Vraag:
Hoe het virus van Polymorphic Malware te krijgen
user1744108
2013-07-07 22:17:44 UTC
view on stackexchange narkive permalink

Ik wil polymorfe malware decoderen en wil een daadwerkelijke virusbody krijgen die de infectie gaat veroorzaken. Ik heb geprobeerd virut.ce (dit is een polymorfe malware) te decoderen in ollyDbg, maar het gebruikt anti-foutopsporings- en anti-emulatietechnieken en daarom is het erg moeilijk om het virus te vinden.

Ik kan een virus krijgen lichaam van gecodeerd virus. Maar in het geval van een polymorf virus verandert de decoderingsroutine en is het daarom moeilijk om het viruslichaam te verkrijgen.

Kan iemand mij een betere aanpak voorstellen om het viruslichaam te krijgen. Of kan andere eenvoudige polymorfe malware voorstellen die ik kan debuggen in OllyDbg. Mijn doel is om viruslichaam te krijgen van polymorfe malware.

Als je IVT-enabled pc hebt (de meeste pc's van tegenwoordig), kun je [Ether] (http://ether.gtisc.gatech.edu/) installeren: Malware-analyse via hardwarevirtualisatie-extensies met Debia-lenny-5 Het web ook biedt uitpakservice. Zoals ik weet, kunnen alleen virussen die voor onderzoeksdoeleinden zijn gemaakt, de Ether-tool omzeilen. Ik heb deze tool gebruikt in mijn onderzoekswerk. het is geweldig
Heeft u deze tool geprobeerd, de meeste van uw cryptovirussen kunnen worden gedecodeerd. Mag ik weten wat uw bron van virussen is?
Omdat uw vraag ook betrekking heeft op beveiliging, kunt u uw vraag stellen op [IT-Security: tag: Malware] (http://security.stackexchange.com/questions/tagged/malware?sort=votes&pagesize=15)
Ik gebruik polymorfe virussen van aanstootgevend computergebruik. Ik nam virussen zoals virut.ce, Bolzano. Nu probeer ik de tool die je noemde. Maar zoals u zei, kunnen alleen virussen die voor onderzoeksdoeleinden zijn gemaakt Ether omzeilen, ik weet niet zeker of deze virussen zullen worden doorgegeven. Waar kan ik de virussen zien die voor onderzoeksdoeleinden worden gebruikt of die ether kunnen passeren?
Ether is een zeer goede tool, het geeft je een dump voor elk toegangspunt in de ** host ** -machine. Ja, het is een beetje moeilijk om ermee aan de slag te gaan, maar het zal je tijdskosten terugbetalen. Door mijn middelen te omzeilen, kan een virus zelfs ether detecteren en zichzelf verhinderen om te decoderen. Een artikel van een virus [Danny Quist] (http://www.offensivecomputing.net/?q=blog/4) hierover. - Mijn dataset bestond uit (1) echte virussen: gelicentieerde gegevens (door een bedrijf), sommige virussen die ik kreeg van [Mark Stamp] (http://www.cs.sjsu.edu/~stamp/cv/ mss.html) meneer (2) Ik heb ook tool-analyse gedaan op synthetische virussen. Mensen uit de industrie weten minder over deze tool
[Op grafieken gebaseerde malwaredetectie met behulp van dynamische analyse] (http://www.stat.lanl.gov/staff/CurtStorlie/malware_JCV.pdf)
Drie antwoorden:
Stolas
2013-07-08 11:44:56 UTC
view on stackexchange narkive permalink

Klinkt als een leuke uitdaging!

Om de malware-body te krijgen, raad ik je aan IDA Pro te gebruiken in plaats van Olly (maar het is echt je eigen keuze). Hoe dan ook, ik raad aan om eerst te traceren wat het doet, doe dit door een sandbox te gebruiken. Lees hoe malware dit detecteert en bedenk een manier om dit detectiemechanisme te omzeilen. Lees andere artikelen en bestudeer hoe polymorfe en zelfs metamorfe code werkt. Ik heb altijd genoten van de metamorfismepaper over OpenRCE http://www.openrce.org/articles/full_view/29

Hoe kom ik er

Om om dit aan de gang te krijgen. Ik raad aan om veel plug-ins voor het uitpakken enz. voor IDA te schrijven. Zie malware als vakbonden. Analyseer eerst de eerste laag, bouw een plug-in om deze automatisch (statisch) uit te pakken (opnieuw IDA) en ga hiermee door totdat je het hele ding omkeert. Verwijder de (bytepatch) anti-debug-technieken en leer echt hoe dit ding werkt.

