Αυτή η σελίδα έγραψε από @m2rc_p!

Μεθοδολογία Αποφυγής Αντιικών (AV)

Προς το παρόν, τα AV χρησιμοποιούν διαφορετικές μεθόδους για τον έλεγχο εάν ένα αρχείο είναι κακόβουλο ή όχι, στατική ανίχνευση, δυναμική ανάλυση και για τα πιο προηγμένα EDRs, αναλυτική ανάλυση.

Στατική ανίχνευση

Η στατική ανίχνευση επιτυγχάνεται με το να σημαίνει γνωστές κακόβουλες συμβολοσειρές ή πίνακες bytes σε ένα δυαδικό αρχείο ή σενάριο, και επίσης εξάγοντας πληροφορίες από το ίδιο το αρχείο (π.χ. περιγραφή αρχείου, όνομα εταιρείας, ψηφιακές υπογραφές, εικονίδιο, checksum, κλπ.). Αυτό σημαίνει ότι χρησιμοποιώντας γνωστά δημόσια εργαλεία μπορεί να σας πιάσουν πιο εύκολα, καθώς πιθανόν έχουν αναλυθεί και έχουν σημανθεί ως κακόβουλα. Υπάρχουν μερικοί τρόποι για να παρακάμψετε αυτού του είδους την ανίχνευση:

• Κρυπτογράφηση

Εάν κρυπτογραφήσετε το δυαδικό, δεν θα υπάρχει τρόπος για το AV να ανιχνεύσει το πρόγραμμά σας, αλλά θα χρειαστείτε κάποιο είδος φορτωτή για να αποκρυπτογραφήσετε και να εκτελέσετε το πρόγραμμα στη μνήμη.

• Απόκρυψη

Μερικές φορές ό,τι χρειάζεστε να κάνετε είναι να αλλάξετε μερικές συμβολοσειρές στο δυαδικό σας ή στο σενάριό σας για να το περάσετε από το AV, αλλά αυτό μπορεί να είναι μια χρονοβόρα εργασία ανάλογα με το τι προσπαθείτε να αποκρύψετε.

• Προσαρμοσμένα εργαλεία

Εάν αναπτύξετε τα δικά σας εργαλεία, δεν θα υπάρχουν γνωστές κακές υπογραφές, αλλά αυτό απαιτεί πολύ χρόνο και προσπάθεια.

Συνιστώ ιδιαίτερα να ελέγξετε αυτήν την λίστα αναπαραγωγής στο YouTube για πρακτική Αποφυγή Αντιικών.

Δυναμική ανάλυση

Η δυναμική ανάλυση είναι όταν το AV εκτελεί το δυαδικό σας σε ένα αμμουδιάκι και παρακολουθεί για κακόβουλη δραστηριότητα (π.χ. προσπαθεί να αποκρυπτογραφήσει και να διαβάσει τους κωδικούς πρόσβασης του περιηγητή σας, να εκτελέσει ένα minidump στο LSASS, κλπ.). Αυτό το μέρος μπορεί να είναι λίγο πιο δύσκολο να δουλέψει, αλλά εδώ είναι μερικά πράγματα που μπορείτε να κάνετε για να αποφύγετε τα αμμουδιάκια.

• Υπνος πριν την εκτέλεση Ανάλογα με το πώς υλοποιείται, μπορεί να είναι ένας μεγάλος τρόπος παράκαμψης της δυναμικής ανάλυσης του AV. Τα AV έχουν πολύ λίγο χρόνο για να σαρώσουν αρχεία ώστε να μην διακόψουν τη ροή εργασίας του χρήστη, οπότε η χρήση μεγάλων χρονικών διαστημάτων ύπνου μπορεί να διαταράξει την ανάλυση των δυαδικών. Το πρόβλημα είναι ότι πολλά αμμουδιάκια των AV μπορεί απλά να παραλείψουν τον ύπνο ανάλογα με το πώς υλοποιείται.

• Έλεγχος πόρων του υπολογιστή Συνήθως τα Αμμουδιάκια έχουν πολύ λίγους πόρους για να δουλέψουν (π.χ. < 2GB RAM), διαφορετικά θα μπορούσαν να επιβραδύνουν τον υπολογιστή του χρήστη. Μπορείτε επίσης να γίνετε πολύ δημιουργικοί εδώ, για παράδειγμα ελέγχοντας τη θερμοκρασία της CPU ή ακόμη και τις ταχύτητες του ανεμιστήρα, όχι όλα θα είναι υλοποιημένα στο αμμουδιάκι.

• Έλεγχοι συγκεκριμένου υπολογιστή Εάν θέλετε να στοχεύσετε ένα χρήστη του οποίου ο υπολογιστής είναι ενταγμένος στον τομέα "contoso.local", μπορείτε να ελέγξετε τον τομέα του υπολογιστή για να δείτε αν ταιριάζει με αυτόν που έχετε καθορίσει, αν δεν ταιριάζει, μπορείτε να κάνετε το πρόγραμμά σας να τερματίσει.

Αποδεικνύεται ότι το όνομα υπολογιστή του Microsoft Defender Sandbox είναι HAL9TH, οπότε, μπορείτε να ελέγξετε το όνομα του υπολογιστή στο malware σας πριν την εκρηξη, αν το όνομα ταιριάζει με το HAL9TH, σημαίνει ότι βρίσκεστε μέσα στο αμμουδιάκι του Defender, οπότε μπορείτε να κάνετε το πρόγραμμά σας να τερματίσει.

Μερικές άλλες πολύ καλές συμβουλές από τον @mgeeky για την αντιμετώπιση των Αμμουδιάκιων