На днях у себя в блоге MS опубликовала заметку о китайском троянце, который использует техники противодействия облачным антивирусным технологиям. С точки зрения приманки для журналистов все сработало, ибо заявление достаточно интересное, но на самом деле сей троянец достаточно прост и никаких инноваций в себе не несет.
Итак, способы противодействия облакам:
- при установке в файлы добавляются блоки случайного разного размера содержащие случайные данные, видимо для того, чтобы хешики сбивать.
- второй способ, это установка Windows Sockets service provider interface (SPI) filter для фильтрации пакетов на уровне сокетов.
- третий способ, похож на второй, но видимо для верности китайцы решили фильтровать все GET/POST запросы на уровне NDIS на содержание в них следующего списочка URL (на уровне сокетов отфильтровывается тот же список):
rsup10.rising.com.cn
rsdownauto.rising.com.cn
cloudinfo.rising.com.cn
cu005.www.duba.net
cu010.www.duba.net
cu.www.duba.net
f-sq.ijinshan.com
geo.kaspersky.com
stat.ijinshan.com
qup.f.360.cn/file_health_info.php
h.qup.f.360.cn/file_health_info.php
up.f.360.cn/upload_token.php
up.f.360.cn/upload.php
down.360safe.com/SuperKiller.exe
dl.360safe.com/SuperKiller
sdup.360.cn
l.360safe.com
sdupm.360.cn
qsys.f.360.cn
Так как фантазии у китайцев явно не хватка, драйвер построен полностью на базе примера passthru из DDK :)
Вот такие "шокирующие" данные показали товарищи из трендов:
То есть получается все достаточно примитивно, просто сбивается хеш для файла и блокируется отсылка данных в облака для распространенных в Китае антивирусов. Но кажется мне, что техники для борьбы с облаками в будущем будут совершенствоваться, ибо только аутсайдеры сейчас не имеют в своем арсенале подобных технологий. В дальнейшем я думаю мы увидим много интересного, в том числе и попытки накачки облаков фальшивыми данными.
Итак, способы противодействия облакам:
- при установке в файлы добавляются блоки случайного разного размера содержащие случайные данные, видимо для того, чтобы хешики сбивать.
- второй способ, это установка Windows Sockets service provider interface (SPI) filter для фильтрации пакетов на уровне сокетов.
- третий способ, похож на второй, но видимо для верности китайцы решили фильтровать все GET/POST запросы на уровне NDIS на содержание в них следующего списочка URL (на уровне сокетов отфильтровывается тот же список):
rsup10.rising.com.cn
rsdownauto.rising.com.cn
cloudinfo.rising.com.cn
cu005.www.duba.net
cu010.www.duba.net
cu.www.duba.net
f-sq.ijinshan.com
geo.kaspersky.com
stat.ijinshan.com
qup.f.360.cn/file_health_info.php
h.qup.f.360.cn/file_health_info.php
up.f.360.cn/upload_token.php
up.f.360.cn/upload.php
down.360safe.com/SuperKiller.exe
dl.360safe.com/SuperKiller
sdup.360.cn
l.360safe.com
sdupm.360.cn
qsys.f.360.cn
Так как фантазии у китайцев явно не хватка, драйвер построен полностью на базе примера passthru из DDK :)
Вот такие "шокирующие" данные показали товарищи из трендов:
То есть получается все достаточно примитивно, просто сбивается хеш для файла и блокируется отсылка данных в облака для распространенных в Китае антивирусов. Но кажется мне, что техники для борьбы с облаками в будущем будут совершенствоваться, ибо только аутсайдеры сейчас не имеют в своем арсенале подобных технологий. В дальнейшем я думаю мы увидим много интересного, в том числе и попытки накачки облаков фальшивыми данными.
Так вроде бы давно есть некоторое кол-во малвар, которые детектируют факт запуска себя в песочнице по нестандартному окружению (разрешение экрана, история браузера, кол-во установленного софта, итд.) - мне кажется, это было бы более рилейтед к теме противодействий облакам чем эта "сенсация" c сомнительной эффективностью.
ОтветитьУдалитьСобственно о том и речь, что пример достаточно комичный и в принципе никакого реального противодействия, кроме блокирования доступа к определенным ресурсам не демонстрирует.
ОтветитьУдалитьмне тут песьмо вчера из SourceForge пришло - написано "The Big Shift to Cloud-based Security". На автомате читаю "big shit of cloud-based security", бгг
ОтветитьУдалить