Avira и Kaspersky не готовы к отражению "новых" угроз (x64 rootkits)

[spw 190]

Только вот на основе этого одного банального ребилда драйвера строится вся "теория заговора".

Теории заговора, dr_dizel, строю не я. Я описал реальный факт, имеющий место быть. Люди это подтвердили, провели разъяснительные беседы, внесли коррективы в работу и т.д. Что ты еще хочешь услышать?

У автора есть уже две разгромные "статьи" на основе сэмплов, которых почему-то никто так и не увидел. Впечатляет. Так писать можно всё что угодно - бумага стерпит.

"Автор", в отличие от кое-кого, не является п-болом. А про имеющиеся здесь факты см. выше.

Теоретически вообще можно всё. Но где реальный PoC? Все давно его ждут. Не томите. И только не отмазывайтесь как некоторые эксперты, которым нужно для подтверждения их же слов от других "стотыщмильёнов".

Вот тут. К тому времени, когда выйдет в паблик первая x64 бета, я очень рассчитываю, что ты, наконец, освоишь технику: "Не знаешь - лучше промолчи. За умного сойдешь".

P.S. Я так вижу, ты все не угомонишься. Ну хорошо.

[dr_dizel 385]

...

Ответы на ваши вопросы легко находятся поиском и чтением букв.

Например несколько ссылок бородатых годов:

http://www.anti-malware.ru/forum/index.php...=6702&st=16

http://blogs.technet.com/b/security/archiv.../03/444666.aspx

http://blogs.technet.com/b/security/archiv.../12/446104.aspx

Я описал реальный факт, имеющий место быть.

Факт того, что аналитики и боты не верят в угрозу малварных x64 драйверов без подписи? Действительно - не верят. Наверное нужно начинать молиться.

К тому времени, когда выйдет в паблик первая x64 бета...

Про это?

10 января, 2008

Реализована 64-битная версия OSPD: Proactive Defense. Проводится альфа-тестирование.

Да уже 2,5 года прошло, а даже бета версия для x64 всё никак не.... ммм... не выйдет.

"Автор", в отличие от кое-кого, не является п-болом.

Фу. Правила прочти. Быдло. Закамуфлированное оскорбление всё так же является оскорблением.

[spw 190]

Факт того, что аналитики и боты не верят в угрозу малварных x64 драйверов без подписи? Действительно - не верят. Наверное нужно начинать молиться.

Под словом "аналитики", Вы, конечно, имеете в виду себя?

Я вот, как аналитик, не только верю в x64 драйвер без подписи, но и привожу его пример. А так же легко приведу примеры векторов атак установки на пользовательскую систему (через повышение привилегий через чужие подписанные драйвера, через изменение бут-сектора и еще ряд около-техник).

Про это?

10 января, 2008

Реализована 64-битная версия OSPD: Proactive Defense. Проводится альфа-тестирование.

Да уже 2,5 года прошло, а даже бета версия для x64 всё никак не.... ммм... не выйдет.

Смейся-смейся. Непонятно только над чем ты смеешься. Над собой?

Эта технология за этот срок не устарела. Даже интересно стало, что ты горлопанить начнешь после выхода. Как обычно - съедешь?

Фу. Правила прочти. Быдло. Закамуфлированное оскорбление всё так же является оскорблением.

Ох, какая у нас тонкая душевная организация. Простите великодушно!

[dr_dizel 385]

...верю в x64 драйвер без подписи, но и привожу его пример. А так же легко приведу примеры векторов атак установки на пользовательскую систему...

Одни вектора да слова, а где же семпл или poc? Я готов запустить его на своей 7-ке!

[Killer 55]

Ха, прикольный лай

Очень вероятно, но где пруф?

Ребят, вы че нить сами тестили, или все еще верите пруфам?

Но где реальный PoC? Все давно его ждут.

Весьма наивно А вы бы отдали _добровольно_ свои деньги?

P.S. Я так вижу, ты все не угомонишься. Ну хорошо.

Пошли угрозы Жесть I like it^_^

Факт того, что аналитики и боты не верят в угрозу малварных x64 драйверов без подписи? Действительно - не верят.

Не верят? Хорошо Вообще, загрузить _свой_ р0 драйвер(заметьте, про подписи я молчу) и сделать потом с системой все что угодно - не представляет _никакой_ сложности. Как не прискорбно(для некоторых), но х64 ядра уже разложены по байтам.

