Supponiamo di aver creato un'applicazione che effettui connessioni remote e funzioni, in che modo un programma antivirus / antimalware decide se la mia app è dannosa?
So che c'è una firma che controllano per identificare un programma come buono o cattivo, ma mi sembra che si tradurrebbe in molti falsi positivi perché un sacco di codice sarà una pratica comune.
Voglio dire, in che modo Team Viewer è diverso dalla mia ipotetica applicazione backdoor?
Non lo sa, si basa su un insieme di regole.
Alcune regole, basate sulla somiglianza con malware conosciuti, danno vantaggi ragionevolmente affidabili. Il malware si muta e si nasconde, quindi i negativi sono meno affidabili.
Alcune regole sono basate sul comportamento, come l'apertura della connessione su determinate porte.
Alcune regole sono basate su firme crittografiche; i programmi firmati da bravi ragazzi non possono essere cattivi, e viceversa.
Esistono molti altri tipi di regole, ma nessuna è infallibile o estremamente efficace contro minacce precedentemente sconosciute.
Per lo più, sa che Team Viewer e programmi noti simili non sono malware perché i venditori hanno un database di hash crittografici di programmi che sono stati controllati manualmente e Team Viewer si troverà su quel database.
Il fatto che l'euristica usata da questo tipo di software abbia spesso falsi positivi è nascosta alla vista dall'uso di tali whitelist, ma può essere un problema serio per le persone che usano sistemi meno conosciuti.
Come hai giustamente intuito, sì lo strumento di amministrazione remota (RAT) legittimo come TeamViewer o sshd è tecnicamente indistinguibile dal malware. Infatti, il malware spesso spedisce e configura un RAT regolare e non modificato, firmato dall'autore originale del RAT, anziché dal RAT personalizzato, per rendere difficile agli anti malware distinguerlo dall'uso legittimo del RAT.
Come normalmente gli antimalware rilevano questo caso è quello di rilevare la configurazione piuttosto che il programma. Ad esempio, se un RAT legittimo è stato configurato per accettare la chiave pubblica di un utente malintenzionato o connettersi a una botnet conosciuta, allora possiamo essere certi che questo RAT non sia configurato dall'utente legittimo.
Dipende, il codice personalizzato probabilmente non verrà taggato a meno che non acceda alle risorse che richiedono i privilegi di amministratore. Il codice personalizzato è la ragione per cui le minacce persisitenti avanzate sono così difficili da rilevare. L'utilizzo del rilevamento basato sull'anomalia può portare a falsi positivi come quello che hai menzionato. È più probabile che tu riceva un messaggio di avviso.
Leggi altre domande sui tag security