Загрузка...

Уникальный стаб или крипт - это...

Тема в разделе Вирусология создана пользователем MonkeyLuffy_inactive2309025 28 июн 2019. 3413 просмотров

Загрузка...
Сортировать
  1. MonkeyLuffy_inactive2309025
    Кому понравилось (1) Скопировать BBCode
    MonkeyLuffy_inactive2309025 Автор темы 28 июн 2019 12 1 июн 2019
    Уникальный стаб или крипт может быть создан только при помощи различных ЯП (языков программирования), так как различные компиляторы создают достаточно специфичные данные как в заголовках так и в секциях.
    Для примера, если взять HelloWorld скомпилированный на VB, на .NET или на C++ - они будут кардинально отличаться друг от друга импортом. Если быть точнее, то использованием различных dll для своей работы.
    Уникальный стаб или крипт может быть создан только с нуля и при наличии какой-то уникальной идеи в реализации тех или иных техник.

    Существуют два варианта (которые кардинально отличаются друг от друга) реализации мапинга модуля в памяти PELoader и RunPE
    RunPE - стабильная вещь и всеядная. Можно закриптовать все что угодно - и это будет работать... Scantime будет прекрасен... но... вот в Runtime - это будет катастрофическая масса детектов.
    PELoader - в своей реализации сложен и многогранен... в некоторых случаях после крипта, может быть нестабилен и требовать дополнительных специальных реализаций (много зависит от того, какой софт криптуется).
    В Runtime PELoader показывает в разы лучше себя, чем тот же RunPE - хотя многое зависит от кодовой реализации PELoader'а.

    Важным аспектом для уникального крипта является (как и для Runtime) антиэмуль - чем мощнее и качественнее антиэмуль в крипте, тем дольше крипт будет FUD. Но, если быть честным, то в крипте должно быть несколько антиэмуляторов, так как одного универсального от всех антивирусов антиэмулятора быть не может.

    Уникальный крипт - как прекрасно это звучит и какие прекрасные слова, но...
    Обычно барыги это пишут в маркетинговых целях, чтобы поднять цену на крипт, а крипт с детектами продать за "копейки" (и снять с себя ответственность).
    Многие, наверное, замечали, что уникальный стаб значительно дороже стоит, а через некоторое время появляется какой-нибудь юзер и начинает рассказывать, как предоставляющий услугу уникального крипта, закриптовал с детектами или детекты появились, когда стаб пролежал день-два и не использовался совсем.
    Давайте разберемся, почему такое происходит и почему криптующие с многочисленными положительными отзывами через некоторое время не могут закриптовать с полным FUD... (об этом подробнее см. ниже)

    Чтобы понять, почему не может быть в принципе уникального стаба (скомпилированного при помощи одного компилятора), для этого нужно понять, как антивирусные компании создают детект.
    У каждой антивирусной компании свое понимание и правила как осуществлять детекты, скажу честно, у каждого антивируса есть свой уникальный (пусть даже мизерный) метод детектить зловредов.
    Ну, в качестве примера, Avast в большинстве своем случаев использует для детектов версию компилятора (которая находится в заголовке исполняемого файла) и если ее изменить, то существует очень большая вероятность убить детект. Ни у какого другого антивируса подобного нет, а у большинства антивирусов (да практически у всех) для детекта версия компилятора не используется вообще. Поэтому Avast многих начинающих "насилует" сигнатурой Evo-gen...
    Существует нереально много методов создания детектов. Мы же детекты подведем под одно единственное понимание и разделим условно на четыре группы: light-detect, hard-detect, hell-detect, runtime-detect.
    light-detect - это простенький детект, основанный на хеш сумме или на каких-то небольших участках данных в файле - такой детект даже не требует чистки, просто создается новый рандомный крипт или стаб.
    hard-detect - честно сказать, такие детекты создают немногие антивирусы - лидеры ESET NOD32 и Bitdefender, но они очень жестокие бывают и могут зацепить сразу много стабов/криптов.
    Давайте представим ситуацию, криптующий закриптовал одному человеку и этот чел пошел распространять зловреда, потом закриптовал другому (через некоторое время), потом третьему, а потом, когда закриптовал четвертому...
    И вот тот первый (потому что он был первый) распространил уже свой закриптованный файл и каким-то образом (неважно каким), этот файл попал на анализ к аверам ESET NOD32 и был создан hard-detect для первого крипта, а детектить он будет сразу у всех четверых... и неважно успел этот четвертый чел распространить свой зловред или он у него просто лежал из-за отсутствия свободного времени - это и есть hard-detect
    hard-detect - этот детект является основным показателем уникальности стаба или крипта
    runtime-detect - это когда вы на scantime видите FUD, но стоит запустить зловреда, как антивирус сразу же детектит ваш закриптованный файл.
    Ну и самый ужасный из всех hell-detect - этот детект создается временно (примерно на месяц) основывается он обычно на минимальных данных в файле, и от него очень сложно избавиться...
    Как же можно получить такой детект? Для примера, если вы закриптуете зловреда какому-нибудь спамеру.
    Такой hell-detect создает очень много ложных срабатываний у антивируса, но аверы идут сознательно на такой риск, чтобы предотвратить эпидемии. При этом они hell-detect могут менять для того чтобы уменьшить число ложных срабатываний, но при этом уникальный стаб будет продолжать детектиться.
    Каким бы не был уникальным крипт или стаб - hell-detect будет его детектить в течение нахождения данного детекта в базах антивируса.

