FUD и с чем его едят

Storage

Banned
Сообщения
24
Оценка реакций
11
Please note, if you want to make a deal with this user, that it is blocked.
FUD crypter 2012 wildhacker.jpg
FUD для дураков


  • >Сколько продержится FUD?
  • Один из самых тупых и надоедливых вопросов клиентов крипторов. Клиент дает файл, мы его

    Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

    , убеждаемся на чекерах, что он ФУД; проверяем на Virtual Box, как правило на х64 Windows 7 -10 и х86/х64, даже Windows XP, что он работает (если встроена защита от VM – смотрим что крипт отрабатывает без проблем) и передаем закриптованный файл. Дальнейшие очевидные действия клиента – постановка на траф или обновление существующего ботнета. Причем на всем вашем трафе или ботнете будет находиться один и тот же файл – с одинаковой

    Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

    . Сигнатура, как правило,
  • может быть выделена антивирусным программным обеспечением на многих этапах.
  • Этапы возможного выделения сигнатур файла антивирусным ПО, по порядку использования:
  • Выделение сигнатуры на этапе использования не надёжной связки или при обновлении ботнета;
  • Непосредственно на целевой машине, при подозрениях с точки зрения эвристики и поведенческих аналализаторов, защищаемого софта;
[Здесь не рассмотрена возможность анализа файлов загружаемых извне в чистом не зашифрованном виде на Облачном уровне корпоративными системами раннего обнаружения вирусной угрозы и подобными системами провайдеров]

После обнаружения подозрений, файл, как правило передается в АВ – контору для исследований и его сигнатура добавляется в базу, после чего АВ – конторы иногда обмениваются между собой информацией или просто воруют друг у друга. Все файлы вашего ботнета с момента обновления базы становятся частично детектируемыми (PD), а со временем практически полностью детектируемыми (FD). Тем не менее, если использовался

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

криптор, данная проблема может быть решена как правило вовремя элементарным рекриптом без чистки.


Рекомендации:

  • На этапе разработки применение модульности, обеспечивать максимальную скрытность основного модуля софта. Или при покупке софта – смотреть не только на его функционал но и на количество детектов и чем детектится новый билд, а так же на отсутствие специфики файла, например таких как оверлей; обращать особое внимание на «криптуемость» файла;
  • Передавать не закриптованные и закриптованные файлы только в архивах с не тривиальным паролем;
  • Использование обязательного динамического шифрования данных при обновлении ботнета;
  • Использование только «надёжных» связок при прогрузах, т.к. она сама по себе может «спалить» файлы;
  • Самое оптимальное, что может быть – использование встроенного в Админ – панель автоматического криптора/апдейтера, с возможностью криптования на лету, так что бы на каждой машине ботнета файл был с уникальной сигнатурой.
  • > Так что велком на крипт, только те кто в теме

    Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.


  • Лирическое отступление:
    Т.к. данная статья была написана сравнительно давно, нужно отметить:

    Со времен применения полиморфизма/пермутации и метаморфинга в стабах, которые были задуманы как панацея от статического сканирования и сигнатурного выделения/обнаружения появились новые технологии обхода рантайм эмуляторов aka песочниц AV. Продолжение следует...
 
Последнее редактирование:
  • Like
Реакции: r3dix0r и fu11p0w3r