Традиционные антивирусные вендоры против пи... freemium

[Threat#47 8]

Ах да, песочница - это вообще не нужный хлам. 

 

Имеется в видя для запуска файлов чтобы посмотреть "что будет" или "не будет" (простой пример: запускаете файл, видите нужную прогу, а вместе с ней идёт в подарок руткит, нежелательное ПО, бэкдор, "Зевс" и т.д. но как вы это узнаете?). 

Для изоляции процессов, для эмулятора, для анализа поведения - наоборот супер, если сделана подобающим образом (постоянно совершенствуется), иначе повышается вероятность того, что зловред изменит своё поведение намеренно зная о своём нахождении в песке. Уже в 2011 году Symc обнаружила около 400 методов обхода песочницы: http://www.securitylab.ru/news/431890.php

[priv8v 960]

Уже в 2011 году Symc обнаружила около 400 методов обхода песочницы

А вы читали то, на что сослались? Там идет речь не о 400 методах именно обхода песочниц, а кое о чем другом.

 

Поясняю:

1. По данным секьюритилаба Симантек обнаружила в 2011 году 400 образцов ВПО, которые умели детектировать то, что они запущены в одной из онлайн-анализаторок поведения (анубисы, комоды, чуки всякие) и в этом случае не работать (проверка по разным системным именам\путям) или работают, но с задержкой (поспят... а к тому времени их анализ уже завершится).

2. По данным самого Симантека (если перейти по ссылке, а не читать кривой перевод студентов), то там мы вообще не найдем упоминания даже о 400 образцах ВПО - там речь идет о 400 лямах малвари в общем виде, а далее идут рассуждения о том, что это все должно по очевидной причине разбираться не вручную в IDA, а автоматизированно по анализу поведения в том числе, а малвари такие нехорошие встречаются - чекают запущенность в анализаторке и ничего вредоносного тогда не делают. 

 

Так что вы притянули к своим словам вообще совершенно левую аргументацию. Будьте внимательнее.

[Threat#47 8]

 

Уже в 2011 году Symc обнаружила около 400 методов обхода песочницы

А вы читали то, на что сослались? Там идет речь не о 400 методах именно обхода песочниц, а кое о чем другом.

 

 

 

Всё верно. О статье помнил, а о её содержании нет, соотв., не верно применил. Да и не важно, сколько вариантов обхода. Суть в том, что методики обхода и обнаружения "песка" сегодня рядовой функционал. В 2011 - только 400 образцов , сегодня ситуация сложнее, раньше вредонос мог просто прекратить работу, сегодня может поменять поведение и не обнаруживаться.

 

На базе антивирусных лабораторий есть песочницы автоматизированного анализа - автодятлы.  Чем они отличаются от экспертных HIPSов на компьютерах пользователей? Общая схема такая получается: обилие образцов поступает в программные среды (на базе серьёзных выч. мощностей), напоминающие разные ОС, среда автоматически инициализирует  зловреда, когда становится ясно что тот делает, она восстанавливает состояние среды и берёт след. образец, определённое вредоносное ПО ведёт себя конкретным образом, если шаблон поведения семейства срабатывает в этой среде на образец - зловреду присваивается наименование семейства, так? 

Как я понимаю, автодятлы ещё многое могут. 

[priv8v 960]

Даже не знаю как еще объяснить. Вы путаете теплое с мягким. Мешаете в одну кучу "обнаружение запуска в песочнице" и "обход песочницы", путаете песочницы на компьютерах пользователей и песочницы-поведенческие-автодятлы. Попробую объяснить вторым заходом.

 

В 2011 - только 400 образцов

См.выше - я уже пояснил, что Симантек не вела речь о 400 образцах.

 

 

Да и не важно, сколько вариантов обхода. Суть в том, что методики обхода и обнаружения "песка" сегодня рядовой функционал.

Скажем так: сегодня больше чем в 2011 году малвари несет на борту функционал проверки своей запущенности в онлайн-песочнице. Но речь об обходах этих песочниц (также как и об обходах песочниц на компах у пользователей) - не идет даже близко.

Проверки там обычно простые - проверка имени системы/пк, сетевых драйверов, существование в системе определенных процессов и драйверов - их наличие указывает на то, что это виртуальная машина или на то, что используются популярные утилиты мониторинга (кука).

 

Цель подобных трюков по сути одна - не показывать свой вредоносный функционал автомату - не светить админку/стату, не палить те файлы, которые бы дропнулись/скачались, а в идеале чтоб вообще автомат не подумал, что это зловред.

