых так сказать любопытных...Хэх!!!
Я специально не писал, о самой основе методов и аспектов создания полиморфоного кода, а также о полном арсенале средств исследований и разработки, прошу прощения, но это уже не формат данного форума и тем более не массовый выброс, таких технологий, с бритвой всегда надо быть более осторожным, чем с вилкой!!!!

После обеда, сегодняшнего дня, решил продолжить исследования, нашел в своей базе разной вирусной "заразы", еще один червячок в кейлогере, известной всем геймерам игры, Half-Life 2, и решил поработать над вирусным кодом червяка, всего потребовалось 8 минут, для гарантированного ухода от множества антивирусных стредств, тем более проверял на отдельной машине с установленной Win 7 HP, с установленными обновлениями, MSE+Dr.Web+KIS+Avast+AVG!!!
Было:
Стало:
Сам кейлогер, идеально работает и после мутогенеза...
Кстати напрашивается интересная мысль, о коммерческой реализации технологии для пользования вирусописателей, чур...чур, меня понесло не в ту степь, это был черный юмор....мои извенения!!!

Продолжение следует...

Шутка наших дней: "Новая версия KIS 2013 года, при проверке архива с коллекцией вирусов, отсканировала 1 млн. ед. вирусных угроз, нашла 1-у неизвестную угрозу и деинсталировала сама себя!!!"

Шутка в продолжение темы

Антивирусы на войне

Касперский

Пехотный батальон. Становится лагерем вокруг компьютера, роет окопы и противотанковые рвы, минирует все к чертовой матери, обматывает колючей проволокой в сорок рядов, распределяет сектора обстрела орудий и пулеметов. Получившуюся оборону можно прорвать лишь при пятикратном (как минимум) численном превосходстве и только после многочасовых бомбардировок.
Преимущества: Враг сможет пройти лишь одним способом - превратив компьютер в выжженую пустыню.
Недостатки: Солдат надо кормить, а минные поля и окопы затрудняют перемещение гражданских, так что от ресурсов системы не остается почти ничего.

AVG

Батальон фольксштурма. Вооружен до зубов, но пользоваться оружием не умеет совершенно, периодически стреляя по своим и накрывая артиллерией совсем не те квадраты, отчего очень часто страдают гражданские. При появлении противника на горизонте начинает судорожно разворачиваться в боевой порядок и пытается рыть окопы прямо под пулями, так как совершенно не позаботился о заблаговременной организации обороны. В итоге ничего сделать не успевает, плюет на все и лупит по наползающим танкам из винтовок - разумеется, без особого толку.
Преимущества: Фольксштурмовцы обходятся подножным кормом, так что ресурсы системы практически не страдают.
Недостатки: Беспорядочная пальба по своим и по гражданским, высокая вероятность сдать позиции за считанные минуты при появлении реального противника. (P.S. - freeware, хорошая штука)

Avast

Артиллерийская батарея. Эффективна против лобовой атаки - врага, наступающего на нее с фронта, способна перемолоть практически в любых количествах, почти без потерь для себя. Однако для ударов c фланга и, тем более, против заброшенных в тыл диверсантов, весьма уязвима. Разумеется, после того, как орудия будут развернуты в нужном направлении, перемалываются и диверсанты, но на это требуется время.
Преимущества: Артиллеристы кормят себя сами. Не спрашивайте, как - не знаю. Но система остается почти незатронутой.
Недостатки: Низкая оперативность.

Panda

Женский батальон, составленный из институток, вооруженных старенькими винтовками. При малейшем шорохе начинают истошно визжать и палить наугад (обычно - в небо). При виде противника падают в обморок или разбегаются.
Преимущества: Практически не заметен.
Недостатки: Полезный эффект тоже не заметен.

NOD32

Кавалерийский эскадрон. Оборону держать не обучен вовсе, при виде врага тут же бросается на него в атаку. Пытается взять нахрапом, обычно - психической атакой с шашками наголо. Если это не удается с первого раза, рассеивается по оврагам, уходит в партизаны и ждет подходящего момента чтобы повторить процедуру.
Преимущества: Лучшая оборона - это нападение, так что подобная тактика срабатывает всегда, пусть и не с первого раза.
Недостатки: Иногда приходится ждать очень долго. У местных красоток уже рождаются первые детки, похожие на солдат неприятеля, а эскадрон все еще партизанит по лесам и пускает под откос вражеские поезда с женскими подвязками. (P.S. хороший AV)

McAfee

Танковая бригада. Рычат моторы, пахнет смазкой, чумазые танкисты хватают пробегающих мимо девушек за округлые места, и где-то за лесом идет пальба. Выглядит внушительно и весомо, в бою работает быстро, эффективно и безжалостно. Враг внутрь проникнуть не может хотя бы просто от страха.
Преимущества: Надежность.
Недостатки: Танковая смазка нынче очень дорога, не говоря уже о снарядах и горючем.Иногда забывают за врагов, если вокруг сильно много девушек.

