Domanda:
Quanto sono comuni i packer virtualizzati in natura?
Andrew
2013-04-02 17:14:24 UTC
view on stackexchange narkive permalink

Sono appena entrato nel campo RE e ho imparato a conoscere i packer virtualizzati (come VMProtect o Themida) in un corso circa un anno fa. Quante volte il malware in circolazione è davvero pieno di packer virtualizzati e qual è lo stato dell'arte nel decomprimerli per l'analisi statica?

Quattro risposte:
#1
+16
Ange
2013-04-02 17:21:49 UTC
view on stackexchange narkive permalink

Utilizzo dei virtualizzatori in natura

Sono usati raramente e, anche peggio (o meglio), usati raramente in modo utile.

come vengono usati

In genere, si utilizzava un virtualizzatore solo sulla funzione principale, o un altro packer binario, ed entrambi i casi non impediscono l'analisi: se si ignora il codice del packer virtualizzato, si ottiene comunque il codice originale decompresso .

perché non vengono usati più spesso

  • Rende il bersaglio gonfio e più lento
  • non sono banali da usare correttamente
  • è abbastanza comune rilevarli in base alla loro filigrana di licenza (solitamente piratata), quindi qualunque cosa si virtualizzi, verrà rilevata da un'impronta digitale specifica.

un esempio significativo

Per quanto ne so, l'unico uso intelligente noto di un virtualizzatore (VMProtect qui) in un malware è Trojan.Clampi, per il quale Nicolas Fallière ha scritto un white paper, ma non lo è così dettagliato. Per questo, l'intero corpo virale è stato virtualizzato.

articoli sulla de-virtualizzazione

Non sono riuscito a trovare un link di download pubblico per questi (altrimenti buono ) documenti:

Un altro sul lato accademico: [Reverse Engineering automatico degli emulatori di malware] (http://iseclab.org/people/andrew/download/oakland09.pdf)
Approccio dinamico allo stato dell'arte: http://www.cs.arizona.edu/~debray/Publications/ccs-unvirtualize.pdf
#2
+6
pnX
2013-04-03 14:49:02 UTC
view on stackexchange narkive permalink

Posso supportare il punto di vista presentato dagli altri soccorritori. Raramente incontrerai la virtualizzazione del codice quando guardi esempi selvaggi.

Giusto per aggiungere, ecco un recente case study di Tora che esamina la virtualizzazione personalizzata utilizzata in FinFisher ( scusa, collegamento diretto al PDF, non ho altra fonte).

La VM utilizzata qui ha solo 11 codici operativi, quindi questo esempio può essere facilmente compreso e utilizzato per avere un'idea di alcuni principi di progettazione comuni alla base delle VM personalizzate .

#3
+3
thisismalicious
2013-04-02 21:28:33 UTC
view on stackexchange narkive permalink

Nell'ultimo anno o giù di lì, penso di aver incontrato solo un singolo campione di malware che utilizzava un packer virtualizzato (VMProtect in quel caso). La maggior parte dei campioni che guardo utilizzano stupidi packer che consentono un facile scarico del PE originale dalla memoria. Non passo tutto il mio tempo a guardare malware, ma in genere guardo un paio di campioni potenzialmente dannosi a settimana, solo per dare una prospettiva sul volume di cui sto parlando. Inoltre, mi sembra di ricordare che l'autore di SpyEye abbia utilizzato VMProtect per proteggere il generatore di malware, non sono sicuro che anche altri che vendono quel tipo di kit lo abbiano usato. Ho sentito che il costruttore di Citadel ha una protezione piuttosto nodosa, ma non sono sicuro di cosa sia.

Per quanto riguarda la seconda parte della tua domanda, non sono un esperto, ma sono arrivati ​​un paio di siti a mente di controllare potenzialmente se sei interessato a provare a imparare a decomprimere questa roba. Questo sito ha alcuni post sulla decompressione di varie cose, tra cui VMProtect e Themida. Non ho esaminato quei post in particolare, ho solo notato che sono lì. Penso che ci siano alcuni tutorial che trattano alcune versioni di questi pacchetti specifici su tuts4you.com anche se sei interessato a verificarne alcuni.

#4
+3
til
2013-04-02 21:47:04 UTC
view on stackexchange narkive permalink

Alla prima parte della tua domanda: dipende davvero dal dominio. I campioni di malware che sfruttano i packer basati sulla virtualizzazione sono generalmente facili da rilevare, il che è uno svantaggio dal punto di vista dell'autore del malware. Se evitare il rilevamento è fondamentale, come è particolarmente vero negli attacchi mirati in cui il tuo campione è comunque probabilmente personalizzato, i compressori virtualizzati non sono una buona idea. Presumo sia per questo che solo pochissimi campioni ne fanno uso. Ne ho visto solo uno (protetto themida) nell'ultimo anno circa.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...