Telefonino.net network
 
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. NEI PREFERITI .:: | RSS Forum | RSS News | NEWS web | NEWS software |
| PUBBLICITA' | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | CERCA nel FORUM » |

Torna indietro   WinTricks Forum > Antivirus&Sicurezza > Sicurezza&Privacy

Notices

Rispondi
 
Strumenti discussione
Vecchio 27-11-2014, 23.25.46   #1
retalv
Forum supporter
WT Expert
 
L'avatar di retalv
 
Registrato: 13-03-2005
Loc.: Ultima stella a destra
Messaggi: 2.809
retalv è un gioiello raroretalv è un gioiello raroretalv è un gioiello raroretalv è un gioiello raro
Antivirus o presa per il c..o?

Questa è bella e merita raccontarla...

Come qualcuno saprà, mi diverto nella piccola programmazione con AutoIt, una suite che permette di trasformare i propri scripts in eseguibili standalone (.exe).

Come sapranno i più, questo linguaggio ad alto livello è stato spesso usato per generare malware, quindi molti antivirus sono schizzinosi a considerare questi eseguibili non firmati come sicuri, ma sapendolo ti adatti e spesso risolvi con semplici vie traverse o semplicemente accettando il dato di fatto.

Veniamo al dunque: stavo costruendo un loader per un software portable, qundo mi viene in mente di far "macinare" a VirusTotal l'eseguibile.

C'è un semplice trucchetto per provare ad ingannare gli antivirus meno furbi, cioè caricare un'icona di programma più corposa di quella di default facendo "scivolare" di qualche centinaio di kb sia lo script registrato nel software sia l'interprete... a volte funziona...

Ho mandato a VirusTotal l'eseguibile e mi ritornano tre avvertimenti di errore su altrettanti antivirus su un totale di 56: ci sta...

Tento di modificare lo script per eludere la rivelazione farlocca (ci sono diverse scritture al registro di sistema in modalità amministrativa) ma nulla... arrivo fino a scrivere un semplice eseguibile di prova con...

MsgBox(0, "pippo", "pluto", 5)

che apre una semplice finestra con titolo pippo e corpo pluto e attende 5 secondi prima di chiudersi, ma nulla... la rilevazione permane...

Considerando che da diversi mesi non uso antivirus in background ma solo MalwareBytes e COMODO Cleaning Essentials on demand, mi viene il dubbio... hai visto mai che ci sono cascato dentro?

"...è strano... mi collego alla rete solo in virtuale ... ma tutto può essere."
... ho pensato, quindi do una passata con i soliti due antivirus e non trovo nulla, guardo con gmer per i rootkit ma nulla. Visto che una delle tre rilevazioni è data da McAfee-GW-Edition (BehavesLike.Win32.Dropper.dh alias un troian "...e cosa ci fa un troian in un eseguibile appena compilato?") scarico la trial di McAfee Antivirus Plus (non è McAfee Web Gateway ma il suo sporco lavoro di prova per 30gg dovrebbe farlo) per dare una ripassata a tutto il sistemuzzo (4 dischi divisi in 12 partizioni).

Bene... mi iscrivo, scarico, installo, aggiorno, avvio il check completo del sistema (tabula rasa, analisi di tutti i files compresi sia quello/i incriminato/i sia quelli di testo ) dando piena potenza al sistema antivirus (CPU al 100% che si intervalla a 8GB di memoria occupati) ed esco di casa.

Dopo 4 ore torno e trovo la scansione quasi completata (minacce rilevate 0): passa un'altra oretta e termina.

Minacce rilevate... 0 (zero)!

La domanda sorge spontanea. "Mi stai piglianno pu u' culo?!"

Avete un risposta logica a questa amletica domanda?
retalv non è collegato   Rispondi citando
Vecchio 28-11-2014, 10.53.06   #2
LoryOne
Gold Member
WT Expert
 
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
LoryOne è un gioiello raroLoryOne è un gioiello raroLoryOne è un gioiello raro
Rif: Antivirus o presa per il c..o?

Bellissimo 3d, anche dal punto di vista espositivo.
Si, sono eseguibili standalone, ma compressi con upx.
Alcuni semplici passi investigativi preliminari possono essere percorsi per rendersi conto che un virus può:
1 - Essere mal interpretato, anche se rilevato
2 - Essere interpretato correttamente
3 - Essere del tutto ignorato dall'antivirus, se presenta accorgimenti che influiscono sulla metodologia di verifica della signature di confronto

Prova a decomprimerli e farli processare all'antivirus: -> Noti differenze nella rilevazione delle minacce ?
Cerca info sulla metodologia di infezione della minaccia identificata come BehavesLike.Win32.Dropper.dh: ->Esiste una qualche attinenza con lo script compilato e le operazioni che esso compie durante il suo funzionamento ?
L'antivirus ha scarsa affidabilità: -> La minaccia rilevata può essere un falso positivo ?
Le semplici chiamate alle API possono essere ritenute pericolose a priori, indipendentemente dall'esito che producono dopo essere state processate.
La minaccia rilevata coincide con la signature che l'antivirus confronta per rilevarla: -> Una particolare sequenza di bytes coincide con una metodologia ben nota di attacco ?
Qui le possibilità di errore interpretativo si sprecano, soprattutto quando sei certo che il compilato sotto rilevazione deriva da un tuo script del tutto innocuo, ma .... Il compilatore come ottimizza il codice eseguibile che produce ?

