Frage:
Wie häufig sind virtualisierte Packer in freier Wildbahn?
Andrew
2013-04-02 17:14:24 UTC
view on stackexchange narkive permalink

Ich steige gerade in das RE-Feld ein und habe vor ungefähr einem Jahr in einer Klasse etwas über virtualisierte Packer (wie VMProtect oder Themida) gelernt. Wie oft ist Malware in freier Wildbahn wirklich mit virtualisierten Packern gefüllt, und wie ist der Stand der Technik beim Entpacken für statische Analysen?

Vier antworten:
#1
+16
Ange
2013-04-02 17:21:49 UTC
view on stackexchange narkive permalink

Verwendung von Virtualisierern in freier Wildbahn

Sie werden selten und noch schlimmer (oder besser) selten auf nützliche Weise verwendet.

wie sie verwendet werden

In der Regel wurde nur ein Virtualisierer mit mehr als der Hauptfunktion oder ein anderer Binärpacker verwendet, und beide Fälle verhindern keine Analyse: Wenn Sie den virtualisierten Packercode umgehen, erhalten Sie trotzdem den ursprünglichen entpackten Code .

warum sie nicht häufiger verwendet werden

  • Dadurch wird das Ziel aufgebläht und langsamer
  • Sie sind nicht trivial, wenn sie richtig verwendet werden
  • Es ist ziemlich üblich, sie anhand des Wasserzeichens ihrer (normalerweise raubkopierten) Lizenz zu erkennen. Unabhängig davon, was Sie virtualisieren möchten, wird es von einem bestimmten Fingerabdruck erkannt.

Ein aussagekräftiges Beispiel

AFAIK Die einzige bekannte intelligente Verwendung eines Virtualisierers (hier VMProtect) in einer Malware ist Trojan.Clampi, für das Nicolas Fallière ein Whitepaper geschrieben hat, dies jedoch nicht so detailliert. In diesem Fall wurde der gesamte Viruskörper virtualisiert.

Artikel zur Devirtualisierung

Ich konnte keinen öffentlichen Download-Link für diese finden (ansonsten gut ) Papiere:

Ein weiterer auf der akademischen Seite: [Automatisches Reverse Engineering von Malware-Emulatoren] (http://iseclab.org/people/andrew/download/oakland09.pdf)
Dynamischer Ansatz auf dem neuesten Stand der Technik: http://www.cs.arizona.edu/~debray/Publications/ccs-unvirtualize.pdf
#2
+6
pnX
2013-04-03 14:49:02 UTC
view on stackexchange narkive permalink

Ich kann die präsentierte Ansicht der anderen Antwortenden unterstützen. Sie werden selten auf Codevirtualisierung stoßen, wenn Sie sich die wilden Beispiele ansehen.

Um nur hinzuzufügen, hier ist eine aktuelle Fallstudie von Tora, die sich mit der in FinFisher verwendeten benutzerdefinierten Virtualisierung befasst ( Entschuldigung, direkter Link zu PDF, keine andere Quelle).

Die hier verwendete VM verfügt nur über 11 Opcodes. Daher kann dieses Beispiel leicht verstanden und verwendet werden, um einen Eindruck von einigen gängigen Entwurfsprinzipien hinter benutzerdefinierten VMs zu erhalten .

#3
+3
thisismalicious
2013-04-02 21:28:33 UTC
view on stackexchange narkive permalink

Ich glaube, ich habe im letzten Jahr nur ein einziges Malware-Beispiel gefunden, das einen virtualisierten Packer verwendet hat (in diesem Fall VMProtect). Die meisten Beispiele, die ich mir anschaue, verwenden dumme Packer, die ein einfaches Ablegen des ursprünglichen PE aus dem Speicher ermöglichen. Ich verbringe nicht meine ganze Zeit damit, mich mit Malware zu beschäftigen, aber ich schaue mir normalerweise ein paar potenziell bösartige Beispiele pro Woche an, um einen Überblick über das Volumen zu geben, über das ich spreche. Ich scheine mich auch daran zu erinnern, dass der SpyEye-Autor VMProtect zum Schutz des Malware-Erstellers verwendet hat. Ich bin mir nicht sicher, ob andere, die solche Kits verkaufen, es ebenfalls verwendet haben. Ich habe gehört, dass der Citadel Builder einen ziemlich knorrigen Schutz hat, bin mir aber nicht sicher, was es ist.

In Bezug auf den zweiten Teil Ihrer Frage bin ich kein Experte, aber es sind einige Websites hinzugekommen Denken Sie daran, möglicherweise herauszufinden, ob Sie versuchen möchten, das Auspacken dieses Materials zu lernen. Diese Seite enthält einige Beiträge zum Auspacken verschiedener Dinge, einschließlich VMProtect und Themida. Ich habe diese Posts nicht besonders durchgesehen, habe nur bemerkt, dass sie dort sind. Ich denke, es gibt einige Tutorials, die sich mit einigen Versionen dieser speziellen Packer auf tuts4you.com befassen, wenn Sie daran interessiert sind, einige davon auszuprobieren.

#4
+3
til
2013-04-02 21:47:04 UTC
view on stackexchange narkive permalink

Zum ersten Teil Ihrer Frage: Es hängt wirklich von der Domain ab. Malware-Beispiele, die virtualisierungsbasierte Packer nutzen, sind im Allgemeinen leicht zu erkennen, was aus Sicht des Malware-Autors ein Nachteil ist. Wenn das Vermeiden der Erkennung von entscheidender Bedeutung ist, was insbesondere bei gezielten Angriffen der Fall ist, bei denen Ihre Stichprobe wahrscheinlich ohnehin benutzerdefiniert ist, sind virtualisierte Packer keine gute Idee. Ich gehe davon aus, dass nur sehr wenige Proben davon Gebrauch machen. Ich habe im letzten Jahr oder so nur einen (themida-geschützt) gesehen.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...