Perché gli aggressori si preoccupano (banalmente) di offuscare il loro codice sorgente?

18

Recentemente un mio amico ha scoperto e mi ha inviato una piccola raccolta di script trojan che sono stati caricati sulla sua macchina. Ecco un esempio:

eval(gzinflate(str_rot13(base64_decode('huge-string'))));
die;

Perché gli aggressori si preoccupano di fare tutto questo? Qualsiasi sviluppatore può banalmente invertire questi passaggi per vedere il codice sorgente.

L'unica ragione che posso immaginare è un tentativo di impedire il rilevamento dell'antivirus contro una base di codice esistente (base64 () lo script, hai un "nuovo" virus, almeno per pochi minuti).

Questo vettore è in gran parte mitigato con successo da elementi come il rilevamento del virus euristico, che guarda precisamente a frammenti di origine sospetti come questo.

    
posta msanford 01.08.2012 - 21:35
fonte

1 risposta

24

Questo non ha lo scopo di sconfiggere l'analisi umana, è volto a sconfiggere i sistemi di rilevamento / prevenzione delle intrusioni e altre scansioni automatiche, dato che il codice entra nella rete.

PHP è un linguaggio completo di Turing, il che significa che un singolo pezzo di codice può essere rappresentato in un numero quasi infinito di modi. I sistemi automatizzati hanno risorse limitate e sono progettati pensando a questo fatto: cercheranno di svelare l'obsidazione di base eval e altri semplici trucchi, ma non ha molto senso tentare di analizzare e identificare ogni possibile tecnica di offuscamento. È una battaglia persa e il tempo dei loro sviluppatori è molto meglio speso nell'implementazione di altre funzionalità.

Una volta che il codice entra in un sistema interno, può essere scansionato da un software anti-malware. Questi sistemi hanno accesso al codice mentre viene eseguito, quindi può essere identificato molto più facilmente. Non ha senso analizzare tutto il codice complesso quando si riesce a identificare la stringa in-decompressa utilizzando una semplice firma di rilevamento.

    
risposta data 01.08.2012 - 21:39
fonte

Leggi altre domande sui tag