 

К обходу пользовательских песочниц это не имеет вообще никакого отношения.

[Сергей Ильин 1538]

2. В документе сказано, что на сете из 20552 шт. каких-то файлов Каспер не задетектил 124, а Нано - 139. При этом Нано один раз сфолсил, а Каспер почему-то нет.

 

Очередной тест на архиве каких тушек из разряда "ниочем".

 

NANO Security что в рамках темы топика мы должны были вынести из результатов теста? Что NANO Security умеет воровать хорошо или что-то другое?

[Threat#47 8]

Даже не знаю как еще объяснить. Вы путаете теплое с мягким. Мешаете в одну кучу "обнаружение запуска в песочнице" и "обход песочницы", путаете песочницы на компьютерах пользователей и песочницы-поведенческие-автодятлы. Попробую объяснить вторым заходом.

 вела речь о 400 образцах.

Я задал доп. вопросы вне связи с предыдущим обсуждением по теме "что знаете о дятлах". А вы как-то чудно всё это поняли. 

Мешаете в одну кучу "обнаружение запуска в песочнице" и "обход песочницы", путаете песочницы на компьютерах пользователей и песочницы-поведенческие-автодятлы. Попробую объяснить вторым заходом.

 

Уточню один момент.

 они запущены в одной из онлайн-анализаторок поведения

 

Зловреды ведь не только онлайн-анализаторки видят, но и пески антивирусных модулей, эмуляторы например. Отсюда и были вопросы выше: какие отличия онлайн-аналзиторок песочных от тех, что в антивирусах размещены локально. Одинаковый ли алгоритм обнаружения онлайн-анализаторок и локальных в антивирусах? (подозреваю, что да).

Так вот, я бы хотел именно о дятлах поговорить, как они работают, что там за песок и т.д. (вопросы выше).

я уже пояснил, что Симантек не вела речь о 400 образцах.

 

Надо было вам дать ссылку на оригинал (вы упомянули о переходе по ссылке, но я не понял о какой конкретно речь шла), только и всего и не писать так много. Объяснять нечего, если ресурс - источник так глупо ошибся. 

http://www.symantec.com/connect/blogs/malware-authors-using-new-techniques-evade-automated-threat-analysis-systems

[priv8v 960]

Вы опровергаете написанное по ссылке?

Да, но надо было вам дать ссылку на оригинал, только и всего и не писать так много. Объяснять нечего, если ресурс - источник так глупо ошибся.

Про это выше я вполне русскимя языком и написал:

 

По данным самого Симантека (если перейти по ссылке, а не читать кривой перевод студентов)

 

 

Я задал доп. вопросы вне связи с предыдущим обсуждением по теме "что знаете о дятлах".

Называется "сполз с темы". Я про автодятлы не заводил речь, а пришел в тему, когда тут заметил "информацию" про обход пользовательских песочниц. А про автодятлы да, чего тут обсуждать, примерно такой функционал на определенном этапе разбора файловых потоков есть у некоторых ав.

[Threat#47 8]

Называется "сполз с темы".

 

 А что с неё "сползать"? Я уже сказал, что косякнул. 

 

Вы писали свой пост когда я редактировал. Посмотрите ещё раз прошлый пост, может лучше поймёте что я имел в виду.

Не сразу я понял где мы друг-друга не поняли, вот и дополнял написанное. 

 

 

 А про автодятлы да, чего тут обсуждать, примерно такой функционал на определенном этапе разбора файловых потоков есть у некоторых ав.

 

Т.е. этот тот же самый HIPS с песочницей?

[priv8v 960]

этот тот же самый HIPS с песочницей?

но и пески антивирусных модулей, эмуляторы например.

 

В смысле, что автодятел каспера это кастомный KIS в винде? Не обязательно. Автодятел может быть даже виндой на реальной машине или на базе некоей виртуалки. Суть в снятии определенных данных с маячков и их автоматическая интерпретация. Делается это хуками на все и вся в системе, для этого можно использовать уже готовые решения или забазировать на чем-то своем (т.е модифицированный драйвер КИСа для этого можно использовать). Т.е фактически никакой песочницы нет - с т.ч зрения зловреда это обычная ОС в которой он все может сделать. Простой проверкой существования вмваре-тулз зловред не обнаружит, что он в автодятле, а даже если и обнаружит - это ему особо ничего не даст, он будет все равно в итоге задетектирован благодаря другим этапам анализа сэмпла.

