Начнем с азов. Кибер-атаки, в т.ч. и вирусные, делятся на два основных класса: (1) оппортунистическиеи (2) целенаправленные. Оппортунистический подход, это когда хакер выпускает на свободу вирус, в надежде, что он попадет на компьютер, на котором по каким-то причинам не установлены последние обновления ПО. Таких компьютеров большинство, поэтому шансы хакера велики. С другой стороны, если на компе установлены все патчи, а за клавиатурой сидит пользователь с минимальными зачатками интеллекта, то шансы моментально сокращаются. Или же пусть хакер пытается вломиться на веб-сервер. Просканировав его при помощи сканера уязвимостей, он обнаруживает, что очевидных дыр в безопасности сервера нет, и решает не напрягаться и поискать цель по-проще. Это тоже пример оппортунистической атаки.
Во время целенаправленной атаки хакер не отступает и не переключается на более доступную цель, а делает все от него зависящее для осуществления успешного взлома. Как правило, подобные атаки происходят не случайно и хорошо финансируются. Не мудрено, кибер-пространство с каждым днем криминализируется все больше и больше, а прибыль от кибер-преступности в этом году превысила мировой доход от наркоторговли.
Так вот, антивирус способен "поймать" только оппортунистический вирус. Все антивирусы работают по принципу обнаружения т.н. сигнатур - участков кода известных вирусов. Коллекции таких сигнатур называются антивирусными базами данных. Помимо обнаружения по сигнатурам, существует также техника эвристического анализа, но этот подход требователен к ресурсам и все еще находится в зачаточном состоянии, посему не эффективен. Вот и выходит, что если очень захотеть, то можно имеющийся вирус модифицировать таким образом, что ни один антивирус его не обнаружит. Не верите? Я тоже сомневался, пока сам не попробовал.
Я знаком с двумя инструментами, способными изменить вредоносный код до неузнаваемости антивирусами. Первый - это PEscrambler Ника Харбора, второй - msfencode, входящий в состав Metasploit Framework . Msfencode вроде бы более эффективен, но не всегда есть под рукой. Зато PEscrambler - это обычный ехе-шник, всегда доступный для скачивания на сайте автора . Если кому-то захочется проверить эффективность их работы - милости прошу. Для теста можно использовать что-то не очень опасное, но единогласно обнаруживаемое антивирусами как вредоносный код. Например, iam.exe , pwdump6.exe , а еще лучше - форматированный payload , полученный средствами того-же MSF (подробнее читайте в этом разделе соответствующего курса молодого бойца). В ходе опытов, после нескольких загрузок результирующего кода на virustotal.com , становится очевидно, что обмануть все антивирусы одним махом вряд ли удастся. А вот "заточить" код так, чтобы отдельно взятый антивирус его не узнал - вполне возможно. Улавливаете параллель с оппортунистическими и целенаправленными атаками? От первых защититься не сложно, от последних - почти невозможно.И пару слов "от себя". Лично у меня уже лет пять антивирус срабатывает только тогда, когда я сам пытаюсь разместить на компьютере нечто похожее не вирус. Вспоминается диалог аудитора с сотрудником компании, специализирующейся на исследовании вирусов.
- У вас на ПК антивирусы есть?
- Нет.
- Нет?? Значит полно вирусов?
- Ну у меня лично гигов 12 где-то.
Я знаком с людьми, совершенно не пользующимися АВ. Ну не качает мужик игры с торрентов, не ищет кряки в Интернете и не лазает по порносайтам.
