![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Carberp source code leaked
Jun. 25th, 2013 04:58 pm
https://twitter.com/Ivanlef0u/status/349315255312195584 ссылка, пароль, качайте %)
для тех кто не в курсе что это такое: http://habrahabr.ru/company/eset/blog/184576/ тут пояснение
https://twitter.com/Ivanlef0u/status/349315255312195584 ссылка, пароль, качайте %)
для тех кто не в курсе что это такое: http://habrahabr.ru/company/eset/blog/184576/ тут пояснение
Почему у меня нет антивируса
May. 17th, 2013 07:20 pm(это развернутый коммент о том, почему легко написать детектор любого одного вируса, но крайне сложно написать эффективный коммерческий антивирус)
Вообще, антивирус есть. Время от времени я снимаю с машин образы жестких дисков, выжидаю несколько суток, и сканирую эти образы на других машинах. Но вот реалтаймового сканера нет. Потому что он бесполезен.
Как обстоит ситуация сейчас?
1. Каждому юзеру раздается по уникальному бинарнику. Этот бинарник генерится на сервере, перебирая варианты в песочнице до тех пор пока оные не перестанут обнаруживаться, как вирусы.
Почему? потому что файлов на машине юзера миллионы, анализировать качественно - долго, а если анализ идет больше десятков секунд - вообще бессмысленно, ущерб от тормозов больше риска заражения. Поэтому все бихевьор анализаторы - очень круто, но перед ними становятся fast reject фильтры и вайтлисты, в которые вирусописатели и вписываются.
При полном скане, в общем-то, та же фигня, никто не будет ждать неделю.
Еще хуже с анализом того, что просто летит по проводам и до диска не всегда долетает (джаваскрипт например), если каждый скрипт будет тупить по 5 секунд - юзер обозлится и снесет антивирус.
2. Этот бинарник запускается (обычно через эксплоит какой-нибудь), сносит антивирусы, выключает апдейты, скачивает *другой* бинарник и тщательно вайпает себя. Высший пилотаж - не использовать вообще никаких временных файлов на диске в процессе работы.
Второй бинарник пишется куда-то в пустое место HDD и закапывает свой загрузчик куда-то пониже, вплоть до BIOS. После чего ставит драйвер, прячущий все это от антивируса, когда тот наконец-то смогут установить обратно, и затихает.
3. Цикл обновления антивирусных баз - 8..36 часов. Время разработки детектора поведения - недели.
Цикл апдейта бинарников после засветки сигнатур и обновления антвирусных баз - единицы...десятки минут, цикл существенного апдейта бихевьора - дни.
Я уже не говорю о том, что все приличные вирусы активно детектируют тулзы по анализу софта и начинают работать неверно, чтобы затруднить анализ.
Все, приплыли.
То, что пишут киддисы - обнаруживается, не вопрос. Только атака уже к тому моменту успешно произведена.
А целевые атаки, которые не попадают в сигнатуры и оттестированы руками, а не автоматическими сервисами за копейки - обнаруживаются спустя годы, если вообще обнаруживаются.
Да, от людей-в-теме (с обеих сторон) приветствуются комменты :)
Вообще, антивирус есть. Время от времени я снимаю с машин образы жестких дисков, выжидаю несколько суток, и сканирую эти образы на других машинах. Но вот реалтаймового сканера нет. Потому что он бесполезен.
Как обстоит ситуация сейчас?
1. Каждому юзеру раздается по уникальному бинарнику. Этот бинарник генерится на сервере, перебирая варианты в песочнице до тех пор пока оные не перестанут обнаруживаться, как вирусы.
Почему? потому что файлов на машине юзера миллионы, анализировать качественно - долго, а если анализ идет больше десятков секунд - вообще бессмысленно, ущерб от тормозов больше риска заражения. Поэтому все бихевьор анализаторы - очень круто, но перед ними становятся fast reject фильтры и вайтлисты, в которые вирусописатели и вписываются.
При полном скане, в общем-то, та же фигня, никто не будет ждать неделю.
Еще хуже с анализом того, что просто летит по проводам и до диска не всегда долетает (джаваскрипт например), если каждый скрипт будет тупить по 5 секунд - юзер обозлится и снесет антивирус.
2. Этот бинарник запускается (обычно через эксплоит какой-нибудь), сносит антивирусы, выключает апдейты, скачивает *другой* бинарник и тщательно вайпает себя. Высший пилотаж - не использовать вообще никаких временных файлов на диске в процессе работы.
Второй бинарник пишется куда-то в пустое место HDD и закапывает свой загрузчик куда-то пониже, вплоть до BIOS. После чего ставит драйвер, прячущий все это от антивируса, когда тот наконец-то смогут установить обратно, и затихает.
3. Цикл обновления антивирусных баз - 8..36 часов. Время разработки детектора поведения - недели.
Цикл апдейта бинарников после засветки сигнатур и обновления антвирусных баз - единицы...десятки минут, цикл существенного апдейта бихевьора - дни.
Я уже не говорю о том, что все приличные вирусы активно детектируют тулзы по анализу софта и начинают работать неверно, чтобы затруднить анализ.
Все, приплыли.
То, что пишут киддисы - обнаруживается, не вопрос. Только атака уже к тому моменту успешно произведена.
А целевые атаки, которые не попадают в сигнатуры и оттестированы руками, а не автоматическими сервисами за копейки - обнаруживаются спустя годы, если вообще обнаруживаются.
Да, от людей-в-теме (с обеих сторон) приветствуются комменты :)
