Powered by Cloud VPS - High Availability Cloud Servers Steun Nucia, doneer!
Wil je zelf ook een blog kunnen starten? Word dan lid van de groep "bloggers". De instellingen daarvoor kun je hier vinden.

Bekijk RSS Feed

Sec-IT Blog

Het Omzeilen van virusscanners!

Beoordeel dit Bericht
Dan denk je dat je een virus hebt, maar je virusscanner ziet niks!

Hoe kan dat?

Heel simpel, door het virus te "crypten".

Dit is een methode waarbij je het virus versleuteld (RC4, Rijndael) en toevoegd aan een "stub" (een stukje software om je programma in het geheugen te decoderen en te draaien)

Deze crypters installeren deze stukjes software op de meest irritante plekken (appdata, system32, etc) en kunnen niet worden opgepikt door een virusscanner.

Dat werkt namelijk zo:

Een virusscanner zoekt naar bepaalde stukjes code in een programma, komt deze code overeen met de code in de virusdefinitie-database van je virusscanner, dan neemt de virusscanner actie, zo niet, is het een clean programma.

Crypters maken de code op zodanige manier anders dat een virusscanner deze kwaadaardige code niet zal vinden in zijn virusdefinitie-database.
Daarom is het belangerijk dat je je virusscanner dagelijks update

Dit is wat een crypter dus doet:

+----------+
|........Virus|
+----------+

|
V

+----------+___________ +---------+
|.... Crypter|(append)---> |.......Stub|
+----------+********** +---------+

|
V

+------------------+
| "Clean" Programma|
+------------------+

Wat dus eigenlijk:

+-------------+
|.....RC4(Stub)|
+-----runPE---+
|.....RC4(Virus)|
+-------------+

is.

Mogen er vragen zijn, stel ze gerust.
Labels: Geen Voeg Toe / Wijzig Labels
CategorieŽn
Niet-Gecategoriseerd

Reacties

  1. Schermafbeelding van Eagle Creek
    Een virusscanner zoekt naar bepaalde stukjes code in een programma, komt deze code overeen met de code in de virusdefinitie-database van je virusscanner, dan neemt de virusscanner actie, zo niet, is het een clean programma.
    Vergeet niet dat het werken met signatures anno 2011 nog maar een klein deel van de detectiemethode betreft. Huidige virusscanners leunen sterk op heuristiek, en kijken dus naar eigenschappen en gedragingen van het programma, en zeker niet uitsluitend naar de signature.
  2. Schermafbeelding van Anthrax
    Citaat Oorspronkelijk geplaatst door Eagle Creek
    Vergeet niet dat het werken met signatures anno 2011 nog maar een klein deel van de detectiemethode betreft. Huidige virusscanners leunen sterk op heuristiek, en kijken dus naar eigenschappen en gedragingen van het programma, en zeker niet uitsluitend naar de signature.
    Goed punt, alleen jammer dat de Crypters anti-heuristics/sandbox hebben ingebouwd.
  3. Schermafbeelding van Eagle Creek
    Het blijft kat-en-muis natuurlijk.
    AV-makers zijn ook niet gek.
  4. Schermafbeelding van Emsisoft Nederland
    Dat een virusscanner de versleutelde data niet kan detecteren is logisch. Echter, die versleutelde data kan ook helemaal geen schade aanrichten, het is niet actief zolang het versleuteld is. Eigenlijk hetzelfde als malware in een met wachtwoord beveiligd zipje.
    Zodra de malwarecode ontsleuteld wordt, dus "leesbaar" is, wordt het gedetecteerd en geblokkeerd door elke realtime AV die ook definities heeft voor desbetreffende malware.

    Zijn er nog geen definities voor die malware dan kunnen sommige beveiligingsprogramma's alsnog ingrijpen wanneer de malware processen probeert te manipuleren of ander gedrag vertoont dat gelijk is aan het gedrag van malware.

    Wanneer de versleutelde malware niet actief is en je laat een willekeurige AV (of online scanner) het systeem scannen, dan zal 't inderdaad niet gedetecteerd worden.
  5. Schermafbeelding van Anthrax
    Citaat Oorspronkelijk geplaatst door Emsi Software Nederland
    Dat een virusscanner de versleutelde data niet kan detecteren is logisch. Echter, die versleutelde data kan ook helemaal geen schade aanrichten, het is niet actief zolang het versleuteld is. Eigenlijk hetzelfde als malware in een met wachtwoord beveiligd zipje.
    Zodra de malwarecode ontsleuteld wordt, dus "leesbaar" is, wordt het gedetecteerd en geblokkeerd door elke realtime AV die ook definities heeft voor desbetreffende malware.

    Zijn er nog geen definities voor die malware dan kunnen sommige beveiligingsprogramma's alsnog ingrijpen wanneer de malware processen probeert te manipuleren of ander gedrag vertoont dat gelijk is aan het gedrag van malware.

    Wanneer de versleutelde malware niet actief is en je laat een willekeurige AV (of online scanner) het systeem scannen, dan zal 't inderdaad niet gedetecteerd worden.
    Ze zijn ook runtime gecrypt.