Я вот, как аналитик, не только верю в x64 драйвер без подписи, но и привожу его пример

Ну это, конечно, веская причина обзывать себя АНАЛитиком

через повышение привилегий через чужие подписанные драйвера, через изменение бут-сектора и еще ряд около-техник

Это уже ближе к телу. Но _строго говоря_ "*говорю шопотом" это давно устарело

Я готов запустить его на своей 7-ке!

А вы уверены, что он еще не запущен?

[spw 190]

Одни вектора да слова, а где же семпл или poc? Я готов запустить его на своей 7-ке!

Как только выйдет первая public бета вышеобозначенного - сразу же отпишу. Повторю еще раз - будет забавно посмотреть, что ты в этом случае начнешь рассказывать. Можешь заняться выдумыванием "отмазок" уже сейчас. У тебя есть несколько месяцев на это.

[dr_dizel 385]

Реклама - это конечно хорошо. Но мне не нужен "гербалайф", я не просил и не говорил о нём. Мне нужен сэмпл или пок руткита для запуска на моей x64 7-ке. Да хоть бы тот несчастный сэмпл из топика. Ну хоть что-нибудь.

[spw 190]

Реклама - это конечно хорошо. Но мне не нужен "гербалайф", я не просил и не говорил о нём. Мне нужен сэмпл или пок руткита для запуска на моей x64 7-ке. Да хоть бы тот несчастный сэмпл из топика. Ну хоть что-нибудь.

Еще немножко. Давай.

[Виталий Я. 859]

Похоже, мальварописатели, даже обелившись, не угомонятся в своих методах воздействия. Ждем "preved dr_dizel" в коде нового x64-сэмпла и фото в порно-баннерах?

[priv8v 960]

Схема работы "пункта приема зловредов" мне представляется так:

1). автомат принимает архив и пытается его распаковать применяя один из популярных паролей (infected, virus, 123, qwerty и т.д)

2). автомат пытается определить формат файла (файлов - если их несколько), при этом расширение файла (или его отсутствие) роли не играют. Наиболее "лакомым" форматом является PE - именно ему уделяются все силы. Наверняка есть еще несколько делений и критериев для выделения более мелких групп - например выделение из текстовых файлов bat-сценариев. На этом же этапе определяется валидность PE-файлов. Он может быть битым или нет.

Вот тут автомат был плохо обучен разбору x64 и обзывал файл нехорошими словами.

3). Дабы упростить работу людям автомат скорее всего пытается определить вредоносность и сам (запустить файл и посмотреть насколько он плохо себя ведет). Но такой способ (и в таком простом описании) не подходит для библиотек и драйверов. Конечно библиотеку можно цепануть к процессу в надежде на то, что она отработает весь зловредный потенциал по DLL_PROCESS_ATTACH, но стопроцентной гарантии этого никто не дает

4). То, на что автомат не смог выдать какого-то точного вердикта, или посчитал образец сложным/интересным/или по еще каким-то заданным человеком специфическим условиям - передается на анализ человеку.

5). Человек также исследует не в блокноте (про инструменты как-то писал sww в интервью + это видно на скринах/заметках в секуреблоге, блоге sww и т.д - не все инструменты могут нормально работать с x64, а если у человека нет опыта их разбора, то можно и вовсе понять, что файл не валиден.

Из сказанного выше в этой теме можно сделать следующий вывод:

Юрий Паршин провел разъяснительные работы с персоналом, а sww провел разъяснительные работы с автоматом, что бы он не откидывал x64. В ЛК проблема с этим вроде решена, причем оперативно. А с другими вендорами дело или буксует или тоже определились что делать и делать ли что-то вообще...

Похоже, мальварописатели, даже обелившись, не угомонятся в своих методах воздействия. Ждем "preved dr_dizel" в коде нового x64-сэмпла и фото в порно-баннерах?

Лучше "preved" чем фото в голом виде

По крайней мере никому от "превед" не будет обидно...

[sww 486]

Юрий Паршин провел разъяснительные работы с персоналом, а sww провел разъяснительные работы с автоматом, что бы он не откидывал x64.

Не, я всего лишь скинул ссылку на эту тему нужным людям. А дальше они уж сами

[Виталий Я. 859]

priv8v

Мне-то что, я знаю, в чей офис ребята с Литейного заходят кофе попить.

А вот когда редакторам русского MSDN угрожают девелоперы, которые от Литейного подальше...

[Z.E.A. 190]

Отсылал. Реакция - 0. Даже ответа от робота нет.

Возможно, они закрыли тот e-mail (в смысле - принимается, но не анализируется).

Да, у Симантековцев ящик больше не работает. Все семплы принимаются через веб-форму или через карантин продуктов. Но, как думаю, смысла слать нет. Потому что:

1. Приходит номер тикета, что файл получен.

