Чего боится малварь...

Чего боится малварь...


Чего боится малварь?
Того, что её распотрошат на кусочки, вытащат статичный код, строки, таймстэмпы и имена переменных, нарежут всё это на сигнатуры и скормят антивирусам. Хорошая малварь живет буквально часы, потому что по каждому линку, который вы отправляете в соцсетях, или вставляете в письма, по каждому посещенному вами вебсайту или скаченному / выложенному в сеть файлу обязательно пройдется бот, который запустит файл в песочнице и проанализирует его поведение: пытается ли файл всё шифровать, ставит ли себя в автозагрузку, устанавливает ли новые сервисы и обращается ли к подозрительным IP. И если файл покажется боту подозрительным - хэш, C2C URL и IP будут добавлены в черный список и разлетятся по сигнатурным базам разных вендоров через биржи обмена IoC (Indicatorы of Compromise)  в течении нескольких минут, а сэмпл полетит на стол к аналитику для детального анализа.
Человек выпихнут из первой линии АВ ответа уже давно, именно это и позволяет АВ компаниям громко заявлять о тысячах тысяч проанализированных сэмплов и добавленных сигнатур в день. Все делают песочницы, MDDs (Malware Detonation Devices).

Эффективность песочницы напрямую зависит от того, как точно она может копировать тупого пользователя (который кликает по каждой ссылке и запускает все скачанные файлы на непропатченной XP), а жизнь малвари, соответственно, зависит от того, сможет ли она отличить мимикрирующий AI от теплокровного идиота.

name='more'>
Попав в песочницу, малварь обычно тихо удаляет себя дабы не вызвать детект. Поэтому оригинальным способом защиты от малвари является эмуляция этой самой песочницы на своем ПК. Надежной, конечно, такую защиту не назовешь.. но и ресурсов никаких для нее не надо.

Так вот. Что можно сделать чтобы быть похожим на песочницу:
1. Изменить Mac адрес сетевой карты на адрес из диапазона VMware. Вреда никакого нет, а малварь подумает, что она внутри виртуальной машины и застрелится
 

HKLMSYSTEMCurrentControlSetControlClass{4d36e972.....}[Папка сетевого адаптера]
Добавьте ключ NetworkAddress со String переменной 005056XXXXXX

2. Установить этот скрипт. Он копирует ping.exe из системной папки Windows в TEMP директорию, переименовывает его в десяток разных имен и запускает с ключами "пингуй 1.1.1.1 раз в час".
Вот список процессов, который вы получите в своей системе на выходе:
"WinDbg.exe","idaq.exe","wireshark.exe", "vmacthlp.exe", "VBoxService.exe", "VBoxTray.exe", "procmon.exe", "ollydbg.exe", "vmware-tray.exe", "idag.exe", "ImmunityDebugger.exe"

Процессы сидят в памяти, но памяти и ресурсов не едят почти совсем. Если малварь захочет получить список запущенных процессов на вашей системе - она увидит целый арсенал средств отладки, который способен отпугнуть даже бывалого сисадмина.

PS Ещё совет - переименуйте файл vssadmin.exe. Это сервис теневых копий, который вирусы вымогатели используют для уничтожения бэкапов.
Alt text

В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

Артем Агеев

root@itsec.pro:~#