Криптотрюк против реверс-инжиниринга

Криптотрюк против реверс-инжиниринга

Скоро жизнь антивирусных компаний может сильно усложниться. «Конец (простого) анализа зловредов :D», — написал в твиттере известный торговец эксплоитами the grugq, когда увидел анонс хакерской конференции SyScan со списком докладов. Конференция пройдёт в марте в Сингапуре.

Среди докладчиков упомянут Якоб Торри (Jacob Torrey), который намерен представить новую схему шифрования исходного кода программ под названием Hardened Anti-Reverse Engineering System (HARES).

Технология предусматривает, что код программы расшифровывается непосредственно процессором в последний момент перед исполнением. Это затрудняет анализ программы инструментами для реверс-инжиниринга. Такой анализ, как известно, проводится для изучения образцов вредоносного ПО, декодирования функций программы с целью снятия защиты от копирования и т.д.

«Это делает приложение полностью непрозрачным, — говорит Якоб Торри, который работает в нью-йоркской компании Assured Information Security в сфере информационной безопасности, пишет xakep.ru.

Если технология работает как заявлено, то её могут использовать разработчики ПО вроде Adobe или Autodesk в качестве DRM-подобного механизма. Ну и, конечно, авторы зловредов.

Если конкретнее, то для реализации описанного алгоритма используется десинхронизации буфера TLB (Split TLB) на процессорах Intel и AMD. Код программы разделяется на части в оперативной памяти, при этом часть с зашифрованными инструкциями каким-то образом расшифровывается ключом не из памяти, а из процессора. То есть для других программных приложений эти инструкции никак не могут быть доступны. Такой метод защищает даже от сложных методов с физической заморозкой оперативной памяти.

Не совсем понятно, как конкретно происходит дешифровка. Остаётся надеется, что на конференции 26-27 марта автор всё подробно разъяснит.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенники стали в 16 раз чаще звонить с поддельных номеров из-за рубежа

За последнюю неделю количество фейковых звонков с иностранных номеров в Россию выросло в 16 раз. Об этом рассказали в Сбере. Всплеск удалось заметить в том числе благодаря пользователям, которые отправляли жалобы через раздел «Сообщи о мошеннике» в приложении СберБанк Онлайн.

Такие звонки — не новость: злоумышленники давно используют облачные АТС, где можно быстро взять в аренду номер с кодом другой страны.

Чаще всего — европейских. Иногда — стран с «похожими» номерами (например, +84 95), чтобы выглядело более правдоподобно. Всё это делается через IP-телефонию, что позволяет обходиться без операторов сотовой связи и затрудняет блокировку.

Зампред правления Сбера Станислав Кузнецов отметил, что несмотря на резкий рост таких звонков, в общем объёме мошеннических вызовов их пока немного. Антифрод-система банка их фиксирует и ставит подозрительные операции на усиленный контроль — благодаря этому удаётся избегать хищений.

Но в банке всё равно призывают не терять бдительность:

«Если вам звонят с незнакомого номера из-за границы — просто не отвечайте. Если у вас нет родных или деловых контактов за рубежом, то такие звонки почти наверняка мошеннические».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru