Question:
Quelle est la fréquence des emballeurs virtualisés dans la nature?
Andrew
2013-04-02 17:14:24 UTC
view on stackexchange narkive permalink

Je viens juste d'entrer dans le domaine de la RE, et j'ai découvert les packers virtualisés (comme VMProtect ou Themida) dans une classe il y a environ un an. À quelle fréquence les malwares à l'état sauvage sont-ils vraiment remplis de packers virtualisés, et quel est l'état de l'art pour les décompresser pour une analyse statique?

Quatre réponses:
#1
+16
Ange
2013-04-02 17:21:49 UTC
view on stackexchange narkive permalink

utilisation des virtualiseurs dans la nature

Ils sont rarement utilisés, et pire encore (ou mieux), rarement utilisés de manière utile.

comment ils sont utilisés

Typiquement, c'était l'utilisation d'un virtualiseur de plus que la fonction principale, ou d'un autre packer binaire, et les deux cas n'empêchent pas l'analyse: si vous contournez le code packer virtualisé, alors vous obtenez quand même le code original décompressé .

pourquoi ils ne sont pas utilisés plus souvent

  • Cela rend la cible gonflée et plus lente
  • ils ne sont pas triviaux à utiliser correctement
  • il est assez courant de les détecter en fonction du filigrane de leur licence (généralement piratée), donc peu importe ce que vous virtualisez, il serait détecté par une empreinte digitale spécifique.

un exemple significatif

AFAIK la seule utilisation intelligente connue d'un virtualiseur (VMProtect ici) dans un malware est Trojan.Clampi, pour lequel Nicolas Fallière a écrit un livre blanc, mais ce n'est pas si détaillé. Pour celui-ci, tout le corps viral a été virtualisé.

articles sur la dé-virtualisation

Je n'ai pas trouvé de lien de téléchargement public pour ceux-ci (sinon bon ) papiers:

Un autre du côté académique: [Automatic Reverse Engineering of Malware Emulators] (http://iseclab.org/people/andrew/download/oakland09.pdf)
Approche dynamique de pointe: http://www.cs.arizona.edu/~debray/Publications/ccs-unvirtualize.pdf
#2
+6
pnX
2013-04-03 14:49:02 UTC
view on stackexchange narkive permalink

Je peux soutenir le point de vue présenté par les autres intervenants. Vous rencontrerez rarement la virtualisation de code en regardant dans les exemples sauvages.

Juste pour ajouter, voici une étude de cas récente de Tora sur la virtualisation personnalisée utilisée dans FinFisher ( désolé, lien direct vers PDF, n'ont pas d'autre source).

La VM utilisée ici n'a que 11 opcodes, donc cet exemple peut être facilement compris et utilisé pour avoir une idée de certains principes de conception communs derrière les VM personnalisées .

#3
+3
thisismalicious
2013-04-02 21:28:33 UTC
view on stackexchange narkive permalink

Au cours de la dernière année, je pense que je n'ai rencontré qu'un seul échantillon de malware qui utilisait un packer virtualisé (VMProtect dans ce cas). La plupart des échantillons que je regarde utilisent des packers stupides qui permettent de vider facilement le PE d'origine de la mémoire. Je ne passe pas tout mon temps à examiner les logiciels malveillants, mais je regarde généralement quelques échantillons potentiellement malveillants par semaine, juste pour donner un aperçu du volume dont je parle. De plus, il me semble me souvenir que l'auteur de SpyEye a utilisé VMProtect pour protéger le constructeur de logiciels malveillants, je ne suis pas sûr que d'autres qui vendent ce type de kits l'aient également utilisé. J'ai entendu dire que le constructeur Citadel avait une protection assez épouvantable, mais je ne suis pas sûr de ce que c'est.

Concernant la deuxième partie de votre question, je ne suis pas un expert, mais quelques sites à l'esprit de vérifier si vous êtes intéressé à essayer d'apprendre à décompresser ces choses. Ce site contient des articles sur le déballage de diverses choses, notamment VMProtect et Themida. Je n'ai pas parcouru ces messages en particulier, j'ai juste remarqué qu'ils sont là-bas. Je pense qu'il existe également des tutoriels traitant de certaines versions de ces packers spécifiques sur tuts4you.com si vous souhaitez en découvrir quelques-uns.

#4
+3
til
2013-04-02 21:47:04 UTC
view on stackexchange narkive permalink

À la première partie de votre question: cela dépend vraiment du domaine. Les échantillons de malwares qui exploitent les packers basés sur la virtualisation sont généralement faciles à détecter, ce qui est un inconvénient du point de vue de l'auteur du malware. Si éviter la détection est crucial, ce qui est particulièrement le cas dans les attaques ciblées où votre échantillon est probablement personnalisé de toute façon, les packers virtualisés ne sont pas une bonne idée. Je suppose que c'est pourquoi seuls très peu d'échantillons les utilisent. Je n’en ai vu qu’un seul (themida protégé) au cours de la dernière année.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...