Существует известная функция, с помощью которой антивирус или EDR может перехватывать неоднозначные или подозрительные программные файлы и отправлять их обратно в центр реагирования безопасности для анализа исследователями.
Для разработчиков вредоносных программ игра в кошки-мышки с решениями безопасности на этапе пост-эксплуатации, скрывая свои бэкдоры от обнаружения и экспертизы вредоносного ПО, является важной задачей.
Многие методы, используемые хакерами против исследователей, уже обсуждались, например, использование COM hijack для скрытия вредоносного ПО, развертывание руткита на основе крючка ядра, обход сканирования на основе сигнатур и другие.
До сих пор не существует метода, достаточно надежного, чтобы противостоять этим техникам, поскольку исследователи часто не могут полностью понять, как работает вредоносная программа внутри, даже если она поймана и проанализирована.
Представьте себе ситуацию: вредоносное ПО приобретает DRM-защиту и тем самым естественным образом повреждает себя при копировании с зараженной машины.
Возможно ли это?
Как это может произойти?
Короче говоря, поставщики систем безопасности должны быть готовы к тому, чтобы справиться с этой ситуацией в рамках линии своей собственной обороны.
Skrull – это DRM для вредоносных программ, который предотвращает автоматическое предоставление образцов AV/EDR и сканирование сигнатур из ядра.
Он генерирует программы запуска, которые могут запускать вредоносное ПО у жертвы, используя технику Process Ghosting.
Кроме того, программы запуска полностью антикопируемы и естественно ломаются при передаче.
Дэмо
Скачать
¯\_(ツ)_/¯ Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.