    многие начинающие, начитавшись древних (как дерьмо мамонта) статей, так сказать реликтов, начинают думать, что тоже смогут написать криптор, но...
    за это время мир антивирусов изменился и те фичи, которые раньше работали на ура, ну например, антиэмули - сейчас они могут стать причиной детекта.
    Написать сейчас криптор не проблема, достаточно иметь мизер знаний в каком-нибудь ЯП и найти на github.com многочисленное множество крипторов и создать по их подобию свой, хе-хе, уникальный стаб :D
    Создать свой GUI (удобный для себя любимого) и можно (Ура!) идти барыжить...
    Но проблема появится после нескольких прогрузов, да у себя любимого на компе закриптованные файлы не детектились, но когда крипт попадает в огромный мир трафа, аверы начинают быть очень жестокими.
    И почистить крипт, если на него повесили hell-detect - будет практически невозможно! Остается ждать около месяца, пока они уберут детект или кардинально изменить крипт.

    К сожалению, для того чтобы описать многие нюансы уникального стаба или крипта, потребуется слишком много написать текста...
    Больше информации о крипте, можно прочитать из этой темы
    https://zelenka.guru/threads/972408/
    Там вы сможете внимательно ознакомится с публичными тестами криптора, посмотреть на статистику и лицезреть Runtime тесты для некоторых антивирусов.
    Так же, вы можете прочитать полезную информацию и сделать выводы самостоятельно на основе объективных данных, без маркетинговой пропаганды.
     
    28 июн 2019
  2. PuGoVkA
    Скопировать BBCode
    PuGoVkA 28 июн 2019 825 18 мар 2018
    О боже, спасибо за столь бесполезный копипаст
     
    28 июн 2019
  3. V000000
    Скопировать BBCode
    V000000 28 июн 2019 Дизигнер 147 1 мар 2019
    Круто. Правда, круто. Не каждый сможет написать такой текст всего двумя кнопками
     
    28 июн 2019
  4. MonkeyLuffy_inactive2309025
    Кому понравилось (1) Скопировать BBCode
    MonkeyLuffy_inactive2309025 Автор темы 30 июн 2019 12 1 июн 2019
    Уникальный стаб или крипт - это временное явление, чем дольше (по времени) осуществляется крипт, и чем большее число людей криптуется у одного крипт-сервиса, тем выше шанс что уникальный стаб будет с 1-2 постоянными детектами.
    Выше я описал условную классификацию детектов, но временные "адские" детекты - это не единственная проблема для уникального стаба или крипта.
    Есть еще один злой враг для уникального стаба или крипта - это облачные антивирусы.
    В облаках сидят индусы, работающие за банан - и это происходит круглосуточно.
    Представим ситуацию, вы закриптовали свой софт уникальным криптом, но в рантайме сам софт без крипта имеет детекты (особенно это касается паблик софта), но вы решаете рискнуть и распространить вашего засранчика...
    В надежде, что успеете получить профит... в реале же, ВОЗМОЖНО все будет печально...
    Софт запускается и runtime-detect неизбежно срабатывает, ну а далее произойдет слив вашего софта в облако - там его дежурный авер проанализирует и быстро создаст light-detect (в течение 30 минут) и все...
    Перед тем как заказывать дорогой уникальный крипт, обязательно убедитесь, что ваш софт чист в Runtime - иначе вы можете потерять не только на уникальном крипте, но и на трафе, на уязвимости, на CC и т. д.


    Если у вас есть вопросы по крипту (или вам нужен хороший крипт на долгосрочном сотрудничестве), вы можете спросить об этом у меня в ЛС - я постараюсь ответить на ваши вопросы, если у меня будет достаточно знаний.
    Все о крипте знать не возможно, так как даже об одном антивирусе можно писать-писать и писать до бесконечности и существует масса нюансов. Но есть также и базовые принципы, о которых я считаю нужно говорить и писать.
    И я, на основе своего опыта, постараюсь в дальнейшем дополнять эту тему...
     
