Na blogu firmy Sunbelt przeczytałem wyniki realizacji interesującego pomysłu. Mianowicie autor użył kilku popularnych pakerów do zmiany pliku wynikowego notatnika, popularnego NOTEPAD.EXE. Tak zamienione notatniki przesłał do serwisu virustotal.com, który analizuje w 36 silnikach antywirusowych, podesłane pliki. Jak się okazało, znaczna część z produktów, rozpoznaje plik jako podejrzany tylko i wyłącznie jeśli jest on zmodyfikowany pakerem – bez sprawdzania jego prawdziwej zawartości.
Sam paker to program służący do kompresji plików wykonalnych, w taki sposób aby nadal działaly i nie był potrzebny żaden dodatkowy program do ich uruchomienia. Oczywiście twórcy wszelkiej maści złośliwego oprogramowania często używają programów tego typu do zaciemniania części aplikacji, w celu oszukania oprogramowania antywirusowego itp.
Jak przyznaje autor bloga, aktualne systemy pakowania to multiaplikacje tworzące polimorficzne oprogramowanie, które odbiega dość mocno stopniem zaawansowania od zwykłych popularnych pakerów, które zostały przetestowane.
Jednak szybko po raz wtóry zresztą, możemy dojść do wniosków, że taki test dobitnie pokazuje jak to jest z programami antywirusowymi naprawdę. Nadal oczywiście twierdzę, że program antywirusowy winniśmy mieć (zainstalowany :), jednak należy zawsze zdawać sobie sprawę ze średniej skuteczności tego typu rozwiązań i oczywiście pamiętać o rozważnym korzystaniu z zasobów przewspaniałej sieci…
Analizy z virustotal.com:
http://www.virustotal.com/pl/analisis/2f45ccf8725177f0802ebe39bad349e3
http://www.virustotal.com/pl/analisis/43d6f3338b2753ee088eed429873e54c
http://www.virustotal.com/pl/analisis/8f220d76a3bb4fc471927f00809bb965
7 komentarzy do
3 października, 2008 o godzinie 08:18
Myślę, że tutaj wchodzi w grę też wydajność oprogramowania av, która by znacznie spadała, jeśli zostałaby dodana dekompresja polimorficznego kodu (nie wspominając już o stopniu skomplikowania takiej operacji).
3 października, 2008 o godzinie 11:27
To na pewno ważny aspekt. Już dzisiaj użytkownicy są mocno rozdrażnieni faktem, że AV im spowalnia system i nawet Ci początkujący wiedzą, że jak wszystko działa wolno to może czas zmienić AV…
3 października, 2008 o godzinie 11:37
@whisper
Ale do antywirusów JEST dodawana obsługa dekompresji polimorficznego kodu, i to na dwa sposoby. Po pierwsze są to statyczne unpackery (sam kiedyś takie klikałem dla pewnego polskiego antywira), a po drugie są to unpackery oparte o minimalistyczne emulatory x86 które starają się rozpoznać czy app się rozpakowuje.
Natomiast muszę przyznać że jestem zdziwiony że MEW i PeSpin aż tak bardzo namieszały w wynikach. Są to na tyle popularne pakery że spodziewałbym się raczej że większość AV ma zaimplementowaną ich detekcje/unpack.
Bardzo ciekawy eksperyment btw ;>
3 października, 2008 o godzinie 11:45
Ciekawe czy do wszystkich produktów ;] Moze część zwyczajnie nie posiada unpakera a udaje, że posiada ;]]] I markuje jako podejrzany bo się boi ;]]]
3 października, 2008 o godzinie 19:24
No wyniki nie są jakieś uber zaskakujące, przy ograniczeniach, które stawa nam rozstrzygalność a zwłaszcza wnioskowanie nietrywialnych własności programów/kodu raczej z góry jesteśmy (i będziemy) skazani na porażkę.
4 października, 2008 o godzinie 14:21
Uznawanie spakowanego programu za malware z jednej strony prowadzi do wielu false-positives ale z drugiej nie jest aż tak absurdalne jakby się wydawało… Tutaj ciekawy dokument na ten temat:
http://www.mcafee.com/us/local_content/white_papers/threat_center/wp_counterattacking_packers.pdf
Czytałem kiedyś statystyki świadczące o tym iż z niektórych packerów korzystają w 99% tylko wirus writerzy. Skomplikowane emulatory/unpackery to mnóstwo pracy, problemy wydajnościowe oraz bardzo często problemy z bezpieczeństwem… Więc moim zdaniem stworzenie blacklisty packerów na pewno spowoduje zmniejszenie ilości zarażeń – większość amatorów bierze znany soft i pakuje go aby uniemożliwić wykrycie przez av. Pozostaną tylko pr0 potrafiący sobie z tym poradzić.
ps. sophos blokuje wszystko oprocz upx i aspack. do tej pory nie slyszalem krzyku żadnej firmy oskarżającej sophos o błędną klasyfikacje jej softu. wydajnosciowo tez nie wychodzi najgorzej.
Pozdrawiam
5 października, 2008 o godzinie 04:16
Ano fakt faktem, łatwiej stworzyć blacklistę packerów + whitelistę legalnego softu korzystającego z tych packerów, niż unpackery, i w sumie to podejście jest imho lepsze niż tworzenie unpackerów. Jedna mała zmiana w protektorze/loaderze, i już unpacker sobie nie radzi – walka z wiatrakami.
No nic, tylko czekać aż w AV dodadzą do okienka z alertem przycisk „to jest Intro scenowe, nie rób z tym nic” ;DD