In wezen harde malware is een lang, moeizaam proces dat niet kan worden geautomatiseerd. Het is echt leuk om ze te analyseren. Als u snellere analyses wilt, kunt u TitaniumCore bekijken of het voorbeeld naar een VirusExchange-site sturen, zoals offensive computing :)

Veel plezier en geluk!

Bedankt voor je input. Kunt u voorstellen welke sandbox ik kan installeren en gebruiken? Omdat ik daarnaar zocht en enkele zandbakken vond zoals Anubis, threattrack. Maar daar kan ik me insturen en kan ik niet zien wat er aan de hand is.
Je moet de anti-emulatietechnieken in de malware verslaan. Een oplossing van een derde partij is niet acceptabel, omdat je niet aan de binnenkant kunt sleutelen. Ik zou aanraden om dit met de hand te doen of om open source software te gebruiken (Cuckoo box komt in me op, net als ZeroWine).
Geweldige link, heb je de eerste of de auteur waarnaar de auteur verwijst? "Dit artikel is een directe afstammeling van mijn vorige ..."
http://www.openrce.org/articles/full_view/27
peter ferrie
2013-07-07 23:26:28 UTC
view on stackexchange narkive permalink

Er is geen gemakkelijke manier om het viruslichaam uit een polymorf virus te halen, want dat is de aard van polymorfe malware. De meer recente polymorfe malware bevat, zoals u ziet, ook anti-emulator- en anti-debugger-trucs.

Als u "gemakkelijkere" polymorfe malware wilt, probeer dan enkele van de oudere, zoals Marburg, HPS, Magistr , Chiton (de "EfishNC", maar het probleem is om het toegangspunt te vinden), Bagif, Bounds (heeft ook het lastige probleem van het toegangspunt - er is een goed artikel over, het is een lineaire decryptor, maar de eerste instructie die je ziet is niet de eerste instructie van de decryptor), ... Ze kunnen zonder probleem worden geëmuleerd. In het geval van Marburg en HPS zijn de decryptors echter erg groot (en in het geval van Bounds erg groot).

David Hoelzer
2013-07-13 06:57:13 UTC
view on stackexchange narkive permalink

Ik zou aarzelen om categorisch te stellen dat je het lichaam van een polymorf virus niet kunt krijgen. Het hangt echt af van de malware.

Hier is een aanpak die in veel gevallen zal werken wanneer de malware is gecodeerd, verpakt, enz.

  1. Download de malware op een VM (of anderszins geïsoleerde box).
  2. Zorg dat de malware wordt uitgevoerd.
  3. Dump het procesgeheugen met een tool zoals vluchtigheid of ProcDump ( http://technet.microsoft.com /en-us/sysinternals/dd996900.aspx)

Je zult wat analyse moeten doen om erachter te komen waar het code-invoerpunt zich precies in die geheugendump bevindt, maar zodra je als je het hebt, zul je het veel gemakkelijker hebben om het in zoiets als IDA te trekken, aangezien de malware zichzelf hoogstwaarschijnlijk al heeft gedecodeerd.

Natuurlijk zijn er enkele technieken waarbij just-in-time decodering / encryptie nodig is terwijl de malware wordt uitgevoerd, maar deze zijn ongebruikelijker om te vinden. Voor -deze- stukjes malware is er geen snelle en gemakkelijke manier om de gedecodeerde body te extraheren, tenzij je het algoritme en de sleutel al hebt.

Ik hoop dat dit helpt!

Wat moet ik doen als ik malware handmatig in OllyDbg / IDAPro debug? Malware zou zichzelf op een bepaald moment moeten decoderen, toch? en daar kan ik zijn lichaam vormen. Is het een haalbaar idee?
Ja en nee. Dit komt eigenlijk in de buurt van wat mijn antwoord suggereert. Het probleem is dat een behoorlijke hoeveelheid malware anti-re bevat die verder gaat dan versleuteling, inclusief technieken om de aanwezigheid van een debugger te detecteren of er op zijn minst op te reageren. Dit betekent dat, hoewel uw idee een goed idee is, het niet in alle gevallen zal werken omdat de malware zichzelf mogelijk niet met succes kan decoderen onder een debugger. Dit is de reden waarom het dumpen van het proces een betrouwbaardere benadering is, hoewel het moeilijker is om vervolgens het binaire bestand te analyseren.


Deze Q&A is automatisch vertaald vanuit de Engelse taal.De originele inhoud is beschikbaar op stackexchange, waarvoor we bedanken voor de cc by-sa 3.0-licentie waaronder het wordt gedistribueerd.
Loading...