Le minacce devono superare tre fasi di rilevazione:
La prima riguarda l'identificazione della possibile minaccia direttamente nel codice compilato PRIMA che esso venga eseguito (le possibilità di bypass sono innumerevoli ed i falsi positivi notevoli)
La seconda riguarda l'identificazione della minaccia NEL MOMENTO STESSO in cui essa ha luogo
La terza riguarda l'identificazione della minaccia DOPO che essa ha avuto luogo, cioè quando le prime due fasi si sono concluse senza essere state bloccate in anticipo.
La seconda e la terza fase (soprattutto la terza) sono stettamente legate alle restrizioni imposte sul sistema e dall'utente che opera in quegli ambiti, quindi una buona dose di esperienza è attribuibile alle conoscenze dell'utente che agisca configurando il S.O. al di la di quelle che sono le impostazioni di default.
Un sistema adeguatamente configurato e dotato di strumenti antimalware è difficile da compromettere, pertanto buona parte delle minacce che attualmente circolano in rete sono dovute a complicità.
___________________________________

Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice
LoryOne non è collegato   Rispondi citando
Vecchio 28-11-2014, 14.37.23   #3
retalv
Forum supporter
WT Expert
 
L'avatar di retalv
 
Registrato: 13-03-2005
Loc.: Ultima stella a destra
Messaggi: 2.809
retalv è un gioiello raroretalv è un gioiello raroretalv è un gioiello raroretalv è un gioiello raro
Rif: Antivirus o presa per il c..o?

Quota:
Inviato da LoryOne Visualizza messaggio
Si, sono eseguibili standalone, ma compressi con upx.
Solo se vuoi che lo siano... tutti i mei compilati non lo sono.

Quota:
Inviato da LoryOne Visualizza messaggio
Alcuni semplici passi investigativi preliminari possono essere percorsi per rendersi conto che un virus può:
1 - Essere mal interpretato, anche se rilevato
2 - Essere interpretato correttamente
3 - Essere del tutto ignorato dall'antivirus, se presenta accorgimenti che influiscono sulla metodologia di verifica della signature di confronto

Prova a decomprimerli e farli processare all'antivirus: -> Noti differenze nella rilevazione delle minacce ?
Cerca info sulla metodologia di infezione della minaccia identificata come BehavesLike.Win32.Dropper.dh: ->Esiste una qualche attinenza con lo script compilato e le operazioni che esso compie durante il suo funzionamento ?
L'antivirus ha scarsa affidabilità: -> La minaccia rilevata può essere un falso positivo ?
Le semplici chiamate alle API possono essere ritenute pericolose a priori, indipendentemente dall'esito che producono dopo essere state processate.
La minaccia rilevata coincide con la signature che l'antivirus confronta per rilevarla: -> Una particolare sequenza di bytes coincide con una metodologia ben nota di attacco ?
Qui le possibilità di errore interpretativo si sprecano, soprattutto quando sei certo che il compilato sotto rilevazione deriva da un tuo script del tutto innocuo, ma .... Il compilatore come ottimizza il codice eseguibile che produce ?

Le minacce devono superare tre fasi di rilevazione:
La prima riguarda l'identificazione della possibile minaccia direttamente nel codice compilato PRIMA che esso venga eseguito (le possibilità di bypass sono innumerevoli ed i falsi positivi notevoli)
La seconda riguarda l'identificazione della minaccia NEL MOMENTO STESSO in cui essa ha luogo
La terza riguarda l'identificazione della minaccia DOPO che essa ha avuto luogo, cioè quando le prime due fasi si sono concluse senza essere state bloccate in anticipo.
La seconda e la terza fase (soprattutto la terza) sono stettamente legate alle restrizioni imposte sul sistema e dall'utente che opera in quegli ambiti, quindi una buona dose di esperienza è attribuibile alle conoscenze dell'utente che agisca configurando il S.O. al di la di quelle che sono le impostazioni di default.
Un sistema adeguatamente configurato e dotato di strumenti antimalware è difficile da compromettere, pertanto buona parte delle minacce che attualmente circolano in rete sono dovute a complicità.
Tutto condivisibile ma a livello teorico...

La teoria cozza con la realtà della semplicità empirica.

Se compili un eseguibile AutoIt che è poco più che un eseguibile da C che ha un'unica istruzione printf, hai un bel da raccontarmi tutto quanto hai scritto con API e statistiche... un antivirus (oltretutto su un gateway WEB) non può permettersi il lusso di interpretare male sino a questo punto, prova ne è che il suo cugino povero (la versione PC) non fa una piega sull'argomento.

