Комментарии 7
As a bonus improvement to our dropper, we will use information present in the target environment as the key to decrypt the shellcode. In a more advanced scenario, this can be used by threat actors to ensure that the malware will only run when it reaches its objective (https://attack.mitre.org/techniques/T1480/001/), protecting their code from malware analysts and sandboxes. For our example, we will just use the username running the binary as the key to decrypt the payload, as this is simple enough to implement and test.
https://secarma.com/bypassing-windows-defender-with-environmental-decryption-keys/
повторение данных действий приводит к нарушению законодательства.
объявят иноагентом, фейкометом или дискредитатором ?
Никогда такого не было и вот опять обход сигнатурного анализа!
Статья хорошая сама по себе, но всем давно вроде известно, что шифрование делает вирусы обезличиными антивишникам, странно, что это вызывает удивление
Помню во времена office95 исследовал вирусы, которые распространялись в word файлах в виде макросов. В те времена по умолчанию макросы не были отключены. Исследовав такой файл я сделал макрос, который шифровал функцию заражения, а расшифровывал при открытии файла и передавал ей управление. Антивирус проверял файл перед открытием и не видел ничего опасного. Когда макрос расшифровывал полезную нагрузку, антивирус сообщал, но было уже поздно, полезная нагрузка распространяла зашифрованный кусок макроса в другие файлы и антивирус в этом не видел ничего опасного.
Сейчас антивирусы чувствительны к операции xor. Попробуйте исследовать альтернативу этой операции из логических операций or/and/not или другой вид шифрования без использования xor.
Сила шифрования или как я выявил недостаток работы Defender’а