Страницы

Чего боится малварь...



Чего боится малварь?
Того, что её распотрошат на кусочки, вытащат статичный код, строки, таймстэмпы и имена переменных, нарежут всё это на сигнатуры и скормят антивирусам. Хорошая малварь живет буквально часы, потому что по каждому линку, который вы отправляете в соцсетях, или вставляете в письма, по каждому посещенному вами вебсайту или скаченному / выложенному в сеть файлу обязательно пройдется бот, который запустит файл в песочнице и проанализирует его поведение: пытается ли файл всё шифровать, ставит ли себя в автозагрузку, устанавливает ли новые сервисы и обращается ли к подозрительным IP. И если файл покажется боту подозрительным - хэш, C2C URL и IP будут добавлены в черный список и разлетятся по сигнатурным базам разных вендоров через биржи обмена IoC (Indicatorы of Compromise)  в течении нескольких минут, а сэмпл полетит на стол к аналитику для детального анализа.
Человек выпихнут из первой линии АВ ответа уже давно, именно это и позволяет АВ компаниям громко заявлять о тысячах тысяч проанализированных сэмплов и добавленных сигнатур в день. Все делают песочницы, MDDs (Malware Detonation Devices).

Эффективность песочницы напрямую зависит от того, как точно она может копировать тупого пользователя (который кликает по каждой ссылке и запускает все скачанные файлы на непропатченной XP), а жизнь малвари, соответственно, зависит от того, сможет ли она отличить мимикрирующий AI от теплокровного идиота.


Попав в песочницу, малварь обычно тихо удаляет себя дабы не вызвать детект. Поэтому оригинальным способом защиты от малвари является эмуляция этой самой песочницы на своем ПК. Надежной, конечно, такую защиту не назовешь.. но и ресурсов никаких для нее не надо.

Так вот. Что можно сделать чтобы быть похожим на песочницу:
1. Изменить Mac адрес сетевой карты на адрес из диапазона VMware. Вреда никакого нет, а малварь подумает, что она внутри виртуальной машины и застрелится
 

HKLM\SYSTEM\CurrentControlSet\Control\Class\{4d36e972.....}\[Папка сетевого адаптера]\
Добавьте ключ NetworkAddress со String переменной 005056XXXXXX

2. Установить этот скрипт. Он копирует ping.exe из системной папки Windows в TEMP директорию, переименовывает его в десяток разных имен и запускает с ключами "пингуй 1.1.1.1 раз в час".
Вот список процессов, который вы получите в своей системе на выходе:
"WinDbg.exe","idaq.exe","wireshark.exe", "vmacthlp.exe", "VBoxService.exe", "VBoxTray.exe", "procmon.exe", "ollydbg.exe", "vmware-tray.exe", "idag.exe", "ImmunityDebugger.exe"

Процессы сидят в памяти, но памяти и ресурсов не едят почти совсем. Если малварь захочет получить список запущенных процессов на вашей системе - она увидит целый арсенал средств отладки, который способен отпугнуть даже бывалого сисадмина.

PS Ещё совет - переименуйте файл vssadmin.exe. Это сервис теневых копий, который вирусы вымогатели используют для уничтожения бэкапов.

4 комментария:

  1. Еще такая аналогичная статья есть :)
    https://habrahabr.ru/post/172279/

    ОтветитьУдалить
  2. Я вам больше скажу -- такой вендор даже есть уже: https://www.minerva-labs.com/approach

    ОтветитьУдалить
    Ответы
    1. Ух ты! Круто! Плохо только, что эффективность трюка падает с ростом популярности. Если появился коммерческий продукт - жди новый виток в эволюции малвари.

      Удалить