Se fossi una ditta e vedo un comportamento che mi obbliga a comprimere e crittografare l'eseguibile per farlo passare indenne, mi verrebbe un giramento di pelotas indescrivibile... poi la solita favola "...è meglio che non ne passi uno sano che 100 infetti..." la raccontano a chi non arriva a pensare che l'errore può avvenire (e avviene) anche in senso inverso.
retalv non è collegato   Rispondi citando
Vecchio 28-11-2014, 14.57.48   #4
LoryOne
Gold Member
WT Expert
 
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
LoryOne è un gioiello raroLoryOne è un gioiello raroLoryOne è un gioiello raro
Rif: Antivirus o presa per il c..o?

Se non li comprimi non cambia comunque la solfa: può capitare che ti venga rilevato come virus quando lo comprimi, ma sai che non lo è.
Le tecniche utilizzate per mascherare il contenuto di codice malevolo all'interno di un file si basano sulla possibilità di manomettere il contenuto per invalidare la signature, pur mantenendo inalterata l'operatività dell'eseguibile al momento del richiamo per la sua esecuzione.
L'antivirus può verificare il contenuto dello stream TCP/IP o il contenuto del file a download effettuato. In entrambi i casi il virus può essere scaricato tranquillamente, ma entra in funzione se eseguito (se .exe ad esempio o via script attraverso il browser). E' sulla macchina destinazione che il virus deve essere bloccato; Se poi l'av è presente anche su un dispositivo di rete, è anche meglio. Se poi il malware risiede addirittura su un server, allora ...
Perchè tu hai utilizzato l'ottimo gmer ?
___________________________________

Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice
LoryOne non è collegato   Rispondi citando
Vecchio 28-11-2014, 19.32.04   #5
LoryOne
Gold Member
WT Expert
 
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
LoryOne è un gioiello raroLoryOne è un gioiello raroLoryOne è un gioiello raro
Rif: Antivirus o presa per il c..o?

Non a caso, infatti, l'antivirus viene aggiornato in funzione della metodologia di infezione e delle tecniche di elusione del riconoscimento preventivo.
L'aggioramento prende in considerazione il motore di scansione e/o l'interfaccia e/o l'aggiunta di funzionalità; Può capitare che il db delle firme venga riscaricato da zero, poichè la sua struttura cambia e non è più compatibile; Tornerà ad essere nuovamente incrementale solo dopo, fino a nuovo aggiornamento strutturale.
Però, le signatures non bastano.
Gli antivirus, non sono tutti uguali; Ognuno differisce dagli altri proprio nel motore di scansione la cui affidabilità non è garantita al 100% e mai lo sarà.
Ecco perchè oggigiorno per non essere infettati bisogna che lo strumento di protezione sopperisca in maniera adeguata a quelle tre fasi, dove il fattore umano (inteso come conoscenza ed utilizzo appropriati) conterà anche in futuro come nel passato.
Sicuramente non esiste e mai esisterà un software più intelligente dell'uomo e della sua fantasia creativa, che possa sostituirlo nella tutela della propria sicurezza, che possa evitare sempre e comunque di cadere in trappola: Il problema risiede nell'esecuzione del codice da parte del processore: Non importa il veicolo di trasmissione, non importa quale S.O si ha in uso, non importa la dimensione in bytes o una sequenza specifica...Può eseguire la stessa operazione in tanti modi diversi con tante sequenze di bytes diverse: Decidere cosa sia pericoloso e cosa non lo sia, non dipende dal processore: Lui esegue e basta.
___________________________________

Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice
LoryOne non è collegato   Rispondi citando
Rispondi


Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)
 
Strumenti discussione

Regole di scrittura
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is ON
Gli smilies sono ON
[IMG] è ON
Il codice HTML è OFF

Vai al forum

Discussioni simili
Discussione Autore discussione Forum Risposte Ultimo messaggio
[Guida] Rimuovere i Rogue, Falsi AntiVirus VincenzoGTA Guide 0 10-01-2012 19.13.38
.:: Removal Tools AntiVirus - Update ::. Giorgius Sicurezza&Privacy 282 03-01-2010 17.21.05
ClamWin Free Antivirus 0.90.1.1 Thor Archivio News Software 0 11-04-2007 18.09.54
[XP] processi aperti, CPU al 100% overkill22 Windows 7/Vista/XP/ 2003 33 12-01-2006 21.22.30
win2k - scheda Ati - Norton Antivirus lele_82 Windows 9x/Me/NT4/2000 4 10-11-2003 00.12.25

Orario GMT +2. Ora sono le: 22.16.32.


E' vietata la riproduzione, anche solo in parte, di contenuti e grafica.
Copyright © 1999-2017 Edizioni Master S.p.A. p.iva: 02105820787 • Tutti i diritti sono riservati
L'editore NON si assume nessuna responsabilità dei contenuti pubblicati sul forum in quanto redatti direttamente dagli utenti.
Questi ultimi sono responsabili dei contenuti da loro riportati nelle discussioni del forum
Powered by vBulletin - 2010 Copyright © Jelsoft Enterprises Limited.