Muterende software kan virusaanvallen voorspellen
Nieuwe virussen en wormen laten vaak een spoor van vernietiging achter, aangezien firewalls en anti-virus software alleen maar bekende dreigingen kunnen tegenhouden. Software ontwikkelaars van Icosystem hebben nu een programma ontwikkeld dat nieuwe virus- en hackaanvallen, door de informatie van bekende virussen en hacks te laten evolueren, kan voorspellen. Door het genereren van allerlei mogelijke varianten kan men wereldwijd intrusion detection systemen van updates voorzien, nog voordat de hack of virusaanval heeft plaatsgevonden. Het systeem zal in eerste instantie voor het voorkomen van hackaanvallen gebruikt worden, maar kan ook voor het voorspellen van virussen ingezet worden. De techniek wordt inmiddels samen met het Amerikaanse leger getest. Meer informatie over de werking van deze muterende software aanpak staat in dit artikel vermeld.
jaren te analyseren.
"Muterende Software" zou ik het niet noemen, meer prognose software.
dus kan men ze niet "heuristicaly" detecteren
meeste virusses zijn encrypted
dus kan men ze niet "heuristicaly" detecteren
De meeste virussen in het wild zijn niet encrypted, ze zijn hooguit encoded
d.m.v. packers. En ook al zijn ze encrypted, dan hoeft dat nog geen
belemmering te vormen voor simulators, en zelfs zonder die mogelijk
kunnen ze vaak nog heuristisch worden gedetecteerd.
Het artikel doet vermoeden dat men nog steeds bezig is op signature
niveau, dat gerenomeerde anti-virus bedrijven al zo'n jaar of tien geleden
zijn gepasseerd. Een brute force aanpak met gegenereerde varianten is
niet bepaald een slim.
meeste virusses zijn encrypted
dus kan men ze niet "heuristicaly" detecteren
dus wel, de encryptie moet onexecution gedecrypt worden aan de hand
daarvan kan 'n scanner de encryptie methode herkennen (de gebruikte
vorm van versleutelen moet bekent zijn bij de anti-virus ontwikkelaars).
TBAV(Thunderbyte) was ooit een van de meest vooruitstrevende heuristic
scanners.
Deze zogenaamde heuristic methode kijkt naar welke procedures een
programma heeft en labelt elke "threat" met een flag,
een teveel flags binnen een te kort moment is [VIRAL ALERT].
er wordt onderandere gekeken naar destructieve code, TSR, write access
e.d.
Nu komt het leuke, op het moment dat je teveel nutteloze code gebruikt
dus niet een dosis aan NOP's maar gewoon veel waarden veranderen in
de registers bv:"add ax,FF | sub cx, AA | sub ax,FF | add cx,AA" de uitkomst
moet 0 zijn, en je doet dat tussen je echte viralcode in dan geeft de
heuristic methode dus geen krimp, alles OK
Om deze flaw uit te buiten heb ik ooit Code_Red.7428 gemaakt (in 1997
om precies te zijn) die dat mooi demonstreerde.
De basis source van Code_Red.7428 was 'n VCL (Virus Creating Lab van
NowhereMan) virus + de kleine 7000b's nutteloze instructies die m'n virus
onzichtbaar maakte zonder encryptie. (minder dan 7k was jengelen)
Waarom? het zijn instructies die het programma uitvoert geen NOP's nee
instructies en omdat je viruscode veel rekenwerk uitvoert tussen de
infectie door is het voor de scanner OK.
Na het uploaden van m'n source naar TBAV, F-PROT, MCAFEE e.d.
werd Code_Red.7428 in de signature database ondergebracht, maar
heuristic gezien werd er niks geweizigd.
De conclusie die je kunt trekken is dat het voor heuristic methodes heel
moeilijk is een "normaal" programma van een Virus te onderscheiden.
Wat zijn de eisen die je stelt b.v. destuctieve code, [ALARM]? tuurlijk niet
denk aan fdisk, format enz
wat als je net windows hebt geinstalleerd en je zet er een virusscanner op
die meteen begint te joellen... de leek durft z'n systeem niet meer aan te
raken, en dat is zo'n beetje (simpel gezegt) de bottle-neck.
MvG,
The Warlock.
http://go.to/BioHazardHQ
biohazardhq [at] yahoo [dot] com
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (Operationele Techniek)
bij HHNK
Heb jij een passie voor informatiebeveiliging en wil je jouw expertise inzetten in een organisatie met impact? Solliciteer nu! Bij HHNK hechten we veel waarde aan de veiligheid van onze informatie en systemen. Met een breed scala aan operationele techniek (OT) voor onze taken, is het essentieel om deze veilig te houden.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.