Was schützt vor PE Packern, AV, Verhaltensblocker oder HIPS? Einstellungen

[subset]

Hi,

ich habe das MULTI ADMIN TOOL (Multi-Admin-Tool.exe) aus dem Thread
http://www.rokop-security.de/index.php?showtopic=16627
genommen und mit drei verschiedenen PE Packern komprimiert:

• MAT_Upack.exe wurde mit WinUpack erstellt.
• MAT_PEC2.exe wurde mit PECompact v2 erstellt.
• MAT_ PeP.exe wurde mit dem Private exe Protector erstellt.

An diesen PE Packern ist an sich nichts Illegales oder Verwerfliches, sie dienen primär zum Schutz gegen Reverse Engineering, Analyse, Veränderung, Cracking oder einfach nur zur Komprimierung.

Sehr beliebt sind sie aber eben auch bei Malware Herstellern, um die Erkennung durch AVs zu erschweren (gewöhnliche Packer) bzw. nahezu unmöglich zu machen (private Packer).

Die von mir gepackten Dateien habe ich unter XP alle auf ihre Lauffähigkeit hin untersucht.
Funktioniert haben alle, nur bei der MAT_ PeP.exe (Private exe Protector) kommt beim Start ein Hinweisfenster (wurde mit der Trialversion von Private exe Protector erstellt).
Dieses Fenster ist mit OK zu bestätigen, dann wird der Trojaner aber ganz normal ausgeführt.

Die folgenden Aussagen über einzelne Programme beziehen sich natürlich nur auf diesen Tests.

Erster Versuch: wie verhalten sich AVs bei diesen PE Packern?

Ich habe die vier Dateien (Multi-Admin-Tool.exe, MAT_Upack.exe, MAT_PEC2.exe und MAT_ PeP.exe) bei Virustotal.com hochgeladen und untersuchen lassen.
Die Kommandozeilen Scanner dort sind zwar nicht die zuverlässigsten, aber im Schnitt wird sich das ziemlich ausgleichen.
Nur über vereinzelte Anomalien sollte man sich keine grauen Haare wachsen.
Von 32 Scannern untersucht ergibt das also 128 Ergebnisse, vier mal fehlte ein Scanner, bleiben also 124 konkrete Ergebnisse für die Auswertung.

 VirusTotal.png ( 67.04KB ) Anzahl der Downloads: 143


Grün: der Trojaner wurde erkannt bzw. auch gepackt als genau dieser Trojaner erkannt.
36 von 124 entspricht 29 % Erkennungsrate.
Alle vier Dateien erkannte kein AV als gleichen Trojaner, bei dreimal Grün kann man also von einem soliden Packer Support ausgehen.
Das ist bei dem Test mit AVG, BitDefender, DrWeb, F-Secure, Kaspersky und VBA32 der Fall, aber selbst bei diesen reichte ein kommerzieller(!) Packer wie der Private exe Protector für die Täuschung von mehr als der Hälfte dieser AVs, drei von fünf erkannten nichts mehr.

Gelb: es wurde etwas erkannt, aber was im Speziellen erkannt wurde, ist hier äußerst fragwürdig.
31 von 124 entspricht 25 % Erkennungsrate.
Avira oder Sophos sind nach diesem Test anscheinend frei von jeglichem echten Packer Support, nur die Multi-Admin-Tool.exe wird nach der Signatur erkannt.
Alle gepackten Varianten werden aber in diesem Fall anscheinend nach der Methode: "is a Packer is böse" behandelt und somit eine vorgeblich hohe Erkennungsleistung mit äußerst unsauberen und fragwürdigen Methoden quasi erschwindelt.
Die Folge sind sicher jede Menge FP bei gepackten Anwendungen.
Kurios auch Panda: hier wird überhaupt jede Datei als verdächtig bewertet, deswegen auch alles gelb, weil Panda offensichtlich kein einziges Schadprogramm anhand der Signatur erkennen konnte.
McAfee, Symantec und VirusBuster finden auch ohne Signaturerkennung der Multi-Admin-Tool.exe jeweils eine Variante verdächtig, anscheinend wieder der "böse Packer" Effekt.
Das Ergebnis von Symantec habe ich mit NAV selbst nachgeprüft, nur die MAT_ PeP.exe wird als Schadprogramm gebrandmarkt, warum auch immer.
Ergebis aus dem NAV Protokoll: Packed.Generic.52, Virus-ID: 19137, Typ: Anomalie, Risiko: Gering (Gering Stealth, Gering Entfernen, Gering Leistung, Gering Datenschutz), Kategorien: Heuristikvirus.
Nix genaues weiß man nicht und so werden viele gelbe "Treffer" bei anderen AVs auch zustande kommen.