Norton

Вражеская оккупационная армия. Офицеры на правах победителей бесплатно пьют шнапс в роскошных ресторанах, солдаты бегают по дворам, реквизируют съестное, лапают женщин и занимаются мелким бытовым мародерством. Другой-то враг в страну, конечно, уже не пролезет, это да. Но и жизнь в условиях оккупации, знаете ли, тоже не сахар.
Преимущества: Граница на замке. Намертво.
Недостатки: Враг уже внутри.

Dr. Web

Батальон карателей. Окружает компьютер двойным оцеплением, устанавливает военное положение, круглосуточное патрулирование, комендантский час и расстрел на месте за малейшую провинность. Каратели хватаются за оружие по любому поводу, и даже если повода нет, просто жестоко избивают прикладами и коваными сапогами всех, кто покажется им подозрительным, даже если это сам хозяин. Если ходить с поднятыми руками, медленным шагом и повесить на грудь пропуск, есть шанс, что бить будут не сильно и не очень долго.
Преимущества: Враг не пройдет.
Недостатки: Гости и хозяева тоже.

Trend Micro OfficeScan

Батальон наемников-профессионалов. Работают быстро, четко и стопроцентно эффективно, но только за деньги. Не слушают никого, кроме своего центрального офиса. Готовы сжечь даже детский сад или ясли вместе со всеми обитателями, если из центрального офиса сообщат, что это - вражеский опорный пункт.
Преимущества: Nothing personal, just business.
Недостатки: Денег нет? Контракт закрыт, все вопросы к менеджеру.

ClamAV на UNIX-сервере

База инопланетян, осуществляющая входной контроль. Иммунны к земным болезням, неуязвимы к земному оружию. Не очень хорошо разбираются в лицах и форме землян, в сомнительных случаях пропускают.
Преимущества: ресурсы системы не тратятся, вернее, тратятся на сервере.
Недостатки: иногда пропускают врагов.

AVZ Антивирус Зайцева

Профессионал-одиночка, настоящий комиссар с революционным чутьём. Десантируется с флешки, уничтожает наступающие войска напалмом, вычисляет шпионов пятой колонны в тылу, на ходу проводя фейс-контроль всем солдатам командирам союзников. Быстренько чинит повреждения, нанесённые вредителями, даёт кучу советов по повышению революционной бдительности - и без следа уходит в красный закат.
Преимущества: Готов вступить в бой без всяких подготовок и рытья окопов. Обвешан кучей оружия, которое может пригодиться и для мирных целей. Работает исключительно за идею и очень, очень быстро.
Недостатки: Одиночка, со всеми вытекающими.

© автор мне не известен

Шутка в продолжение темы

Антивирусы на войне

© автор мне не известен

Я этот текст вижу уже года два. Но ведь за все это время у некоторых тяжелая пехота значительно сбросила вооружения, появились другие антивирусы, вступившие в войну...
Долго читал здесь как люди спорят кто лучше Каспер или Нод. От Каспера отказался еще два года назад - уж очень его можно быстро сломать и вообще все виснит, даже с памятью большой...

Ну....и????Что вы хотели этим сказать, а точнее написать, юмор он и в Африке - Юмор!!!

Так, что, все антивирусники уязвимы? Если да, то какова вероятность зацепить такой "исправленный" вирус?

Если отбросить маркетинговую лапшу, то спецы по ИБ уже давно знают прописную истину:
НЕТ безопасных систем, нет 100% (или даже хотя бы 99%) эффективного АВПО. Все системы безопасности могут быть максимум - это ДОСТАТОЧНО эффективны для данной конкретной задачи. Но в основном и достаточной жффективности добиться не удается. Социальная инженерия залезет и в мозг.

100% безопасности в простом режиме - деревянных счет, !!!
Достаточная эффективность, эта такая же чушь, как маркетинговые исследования продуктов, эффективность величина переменная у каждого специалиста она своя и разная....не хотел никого обидеть, но мой личный опыт подсказывает, что это так!!!
СИ пасует перед AI, нейроалгоритмы это показывают, когда учился в ТУСУРе, пробывали "обманывать" на натуральных макетах простейшие нейросети, не получалось даже в простейших случаях СИ!!!
С Уважением к Disaron!!!