 

Детект и обход эмуляторов на компах у пользователей это немного другое. Целей две:

1. Криптор не должен под эмулем раскрутить и запустить реальный код

2. А если крипта и нет, то реальных действий зловредных код не должен начать как бы делать

 

Но это именно эмуляторы, к песочницам отношение у них очень далекое.

[Виктор Коляденко 6]

куча вопросов бесполезных

 

Это как у Комодо? Есть и другой вариант - просто проактивка говорит "защитить: да/нет". Возможно, что вчера она отреагировала на систему архивации Windows.

[Threat#47 8]

Но это именно эмуляторы, к песочницам отношение у них очень далекое.

Песочница по сути копия ОС, эмулятор тоже копия ОС. Упомянуто, что автоматические HIPSы от Symantec и TrendMicro, например, имеют песочницу (Sandbox), где и проводится первичный анализ. Однако, Sandbox не эмулятор, как вы говорите, так в чём разница между этими средами, эмулятор менее точная копия (всё таки, быстро и глубоко посмотреть что делает конкретный файл невозможно, а динамический эвристик работает при простой проверке файлов, файлов много, наверняка именно поэтому предпочтительнее иметь  развитый автоматический HIPS, чем эмулятор, ведь эмулятор проще обмануть из-за его ограниченности, опять же, я предполагаю)?  

[Threat#47 8]

Кстати, инфа о то, как ботнет Simda и эмуляторы (а эмулятор ЛК уже прикрутили к KSN (Е.К. об этом раньше писал, что собираются, мол)? Если да, то интересно что это даёт)  обнаруживает, и пески, и некоторые антивирусы http://securelist.ru/blog/issledovaniya/25463/simda-igraet-v-pryatki-vzroslye-igry/, 

Simda – это таинственный ботнет, используемый киберпреступниками в различных целях: например для распространения потенциально нежелательного и вредоносного ПО. Мы назвали этот бот таинственным, потому что он редко появляется на радарах нашей KSN, но при этом успевает ежедневно проникать на множество компьютеров. Отчасти это ему удается благодаря способности обнаруживать эмуляцию, защитные решений и виртуальные машины. В его арсенале есть несколько методов обнаружения "песочниц", применяемых исследователями. 

 

[priv8v 960]

Возможна некоторая путаница в терминах - кто-то эту первичную обработку может назвать прогоном через эмуль, а кто-то прогоном через песочницу.

Например, классическим примером является хипс от Ильи Рабиновича, который вполне себе песочница.

 

наверняка именно поэтому предпочтительнее иметь  развитый автоматический HIPS, чем эмулятор, ведь эмулятор проще обмануть из-за его ограниченности, опять же, я предполагаю)?

 

Одно другому не мешает и друг с другом фактически никак не взаимодействует.

 

 

 Если да, то интересно что это даёт)  обнаруживает, и пески, и некоторые антивирусы

 

В его арсенале есть несколько методов обнаружения "песочниц", применяемых исследователями. Этому боту удается вычислять исследователей, занимая все ресурсы ЦП или уведомляя владельца ботнета о внешнем IP-адресе исследовательской сети.

Его особенность это именно ведения лога адресов сетей. А все остальное есть и у других - он чекает свой запуск в виртуалках и ищет в окружении софт мониторинга.

[KIS_fan 17]

Возможна некоторая путаница в терминах - кто-то эту первичную обработку может назвать прогоном через эмуль, а кто-то прогоном через песочницу.

Мне тоже кажется что речь идет именно о эмуляторах.

[Threat#47 8]

 

Возможна некоторая путаница в терминах - кто-то эту первичную обработку может назвать прогоном через эмуль, а кто-то прогоном через песочницу.

Мне тоже кажется что речь идет именно о эмуляторах.

 

Почему? И где конкретно речь об эмуляторах? В HIPSах не эмуляторы, а Sanbox-ы, по ссылке Камлюк также подробно расписал что зловред обнаруживает, а Symc писала о песках или виртуалках в автодятлах. 

[Илья Рабинович 521]

Просто есть аналитические песочницы для антивирусов и антивирусные песочницы, это несколько разные вещи по сферам применения.

[NANO Security 6]

 

2. В документе сказано, что на сете из 20552 шт. каких-то файлов Каспер не задетектил 124, а Нано - 139. При этом Нано один раз сфолсил, а Каспер почему-то нет.

 

Очередной тест на архиве каких тушек из разряда "ниочем".

 

NANO Security что в рамках темы топика мы должны были вынести из результатов теста? Что NANO Security умеет воровать хорошо или что-то другое?

 

Вижу, у участников топика с китайским получше, чем с русским? Ну, поясню.