    30 июн 2019
  5. MonkeyLuffy_inactive2309025
    Скопировать BBCode
    MonkeyLuffy_inactive2309025 Автор темы 27 июл 2019 12 1 июн 2019
    UP-UP-UP
    virustotal.com - это как страшная сказка для детей, но...
    для хорошего уникального стаба или крипта, не при каких обстоятельствах virustotal.com не может быть проблемой.
    Если вы собрались покупать уникальный крипт/стаб - то первое, что вы должны сделать, так это потребовать от криптующего scantime с virustotal.com тестового крипта, например, калькулятора.
    Если криптующий отказывается это сделать, то он пытается продать вам НЕ уникальный стаб или крипт. По сути, он написал про уникальный крипт, в маркетинговых целях...
    Тестовый FUD scantime с virustotal.com закриптованного калькулятора - является первой гарантией того, что вам продают уникальный стаб или крипт. (вы также будите уверены что 70 антивирусов, ваш закриптованный файл не будут детектит, а не какие-то там нищебродские 22 недо антивируса)
    Также советую, подождать сутки и попросить сделать rescantime того тестового закриптованного калькулятора и посмотреть по количеству детектов, насколько хорош этот уникальный стаб или крипт, чем меньше этих детектов будет - тем лучше.

    Давайте детальнее представим кухню virustotal.com, в которой варятся детекты и, гремя крышками кастрюли, сигнализируют нам о подозрительных файлах...
    virustotal.com - по своей сути, некая такая большая база с сэмплами, к которой нужно иметь доступ...
    virustotal.com - это посредник, он от пользователя принимает файл для проверки и отсылает его в антивирусную лабораторию, по специальной ссылке, того или иного антивируса.
    В лаборатории сидит дежурный авер, который проверяет файлы, запуская их на виртуальной машине. (не у всех, обычно у большинства AV virustotal.com не приоритетный поставщик подозрительных файлов)
    Думаю, наверное, многие замечали такие отчеты со *******ов, которые приходят с таких вот виртуалок в течение нескольких недель.
    Когда аверы запускают проверяемые файлы на виртуалке, они смотрят, на отчет поведения запущенного файла и если видят что-то подозрительное, то создают сигнатуру.
    При этом они делают даже не light-detect, а temp-detect...
    temp-detect - это такой временный детект, его можно очень просто убить ну, к примеру, возьмем avast - avast в основном (для нативного крипта) создает свои сигнатуры базируясь на данных в header (ну, грубо говоря, использует первые 1000 байт в файле) - опять же уточню, что это касается только нативного крипта.
    Так вот если изменить, например, virtual size у любой секции (увеличив значение) даже 1 байт - детект может исчезнуть. То есть, все вот настолько просто, чтобы избавиться от temp-detect.
    Далее уже приходит специалист и анализирует подозрительный файл более скрупулезно, и в зависимости от того, что закриптованно и при наличии статистики распространения уже создает ту или иную сигнатуру...
    Чтобы такого не было, во многих крипторах есть такая фича как anti-VM, anti-Sandbox - если их включать, то это может увеличить продолжительность FUD'а, но также может иметь недостаток при тестировании на виртуальных машинах при проверке на работоспособность закриптованного файла и для проверке на runtime-detect'ы в онлай-сервисах.

    Вообще virustotal.com не особо и проблема для хорошего уникального крипта, virustotal.com только ускоряет появление детектов и все.
    Для криптующего нет разницы, был ли создан детект, когда был слит файл каким-нибудь юзером (не важно каким) на virustotal.com или файл попал к антивирусу в лабораторию через облако какой-нибудь "жертвы" - чистить, то все равно надо будет.
    А вот для паблик крипторов это имеет огромное значение, так как стаб один для всех и чем быстрее он попадет к аверам - тем быстрее он будет весь в красных детектах... и не важно слит он был на virustotal.com или кто-то закриптовал древний софт, который в рантайме детектится всеми антивирусами, или кто-то распространяет зловреда через спам-трафик 1kk, или был закриптован софт, который для аверов является красной тряпкой (ну например, при эпидемиях) - здесь virustotal.com может оказаться меньшей проблемой из всех остальных...
     
    27 июл 2019
  6. denishitv
    Скопировать BBCode
    denishitv 11 авг 2019 21 31 июл 2019
    ну и разписал,читать лень вкраце раскажи
     
    11 авг 2019
  7. JustSkil
    Скопировать BBCode
    JustSkil 16 сен 2019 497 2 авг 2019
    Чтобы понять, почему не может быть в принципе уникального стаба (скомпилированного при помощи одного компилятора), для этого нужно понять, как антивирусные компании создают детект.
     
    16 сен 2019
Top