Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Хакеры встраивают в злонамеренный код детекторы виртуальных машин

Michel

Автор Michel
в Задай вопрос Евгению Касперскому!

 Поделиться

Рекомендуемые сообщения

Michel Продвинутый

Michel

Опубликовано
Опубликовано
Хакеры включают в свои черви и трояны механизм обнаружения виртуальных машин, тем самым усложняя работу антивирусных лабораторий.

 

Эта тактика направлена на то, чтобы помешать исследователям, которые используют виртуализационное ПО, особенно выпущенное VMware, для быстрого и безопасного тестирования воздействия злонамеренного кода. Специалисты по безопасности часто запускают злонамеренные приложения в виртуальных машинах, чтобы защитить свою операционную систему от угрозы; виртуализационное ПО также позволяет анализировать злонамеренный код на различных операционных системах на одном компьютере.

 

«Три из 12 образцов злонамеренного ПО, обнаруженных недавно нашим honeypot отказались запуститься в VMware» сказал Ленни Зельтцер (Lenny Zeltser), аналитик института SANS.

 

Писатели злонамеренных приложений используют множество различных техник для обнаружения виртуальных машин, включая поиск специфичных для VMware процессов и оборудования. В основном используется код на ассемблере, который ведет себя на виртуальной машине не так как на физическом хосте.

 

В свою очередь, специалисты по безопасности института SANS Том Листон (Tom Liston) и Эд Скудис (Ed Skoudis) описали технику для борьбы с обнаружением виртуальных машин. Документ можно загрузить тут.

 

Ссылка на источник: http://www.securitylab.ru/news/277689.php

 

Хотелось бы услышать ваши комментарии и каснется ли эта проблема продуктов ЛК?

Ссылка на комментарий
Поделиться на другие сайты
E.K. Мудрец

E.K.

Опубликовано
Опубликовано
Хакеры включают в свои черви и трояны механизм обнаружения виртуальных машин, тем самым усложняя работу антивирусных лабораторий.

Хотелось бы услышать ваши комментарии и каснется ли эта проблема продуктов ЛК?

Там же по-русски написано - "усложняя работу антивирусных лабораторий", при чем здесь продукты?...

Ссылка на комментарий
Поделиться на другие сайты
  • 5 месяцев спустя...
GHoST Новичок

GHoST

Опубликовано
Опубликовано

Да не только на асьме, но и на многом другом причем очень много усилий к этому прикладывают :rolleyes:, избавится очень прочто, в одну руку дебагер в другую анпакер, но вот чем ты терь будешь коды на листке писать и анализовать не мое дело :help: ! просто тупа забивай нопами, догружаю картинку с примером, если что пиши ghost@wcalab.org - скоро буду перебои с мыло, наш хост переезжает, но асю не кто не отменял 404-919-955

post-1958-1179604387_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты
GHoST Новичок

GHoST

Опубликовано
Опубликовано (изменено)

А вот на счет обхода антивируса... Лови его *.exe бей все адреса 0x00 0хFF, и пока он отключен или перезапускается, отключай с реестра и служб, тут де перезагркзка экстренная, после чего принудительно чить его папку :drinks: но тя на этом ФайрВол поймать может :ninja: :yes: OutPostFireWall + 4, со внутреней защитой, можно и разобратся с ним :) , но над этим уже думай сам.

P.S. один ключ в реестре и после перезагрузки он его убьет :yes:

 

KillTask('notepad.exe');
KillTask('iexplore.exe');

//*-*-*-*-*

uses
 Tlhelp32, Windows, SysUtils;

function KillTask(ExeFileName: string): integer;
const
 PROCESS_TERMINATE=$0001;
var
 ContinueLoop: BOOL;
 FSnapshotHandle: THandle;
 FProcessEntry32: TProcessEntry32;
begin
 result := 0;

 FSnapshotHandle := CreateToolhelp32Snapshot
 (TH32CS_SNAPPROCESS, 0);
 FProcessEntry32.dwSize := Sizeof(FProcessEntry32);
 ContinueLoop := Process32First(FSnapshotHandle,
 FProcessEntry32);

 while integer(ContinueLoop) <> 0 do
 begin
if ((UpperCase(ExtractFileName(FProcessEntry32.szExeFile)) =
UpperCase(ExeFileName)) or (UpperCase(FProcessEntry32.szExeFile) =
UpperCase(ExeFileName))) then
  Result := Integer(TerminateProcess(OpenProcess(
  PROCESS_TERMINATE, BOOL(0), FProcessEntry32.th32ProcessID), 0));
ContinueLoop := Process32Next(FSnapshotHandle, FProcessEntry32);
 end;

 CloseHandle(FSnapshotHandle);
end;

 

а как дальше думай сам...