2. Через 1-3 дня придётся сообщение о том, что в файле ничего вредоносного автоматика не обнаружила. (может выдать что файлы повреждены).

3. Если всё-таки файлы остались "не повреждены", будет сообщено о том, что файлы оставлены для анализа людьми. Но как потом связатся с этими самим людьми - пока неизвестно. Возможно, через тех. поддержку и указав им номер тикета. Можно с их сайта запустить чат, и там спросить.

Ответа о том, что файл проанализирован и добавлен в базы - не дождётесь. Отсылал около 100 зловредов - ни одного ответа не получил.

Но если что - пробуйте:

https://submit.symantec.com/websubmit/retail.cgi

[zzkk 130]

Avira и Kaspersky не готовы к отражению "новых" угроз (x64 rootkits)

Старттопик удивил и расстроил. Уже много раз задавал вендорам вопросы по поводу поддержки x64. Похоже, что ответы про (почти)полную поддержку (во всех смыслах слова "поддержка") были сильно преувеличены.

Ложь (полуправда, недосказанности...) сильнее портят Вашу репутацию, товарищи вендоры, чем открытое признание о том, что Вы пока не умеете. Скорее бы matousec выпустил x64 тесты для семерки. Надеюсь, они помогут многих вывести на чистую воду.

[Виталий Я. 859]

Старттопик удивил и расстроил. Уже много раз задавал вендорам вопросы по поводу поддержки x64. Похоже, что ответы про (почти)полную поддержку (во всех смыслах слова "поддержка") были сильно преувеличены.

Ложь (полуправда, недосказанности...) сильнее портят Вашу репутацию, товарищи вендоры, чем открытое признание о том, что Вы пока не умеете. Скорее бы matousec выпустил x64 тесты для семерки. Надеюсь, они помогут многих вывести на чистую воду.

У Матусека в тестах приличный процент кривых трактовок. А под Win7 даже x86 уже даже неприличная доля его текущих тестов не запускается, куда там до "покоцанной" x64.

[zzkk 130]

Про матушека вспомнил скорее как про "соломинку" (хоть какая-то защита для простого пользователя, который сам не в состоянии проанализировать уровень защиты)...

Тогда второй вариант - (тут уже предлагали, и я поддерживаю) перевести все местные тесты (в дополнение к существующему тесту родительских контролей) на x64. Это шаг должен подтолкнуть как вендоров, так и пользователей в "правильном" направлении.

[spw 190]

У Матусека в тестах приличный процент кривых трактовок. А под Win7 даже x86 уже даже неприличная доля его текущих тестов не запускается, куда там до "покоцанной" x64.

Не знаете причин - не пишите глупости.

Они там не запускаются, по причинам говнокода (простите), например, прямых ползаний по PEB без учета, что смещения могут быть разными. Это исправляется достаточно быстро. И разом решает проблему многих тестов.

[Виталий Я. 859]

Не знаете причин - не пишите глупости.

Они там не запускаются, по причинам говнокода (простите), например, прямых ползаний по PEB без учета, что смещения могут быть разными. Это исправляется достаточно быстро. И разом решает проблему многих тестов.

Знаю в объеме, достаточном для понимания сути проблемы - SSTS для x64 не работает, для Win7 тоже еле-еле. Между прочим, смысл наших высказываний одинаков, но разные акценты.

[Killer 55]

Не знаете причин - не пишите глупости.

Ха, в точку

[Nike 165]

Sp0Raw

на данном форуме зарегистрированы, в основном, представители ЛК.

следовательно, писать что-то о других продуктах нет смысла. особенно о том, что указан в названии темы.

если вы действительно создали данную тему для того, чтобы помочь улучшить два указанных продукта, вас ждут в техподдержке Avira. а если есть возможность сделать запрос на англоязычной странице, то думаю данный вопрос не заставит себя долго ждать. очень интересно будет увидеть дальнейший диалог.

p/s так и не увидел высылаемый вами вредоносец для х64 в теме. хотелось бы аналогично посмотреть на него на Windows 7 x64.

[Umnik 997]

вас ждут в техподдержке Avira

Вирлаб преотлично общается с ТП.

[Nike 165]

Вирлаб преотлично общается с ТП.

а что предлагаете делать? не у всех антивирусов на форумах русскоязычных представители вирлаба есть.

[Coner 5]

В ЛК и Авиру были отправлены тела. Полный текст сообщения:

Упомяните в теме ваш File ID запроса, направленного в Avira, руткит будет перепроверен.