Perché la maggior parte dei malware odierni non utilizza la crittografia avanzata?

1

Durante la lettura di un'altra storia di rimozione delle botnet, la mia meraviglia ha raggiunto il suo apogeo: perché gli autori di malware non utilizzano la crittografia (crittografia + firma) fornita da buone librerie quando le loro creazioni comunicano con i server C & C?

I vantaggi sono ovvi, mentre il costo dell'integrazione è relativamente basso (vero?). Se si considerasse OpenSSL, è stato fondato nel 1998, ma non ho sentito parlare di malware che firma e crittografa almeno alcuni dei suoi comandi fino al 2008.

Un buon esempio è la botnet Waledac, che è stata rimossa da Microsoft.

UPDATE : ho scoperto che il worm di Conficker (2008) ha effettivamente utilizzato la firma del payload e sorprendentemente ha scaricato Waledac.

    
posta assp1r1n3 23.04.2016 - 19:57
fonte

3 risposte

3

Sembra sorprendente perché le librerie crittografiche sono disponibili su tutte le piattaforme (principali). Ma suona spesso più semplice di quello che è. Ad esempio, l'accesso all'API Crypto su Windows richiede un sacco di codice aggiuntivo per farlo correttamente.

Ma la quantità di autori di malware che hanno familiarità con la crittografia è piuttosto piccola. Pertanto tendono a concentrarsi su funzionalità come la propagazione, le tecniche di occultamento o la raccolta dei dati. Crypto è spesso solo "bello da avere".

Inoltre l'aggiunta di solidi meccanismi crittografici aumenterebbe la complessità e la rilevabilità di un malware. Sono preferite soluzioni semplici e piccole. L'aggiunta di crittografia è un'enorme fonte di errori che limitano il successo delle attività malware.

    
risposta data 04.06.2016 - 21:37
fonte
0

Non sono un autore di malware, ma presumo sia perché è quasi impossibile e non offre alcun vantaggio.

Come può il malware "validarsi" in qualsiasi modo significativo? Il malware è completamente esposto a un ricercatore, che può sapere tutto ciò che il malware conosce. Non può contenere un codice segreto che un ricercatore non può anche imparare. Qualsiasi ricercatore può spoofare qualsiasi cosa il malware voglia inviare al server C & C.

Le eccezioni sono obiettivi specifici, come il malware Gauss utilizzato.

    
risposta data 23.04.2016 - 23:38
fonte
-1

Forse gli autori di malware sono pigri, o l'utilizzo di crittografia avanzata richiederebbe troppo spazio. Quando si crea una dimensione "stub" del bot è importante. Al fine di rimanere meno malware sospetto è il più piccolo possibile, quindi può essere "vincolato" con altri software. Una connessione client-server occupa già molto spazio del malware, l'aggiunta di una crittografia strong renderebbe il file molto più grande.

    
risposta data 23.04.2016 - 20:49
fonte

Leggi altre domande sui tag