 

Ссылка на тест была выложена лишь как маленькое дополнение к вот этой дискуссии (Поясню отдельно: уважаемый пользователь заметил, что Касперский все равно найдет КУДА БОЛЬШЕ (чем NANO Антивирус).):

2. Могу кинуть ссылку, где например ЛК не видел то, что видел Nano антивирус. А потом вдруг увидел :-). Ну наверное тоже детект украли?))

 

Отправлено 07 April 2015 - 17:20 Ludoedushka, 2. Это ни о чём не говорит, ибо итак очевидно. Касперский всё равно найдёт куда больше и уровень угроз может быть почти любой.

А уж вынести из результатов теста вы вольны абсолютно что вам удобно - что мы воровать умеем хорошо, или, например, что мы умываемся кровью христианских младенцев по праздникам, или еще что-нибудь.

[Сергей Ильин 1538]

Ссылка на тест была выложена лишь как маленькое дополнение к вот этой дискуссии (Поясню отдельно: уважаемый пользователь заметил, что Касперский все равно найдет КУДА БОЛЬШЕ (чем NANO Антивирус).):

 

Результаты приведенного теста ничего не проясняют, так как его методология морально устарела. Но суть не в этом. Я переспрошу: При чем тут воровство детекта? Кто у кого ворует детект, Касперский у NANO Антивирус (что как бы следует из вашей ссылки) или наоборот?

[NANO Security 6]

 

Ссылка на тест была выложена лишь как маленькое дополнение к вот этой дискуссии (Поясню отдельно: уважаемый пользователь заметил, что Касперский все равно найдет КУДА БОЛЬШЕ (чем NANO Антивирус).):

 

Результаты приведенного теста ничего не проясняют, так как его методология морально устарела. Но суть не в этом. Я переспрошу: При чем тут воровство детекта? Кто у кого ворует детект, Касперский у NANO Антивирус (что как бы следует из вашей ссылки) или наоборот?

 

Хм. Я правильно понимаю, что тогда вырисовывается следующая интересная ситуация - некий очень популярный вендор хвалится своими результатами, полученными в лаборатории, тесты которой морально устарели? Это первый вопрос.

И второй я прямо вам обратно переадресую - я тоже в недоумении, при чем тут воровство детекта? Вы его к чему упомянули-то, не поясните? У вас, по-моему, на воровстве детекта какой-то пунктик, что вы его к месту и не к месту упоминаете.

[Сергей Ильин 1538]

И второй я прямо вам обратно переадресую - я тоже в недоумении, при чем тут воровство детекта? Вы его к чему упомянули-то, не поясните? У вас, по-моему, на воровстве детекта какой-то пунктик, что вы его к месту и не к месту упоминаете.

 

Складывается впечатление, что вы вообще не читали название темы и посты выше. Иначе бы таких странных вопросов не было. Это конечно хорошо, мониторить форум по названию продукта. Но было бы неплохо еще учитывать контекст беседы.

 

Речь идет о том, что вендоры, работающие по модели  freemium, обладают скудными ресурсами и вынуждены воровать детект и технологии у других. Таким образом, происходит вырождение рынка. Основной тезис топика в этом.

[NANO Security 6]

Ваше впечатление неверное. Тема небезынтересная, а название нашего продукта попалось именно в контексте во время прочтения темы, так что ни к чему пояснять, о чем в ней шла речь.

У меня, наоборот, складывается впечатление, что вы не читаете то, на что отвечаете.

Повторюсь. Ссылка на тест была выложена ИСКЛЮЧИТЕЛЬНО в качестве комментария к посту, в котором было сказано, что Касперский найдет куда больше чем NANO Антивирус, процитирую себя же:

 

...уважаемый пользователь заметил, что Касперский все равно найдет КУДА БОЛЬШЕ (чем NANO Антивирус).

 

Можете считать оффтопом.

 

Кстати, первый вопрос деликатно обошли молчанием.

[Сергей Ильин 1538]

Хм. Я правильно понимаю, что тогда вырисовывается следующая интересная ситуация - некий очень популярный вендор хвалится своими результатами, полученными в лаборатории, тесты которой морально устарели? Это первый вопрос.

 

Не берусь судить кто чем хвалится и почему. Каждый вендор уже обклеен тоннами значков, большинству из которых грош цена. Классический пример - VB100%.

 

ИМХО второсортные тесты играют на руку исключительно слабым вендорам, так как дают им возможность встать в один ряд в лидерами или даже неожиданно опередить их.