17 Марта, 2009

Автоматический генератор вирусных сигнатур для ClamAV

snortgroup

Как известно, большая часть вредоносного ПО распространяется в виде исполняемых файлов, обработанных PE-пакером, что бы уменьшить размер и скрыть контент. Обычно когда аналитики определяют что файл является вредоносным и использует PE-пакер, который ClamAV пока еще не может распаковать, приходится вручную выявлять сигнатуру секции данных запакованного PE-файла.

Собственно этой достаточно рутинной работой занимался Браен Кастл из VRT Sourcefire, пока не решил несколько облегчить себе жизнь. Вместо запоминания всех известных PE-пакеров, и секций данных, в которых обитает вредоносный код, он разработал программку, которая этот процесс автоматизирует.

pe-sig - утилита, написанная на Ruby, использует PE-паресер и библиотеку сигнатур от Metasploit 3. Программа автоматически генерирует сигнатуру секции PE-файла, которую можно сразу использовать в Clam AV.

При испытании файла, запакованного pklite, pe-sig выдала следующую сигнатуру:

16384:39ae378e47f13ceecca20d06201d0cc1:SIGNATURE__.pklstb__PKLITE32v1.1 [535]

А вот сигнатура, которая была выделена в середине 2008 года для того же файла:

16384:39ae378e47f13ceecca20d06201d0cc1:Trojan.Downloader

Что называется, найдите 10 отличий.

Если мы исследуем незапакованный PE-файл или использующий пакер, для которого у нас нет сигнатуры, програмка выдаст нам следующее:

157105664:8d85afc534f0b55fde3781a34ee8d995:UNKNOWN__.rsrc
34304:ae582babaad5a738c32ad1c074e1f3e2:UNKNOWN__.text
1024:730893b14fc930a187215e7fb53bc0a5:UNKNOWN__.data

Основываясь на этом можно сделать вывод, что запакованные данные хранятся в .rsrc. Необходимо будет найти сигнатуру для запакованной части исполняемого файла, добавить в лист сигнатур, указав что запакованные данные находятся в .rsrc . Соответственно, когда придется в следующий раз столкнуться с этим же пакером, не нужно будет вспоминать что это за пакер, где у него данные хранятся. Всю эту работу программка сделает за нас.

Русская группа пользователей Snort
http://www.snortgroup.ru

Оригинал статьи: http://vrt-sourcefire.blogspot.com/2009/03/generating-virus-signatures-automated.html
Утилиту можно скачать здесь: http://www.snort.org/vrt/tools/
или введите имя

CAPTCHA
NYUTON_A
30 Декабря, 2012
через смс и как сделать её максимально дешево,
0 |