Малварь по шагам [№2] Авторан

Пришло время откатить цикл до первого сейва и попробовать продолжить его иначе. Запускаем свой воображаемый SVN. Было принято решение отказаться от пошагового написания проекта, но вставлять массу ссылок на существующую malware, старые статьи, диаграммы и рисунки.

В прошлом выпуске (#1) мы узнали о том как правильно строить протокол бота, сегодня мы поговорим об одном из краеугольных камней любой малвариавторане.

Любую malware можно разделить на составные блоки: одни из них отвечают за выживание, другие опциональны.

Прошли времена, когда malware можно было жёстко классифицировать как “файловый вирус” или “троян“, Вы можете добавлять абсолютно любые модули к своему боту.

Массовое появление интернета позволило уйти от традиционных файловых инфекторов, в сторону клиент-серверных ботов, поддерживающих апдейт кода.

malware autorun

Каждый бот состоит из модулей

==Что такое autorun?==

В буквальном переводе – автозапуск: Код или метод, позволяющий переживать перезагрузку системы.

Как легко догадаться, этот модуль мы относим к life support, без него могут обходиться только грабберы, ворующие информацию при запуске и сразу отправляющие её хозяину. С появлением приложений, шифрующих свои данные несохраняемым паролем, даже грабберам понадобилось жить в системе. Поэтому autorun является одним из самых узких мест любого вируса.

==Места силы==

Где же взять новых авторанов, если вы простой малварщик, а не правительственная контора с большой и хорошо оплачиваемой исследовательской группой?

=Чужая малварь=

Как ни прискорбно, самым быстрым способом получения технического преимущества является выдирание модуля из тела более успешной особи. Аналитики помещают в отчеты md5 и sha1 хеши пойманных семплов, которые можно нагуглить или стянуть со всяких av-отстойников, требующих регистрации.

Плюсы: Всё придумано и отлажено до вас.
Минусы: Навыки отладки\дизассемблирования.

В ряде случаев суть метода можно понять имея на руках только ProcessHacker и редактор реестра.
Аналитики зачастую вырезают или даже намеренно портят куски кода, отвечающие за новые методы, так что просто выдернуть их из PDF-отчёта не получится.

=Антивирусные утилиты=

Какова ирония? Работники антивирусного фронта (и не только) выпускают утилиты (и\или txt-списки) для поиска малвари, в которых указывается огромное множество путей в реестре и на диске. Примером может служить утилита Руссиновича Autoruns или Starter. Гугл в помощь (“windows 7 autorun place”, etc).

Если вы думаете, что все известные аналитикам пути авторана знает и корректно обрабатывает антивирус, то вы ошибаетесь.  Если (часто попадающая в ловушки ав) малварь будет использовать метод икс – они добавят код или правило, обрабатывающее этот метод.

=Паблик методы=

В свежем апдейте одного широко известного лоадера используется нестандартный авторан, который (как выяснилось в процессе гугления ветки реестра) был описан в Хакере 2003 года. Так что всё новое – хорошо забытое старое. Каждый день в сети появляются интересные документы, большинство из них на английском. Мониторинг свежей “прессы” , особенно не очень известной, сулит интересными атаками.

==Отказ от ветки Run==

Почти вся malware использует “Software\\Microsoft\\Windows\\CurrentVersion\\Run”, это не могло остаться незамеченным. Проблема противостояния av-конторам в том, что мы не знаем по каким правилам они отлавливают софт. Мне в руки попадал софт аналитиков нескольких компаний, обычно это самописные логеры или yara-скрипты, которые ловят интересующую аналитика малварь,  после снятия слоя криптора в памяти.

Однозначно могу сказать, что все наиболее часто используемые малварью методы служат как косвенный признак, а стало быть их использование навешивает клеймо “вредонос” даже без участия живого аналитика.

Отказавшись от стандартных методов, вы повысите срок жизни семпла и добавите аналитикам головной боли.

Больше малвари вкусной и разной!

8 thoughts on “Малварь по шагам [№2] Авторан

  1. К сожалению ожидал прочитать чего-то большего. эту “базу”, как мне кажется, знает практически любой программист, уж темболее тот, кто смог найти в сети этот портал. Как инфа для первоклашек мб и полезна, но не для тех, кто читает данное. Тема раскрыта на уровне оглавления. Автор, даешь углубленку для продленки ))
    НО всеравно большок спасибо за труд.

  2. Спасибо за статью. Но, насчет отказа от ветки Run, мне кажется вы погорячились. Туда пишется все подряд (не только малварь), тонны приложений. Неужели, не самая правильная для зловреда стратегия не выделяться? Если детект в ав идет по ветке Run, разве это не будет вызывать кучу false-positive срабатываний?

Добавить комментарий