Test di evasione anti-virus: utilizzando VM con AV per testare il rilevamento del payload

Naviga le tue risposte
6

Usando uno strumento come velo o hyperion per eludere un AV per il pentesting, non è consigliabile caricare sul totale del virus perché aumenta il tasso di rilevamento (e / o ottiene alcune attenzioni speciali). La mia comprensione è che se carichi su Virus Total, ci sono buone possibilità che il tuo payload / la sua firma possa finire nei database AV.

Detto questo, se non sai quale AV hai bisogno di eludere, è opportuno fare quanto segue:

  • acquista un abbonamento per dire, gli x più popolari AV

  • installali in una VM

  • aggiorna in modo che abbiano il database più recente

  • interrompe qualsiasi connessione di rete (quindi non può segnalare il carico utile)

  • Scansiona il nostro payload

1) Questo impedirebbe al payload di finire in un DB AV / essere rilevato?

2) C'è un modo migliore per farlo? So che Total Virus ti consente di controllare gli hash ma ci devono essere altre euristiche che gli AV usano.

3) In caso contrario, c'è una VM o uno strumento che qualcuno ha fatto per farlo?

Grazie.

    
posta ucklvs 26.12.2017 - 03:12
fonte

3 risposte

1

Dopo alcune ricerche credo di aver trovato una risposta. Potrei aver bisogno di chiarire la mia domanda, ma in un guscio di noce quello che sto cercando di fare è questo: mi piacerebbe essere in grado di testare il mio carico utile contro il maggior numero di motori / database anti-virus possibili. Normalmente lo farei con il virus totale, ma mi viene detto che se carichi un campione aumenta la probabilità che venga rilevato il mio carico utile. In altre parole, gli esempi caricati su VT ricevono una "particolare attenzione" e quindi la maggior parte degli strumenti scoraggia gli utenti dal caricamento.

La mia soluzione è scansionare il mio campione / carico utile con VM contenenti vari software antivirus. Nella mia ricerca ho trovato uno strumento che fa proprio questo. Cioè, è un Virus Total open source che io come utente mantengo il controllo completo su.

Incontra Malice . Malice funziona girando i contenitori docker che contengono vari AV. La maggior parte di questi è gratuita ma è anche possibile fornire chiavi di prodotto per gli AV che hanno sottoscritto un abbonamento. Questo e 'esattamente quello che stavo cercando. Ora posso eseguire un comando come malice scan sketchy.exe e eseguirà la scansione rispetto ai motori AV predefiniti. Anche se non completo come Virus totale, questo è sicuramente abbastanza buono. Davvero un bel progetto, spero che continui a svilupparsi attivamente.

Sebbene questo risponda alla mia domanda, qualcuno potrebbe sapere di una soluzione migliore, quindi aspetterò almeno qualche giorno per accettare la mia risposta.

Come @atdre ha menzionato, ci sono molti altri strumenti simili. opswat.com/solutions/multi-scanning irma.quarkslab.com/overview.html github.com/PlagueScanner/PlagueScanner github.com/joxeankoret/multiav herdprotect.com

    
risposta data 28.12.2017 - 13:39
fonte
0

Esistono numerosi modi per testare il rilevamento del carico utile, compresi i modi per caricare le variazioni del carico utile su VirusTotal.

Se vuoi caricare su VirusTotal, considera l'uso di Recomposer per cambiare un po 'quello che stai facendo (e fornire quelle variazioni) .

Se stai cercando payload più avanzati, controlla questo risorsa - link - o quelli menzionati nel mio commentare la domanda originale sopra.

    
risposta data 27.12.2017 - 21:39
fonte
0

Nel tentativo di completare le risposte di cui sopra e aggiungere altre risorse, proporrò anche l'uso delle regole di yara. Ci sono molti strumenti là fuori, come loki che usano le regole di yara per rilevare molti tipi di malware. Hanno un enorme elenco di firme da antivirus noti e alcuni personalizzati. Oltre a questo strumento, generalmente propongo le regole yara per calcolare i file dannosi.

Per diversi tipi di analisi, puoi impostare localmente una Cuckoo Sandbox o utilizzare direttamente la loro piattaforma online.

Il mio suggerimento generale è di trovare e impostare o creare alcuni strumenti che saranno in grado di eseguire localmente (vms, script, contenitori ecc.), in modo da poter essere sicuri delle loro azioni e del fatto che non invieranno dati, esponendo i tuoi artefatti.

Buona caccia!

    
risposta data 30.12.2017 - 00:37
fonte

Leggi altre domande sui tag

Chromium Malware (possibile) sulla mia macchina Linux Come utilizzare più smart card con gnupg?