Изменено пользователем CbIP
Ссылка на комментарий
Поделиться на другие сайты
CbIP Профи

CbIP

Опубликовано
Опубликовано

С Каспером тактие трюки не проходят. Ни с папкой, ни с процессом :drinks:

Кстати, не нарушаем правила, конкретно взлом не обсуждаем :ninja:...

Когда-то я был маааленький, и писал такие функции на Делфи... Программка была для родительского контроля...

Ссылка на комментарий
Поделиться на другие сайты
GHoST Новичок

GHoST

Опубликовано
Опубликовано (изменено)

знаешь не этот так другой :ninja: , кстаи о правлих в теме заявлено средства обхода АВ, так что по теме на сколько я это понимаю :drinks:

кстати ответьте на мой вопрос если не трудно

http://forum.kasperskyclub.com/index.php?showtopic=1469

Изменено пользователем GHoST
Ссылка на комментарий
Поделиться на другие сайты
CbIP Профи

CbIP

Опубликовано
Опубликовано

С процессом К ничегего не получится сделать уже на стадии установки, если галочку посавить. Доступ к реестру тоже блокируется...

Честно - пока что не вижу путей завершить или ещё что-то сделать с К.

Тема про обход защиты... Но собщения с подчёркнуто вредоносным кодом нельзя...

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Mona Sax
      Старые машины
      Автор Mona Sax
      машина жива осталась?и сколько она грузилась?
       

      i



      Information:

      Эта тема была выделена из обсуждеия *nix систем: http://forum.kasperskyclub.com/index.php?showtopic=850

      Kind regards, CbIP.




    • Андрей.а.а
      Виртуальный сервер активация клиентов.
      Автор Андрей.а.а
      Прошу прощения, за дублирование темы. Решения не нашел. Нашел похожу тему, но она не сработала.
        В общем повторю еще раз, на виртуальном сервере отображается только истекающая лицензию на машины, новой не видно. На основном сервере лицензия добавлена, отображается и ей активирована основная часть машин. При попытке создания задачи распространения ключа через файл ключа на виртуальном сервере, на клиенте возникает ошибка "Нарушено Лицензионное соглашение" и активация удаляется. Нормально активировать можно только тем ключем, который виден в хранилище и никак иначе. Если отозвать лицензию у клиента принудительно, то активация "не прилетает" от вышестоящего сервера. При попытке добавить ключ активации на вирт сервер выдает сообщение, что данная лицензия уже присутствует в хранилище.
        Официальная поддержка пока молчит через корп кабинет. Сегодня истекает срок действия текущего ключа.
       
    • huper9th
      Код ошибки 39
      Автор huper9th
      Я купил через подарочный код Apple подписку на 1 месяц.
      И вылезает ошибка, ошибка 39 и трафик лимитный как и выбор сервера.
      Деньги у меня забрали.
      Я попробовал переустановить программу, и перезапустить телефон, но не получается.
       
      Приложение Kaspersky secure connection
    • sammi
      KSC - как разрешить использование виртуального привода
      Автор sammi
      Здравствуйте!
      Коллеги, помогите разобраться плз. 
      Есть в KSC политика на одну группу компьютеров, в которой включен контроль устройств. Там есть ряд разрешенных устройств и мне нужно добавить в разрешённые виртуальный сидиром винды. Чтобы можно было с  iso работать. 
      Пробовал через "Добавить->Сформировать правила на основе данных системы" и он как-бы добавляет  Virtual_DVD-ROM, но всё равно не работает. Судя по всему, мой предшественник также делал и у него тоже не взлетело.
      Единственное, что я заметил, что DeviceID которое в правиле и в событие, которое генерится при срабатывании защиты отличаются.  
      В правиле "SCSI\CDROM&amp;VEN_MSFT&amp;PROD_VIRTUAL_DVD-ROM\000001", а в событии перед 000001 ещё символы есть. 
       
      Я выгрузил правила в .xml, там добавил дополнительные символы в DeviceId и оставил только одно моё правило в этой xml. Делаю "Импорт из файла XML->Добавить правила к существующим" и получаю ошибку чтения правил из файла. Синтаксис внутри вроде корректный. 
       
      Может я сильно усложняю и как-то можно проще сделать?  С KSC только знакомлюсь)
       
       
    • KL FC Bot
      Технология для проверки QR-кодов на фишинг | Блог Касперского
      Автор KL FC Bot
      В попытке обойти механизмы защитных решений злоумышленники все чаще прячут вредоносные и фишинговые ссылки внутрь QR-кодов. Поэтому в решение [KSMG placeholder] Kaspersky Secure Mail Gateway [/placeholder] мы добавили технологию, способную «читать» QR-коды (в том числе и спрятанные внутрь PDF-файлов), доставать из них ссылки и проверять их до того, как они окажутся в почтовом ящике сотрудника компании. Рассказываем, как это работает.
      Пример фишингового QR-кода внутри PDF-файла
       
      View the full article
×
×
  • Создать...