Escolhendo uma nuvem de hospedagem parceiro com confiança
Blackhats cuidado: reverter os engenheiros estão rindo de seu buggy avançado ameaça persistente malware (APT).
Você fez muito bem, porém: as cargas personalizados foram eficazes em invadir empresas e os danos que fiz foi bastante devastador.
Mas muitos foram sendo encontrados e adicionados assinaturas anti-malware tudo muito rapidamente.
Dê uma dica de que o inimigo, FireEye engenharia reversa Richard Wartell, que enquanto vestida com um ' cão cientista 'jaleco riu de seus erros em um encontro de profissionais de segurança em Washington.
"Provavelmente o mais difícil APT falha que eu vi são os caras que construíram este malware realmente impressionante e não podia trabalhar fora porque eles não podiam acessar suas backdoors", disse Wartell.
Seu determinada peça de malware anexado seu domínio do mal no final do arquivo como uma string codificada, e procurou identificadores de arquivo para um arquivo de um tamanho específico. Você estragou tudo no entanto, quando você mudou o domínio codificado tornando-se um comprimento diferente e tornar seus vários backdoors empresa inacessível.
O inimigo: (LR) engenheiros de malware FireEye Matthew Graeber, Richard Wartell, e Michael Sikorski.
Outra peça de magia APT mostrou sua tendência para o excesso de engenheiro. Esta peça "cool" de C ++ malware contido uma concha inteira dentro do binário, que tinha não apenas alguns comandos, mas o conjunto completo, além de extras como ipconfig e netcat, apenas por diversão.
"A quantidade absurda de código para colocar em um backdoor", disse Wartell. "A quantidade de tempo que foi para isso foi realmente impressionante, mas se era necessário? Bem, se você acabou de criar um reverse-shell em como 100 linhas de código todo esse trabalho seria muito bem feito para você."
Há uma máxima perene em criptografia que você não deve lançar seu próprio. Havia, como Wartell apontou, as pessoas mais inteligentes do que nós que desenvolveram o que eram os nossos melhores esquemas de criptografia durante o último século. No entanto, você continuou, para alegria dos reversores, para rolar seus próprios sabores mais fracos, buggier.
Ponto de Vendas de malware é o novo preto e fazia sentido que você iria trabalhar em um alvo com dinheiro na mão. Seu malwares kernel que se descompactado antes de injetar shellcode em três processos diferentes userlândia foi impressionante, especialmente porque ele caiu e desapareceu deixando apenas shellcode mal executado em processos legítimos.
"Foi realmente impressionante malwares kernel do pedaço ... mas estava escondido no sistema em alguns aspectos bastante ridículo", disse Wartell. "Antes de tudo, era um driver de kernel não assinado, e que se destaca como uma ferida polegar, e segundo o seu nome do serviço foi uma série de caracteres aleatórios - provavelmente centenas de horas entrou em construir esta coisa, mas agora qualquer um poderia manchar esse nome, algo como 'número de suporte da Microsoft-aleatório ".
Não se desespere, vxer, há esperança. Espero que na forma de declarações #ifdef.
"Fazer um pouco melhor, tentar um pouco mais Embrulhe suas coisas em declarações #ifdef -. Demora uns cinco segundos e ele vai se livrar das coisas que você não quer me ver", disse Wartell.
Aplicar a máxima de criptografia para embaladores e parar de construir o seu próprio "divertida" código quebrado, e em vez disso usar experimentadas e testadas off-the-shelf opções como Themida e VMProtect.
Mais fundamentalmente, pare de ser programadores preguiçosos. O malware está nas mãos de inteligentes engenharia reversa mais rapidamente do que o tempo que você levou para escrevê-lo, então você precisa encontrar maneiras melhores para se esconder. "Faça parecer benigna, não deixe tocar o disco."
Você poderia dar lição de escritores crimeware também. Essas pessoas criaram o malware menos prejudicial que visavam todos, em toda parte, em uma tentativa de mangueira tantas contas bancárias e credenciais como possível. Eles tiveram que se esconder para sobreviver.
Alguns pensamento verdadeiramente divergente veio PhishMe pesquisador sênior Ronnie Tokazowski. Ele descobriu a alta complexidade Dyre corporativa trojan crimeware no mês passado depois que foi relatado por um cliente sniffing sobre serviços de nuvem, e foi pacientemente aguardando mensagens de ódio do autor cuja obra estava agora no vaso sanitário.
Se ele fosse um autor APT, Tokazowski disse Abutre do Sul, ele iria conversar com os autores de crimeware sobre seus truques de ofuscação. Em troca ele iria partilhar algumas dicas de carga que poderia tornar o trabalho uma inversão dos engenheiros muito mais interessante.
"Autores APT não se importam o suficiente para tomar qualquer um desses conselhos", disse Wartell. "Todas as coisas que constroem obras, para que eles não tendem a se importa." ®
Darren Pauli viajou para Washington DC como convidado da FireEye.
via Alimentação (Feed)
Nenhum comentário:
Postar um comentário