Реакция AV на SignFinder

Любопытные вести принёс сканер nod32.

Никаких официальных комментариев по утилите av-вендоры не давали, однако реакция   последовала.

Локальный сканер eset после проверки файлов выданных SignFinder’ом внезапно становится глух и слеп к сканированию новых файлов.

На видео показано как он детектирует файл, а после проверки папок от SignFinder’а не видит в упор копию ранее детектируемого. Более того даёт его исполнить!

Неужели AV боится подобных утилит?

Поиск причин

Сигнатуры eset плотно связаны с картой апи вызовов. Во время чистки сканируется файл с поврежденным импортом, в связи с чем детект на нём пропадает.

Версия первая

Затирание импорта толкуется им как попытка чистки сигнатур. После этого eset детектирует факт чистки и не реагирует на всё семейство сигнатур  этого вредоноса, дабы помешать крипторам.

Версия вторая

Это хитрый баг кеширования у сканера.

Заключение

Мы следим за развитием событий, однако при любой версии выглядит это не очень приятно.

4 thoughts on “Реакция AV на SignFinder

  1. это не баг это фича почти уверен, даже при ручном затирании байтов, после 3 сканов он всегда показывает что файл чистый минут на 20-30, затем опять виден детект, нод это головная боль 0_О

  2. Эсет просто определяет модификации малвари, вы просто не все сигнатуры находите.
    Потратил день чтобы найти все сигнатуры эсетом Smart Security Premium
    На файл вышло под 20 сигнатур длиной от 100 до 240 байт каждая. Так что при анализе он выставляет баллы, набирая определенное кол-во выдается детект.
    При скане следует оставлять также первые 1024 байт файла. Стирая одну из 20 сигн детект пропадет, но если вы не нашли весь список сигнатур полностью то они остануться в файле и в скором времени эсет выдаст детект по модификации и определит файл как новую версию.
    В моем случае я затирал руками весь байт код нулями между сигнами и проверял целый файл(типо если есть детект значит никакую левую сигну я не затер). А какие диапазоны затирать уже выяснял через signfinder но это было ужасно муторно, если бы не важность работы я бы забил.
    SignFinder утила просто супер но для постоянного каждодневного анализа не подходит. Думаю ей требуется модификация, стоит подумать над алгоритмом автоматизации но это не так просто((
    Конечно есть вариант найти базу комодо или другого популярного ав и конвертировать в формат yara, ну или найти более полную готову базу yara. Проверять файлы сие чудом и выводить байткоды сигн. Слишком вкусно звучит да? кек

    1. Возможно информация не актуальная, но на тот момент eset натурально отключал двиг — стоило залить несколько модификаций на платный ав-чекер и eset уходил в даун для всего сервиса. (Лечится локальным откатом вирт машины)

      Затирать все сигнатуры не имеет смысла, достаточно обойти их триггеры (Почитайте)

      >Думаю ей требуется модификация
      Опять же писал об этом, есть современные версии, но в силу понятных причин они не публичны. Однако код открыт, так что дерзайте.

Добавить комментарий