1
  1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.
Приветствуем вас,Гость, на форуме IFUD.WS. Обязательно рекомендуется к прочтению правила форума http://ifud.ws/threads/obnovleno-pravila-foruma.7759

Как обойти VirusTotal

Тема в разделе "Крипторы | Джойнеры", создана пользователем peredoz, 21 мар 2016.

Метки:
  1. TopicStarter Overlay
    peredoz

    peredoz

    Регистрация:
    28 ноя 2015
    Сообщения:
    85
    Симпатии:
    14
    Специалист по информационной безопасности под ником evasiv3 опубликовал на прошлой неделе запись в своем блоге, в которой рассказывается о том, как можно обойти любой антивирус при помощи десяти строк кода.

    Изначально Evasiv3 планировал написать огромный пост о способах обхода антивирусной защиты, однако, протестировав первый шаг своего «руководства» он был очень удивлен: ни один из 56 протестированных продуктов, призванных обеспечить безопасность пользователя в сети, не обнаружил его бинарник.

    image
    После получения подобного результата я решил отказаться от своей идеи долгого и изматывающего обхода антивирусной защиты и действовать быстро, «грязно», но при этом невероятно просто.


    В своей работе evasiv3 использовал Veil-Evasion, часть Veil-Framework'a. Автор отмечает его как «превосходный инструмент, который почти никогда его не подводил».

    Код, представленный ниже, написан на С++ и ориентирован на атаку, в первую очередь, windows-платформы:

    #include <windows.h>
    #include <iostream>
    int main(int argc, char **argv) {
    char b[] = {/* your XORd with key of 'x' shellcode goes here i.e. 0x4C,0x4F, 0x4C */};
    char c[sizeof b];
    for (int i = 0; i < sizeof b; i++) {c = b ^ 'x';}
    void *exec = VirtualAlloc(0, sizeof c, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
    memcpy(exec, c, sizeof c);
    ((void(*)())exec)();
    }

    Приведенный выше код создает массив символов с шелл-кодом, выполняет операцию XOR с невероятно сложным ключом «х» в нижнем регистре, выделяет немного памяти, копирует массив в нее и после выполняет.

    Если вы сейчас подумали «да ладно!», то у вас та же реакция, что и у Evasiv'a. Масла в огонь подливает тот факт, что бинарник был обнаружен 0 антивирусов из 56 после проверки через VirusTotal. Продемонстрированный выше АВ-обход показывает, что простейший и основной метод проникновения до сих пор является рабочим.

    Конечно, большинство антивирусов сосредоточены на пресечении эксплуатации уязвимостей, а не на них выявление, так что «хоронить» их пока рано.

    Источник: Please login or register to view links
     
    • Like Like x 1
    Метки:
  2. ResH

    ResH Команда форума

    Регистрация:
    26 июл 2012
    Сообщения:
    1.679
    Симпатии:
    2.272
    evasiv3 начни выпускать крипторы :D
     
  3. TopicStarter Overlay
    peredoz

    peredoz

    Регистрация:
    28 ноя 2015
    Сообщения:
    85
    Симпатии:
    14
    Кстати, сам фрэймворк очень интересный: Please login or register to view links
     

Поделиться этой страницей

Загрузка...