Rot: überhaupt nichts gefunden bzw. in der gepackten Datei nichts mehr gefunden.
57 von 124 entspricht 46 % Versagen.
NOD32 findet selbst an der Multi-Admin-Tool.exe nichts verdächtiges, obwohl ich die Datei schon lange bei denen hochgeladen habe, auch der Rest wird ignoriert.
Ähnliches gilt auch für avast!, gepackte Dateien werden vollkommen vernachlässigt.
Insgesamt ist das Ergebnis hier wenig vertrauenerweckend, mit sinkender Bekanntheit der PE Packer sinkt auch die Erkennungsrate der AVs.
Bei der mit dem Private exe Protector erzeugten MAT_ PeP.exe sind es gerade noch 8 von 29 AVs, also rund 28 %, die überhaupt noch irgendetwas erkennen.
Das ist dann aber peinlicherweise offensichtlich nur das bloße Vorhandensein eines Packers.
Wie schon gesagt: "is a Packer is böse".
Das Packen und Hochladen der Notepad.exe führt sicher zu einer ähnlichen Erkennungsrate.

Zusammenfassung:
In fast der Hälfte aller Fälle würde das Unglück seinen Lauf nehmen.
Ein Viertel wird mit mehr oder weniger unseriösen Tricksereien erkannt, leider wird hier sicher oft das Kind mit dem Bad ausgeschüttet.
Etwas mehr als ein Viertel wird erkannt bzw. eindeutig durch den Packer Support der AVs erkannt, wie es eigentlich sein soll.

Zweiter Versuch: wie verhalten sich Verhaltensblocker bei diesen PE Packern?

Getestet habe ich Antibot und ThreatFire und um es kurz zu machen, beide lassen sich durch die Packer überhaupt nicht beeindrucken.
Das liegt an ihrer Funktionsweise, sie suchen (mit einer Ausnahme...) nicht nach einer bekannten Signatur in einer Datei sondern erkennen gefährliches Verhalten von Anwendungen.
Deswegen spielt der verwendete Packer hier eigentlich überhaupt keine Rolle, weil nämlich nach dem Start der Anwendung immer das gleiche passiert:
Die Multi-Admin-Tool.exe (bzw. deren gepackte Varianten) erstellt eine multiadmin.exe im TEMP Verzeichnis, diese wird gestartet und erzeugt das erwartete Programmfenster.
Dann wird der eigentliche Trojaner, die sys32.exe im SYSTEM32 Verzeichnis erstellt, gestartet und verseucht den Windows Explorer.

Antibot erkennt die Gefahr in allen vier Varianten.

 Antibot.png ( 21.51KB ) Anzahl der Downloads: 71


Das fast gleiche Ergebnis mit ThreatFire, das Programm erkennt nur einmal Upack als Virus...

 ThreatFire.png ( 37.55KB ) Anzahl der Downloads: 55


Zusammenfassung:
Sobald Antibot oder ThreatFire an den beabsichtigten Vorgängen einer Anwendung etwas Schädliches erkennen, ist es vollkommen egal wie die Anwendung ursprünglich gepackt war.

Weiter mit den HIPS

[raman]

Alle gepackten Varianten werden aber in diesem Fall anscheinend nach der Methode: "is a Packer is böse" behandelt und somit eine vorgeblich hohe Erkennungsleistung mit äußerst unsauberen und fragwürdigen Methoden quasi erschwindelt.

Nein, die Erkennung wurde nicht erschwindelt, sondern es wurde das gemeldet, was die Datei ist, naemlich hochgradig verdaechtig. An Dateien rumzupatchen, zu packen und was weiss ich noch alles, ist mehr als verdaechtig. Kein seriöser Programmierer macht sowas. Wozu soll man an solcher gepatchter Malware die knappen wertvollen Resourcen verschwenden, wenn man nur den (modifizierten)Packer erkennen braucht um die Malware zu erkennen?

[Gast_Scrapie_*]

An Dateien rumzupatchen, zu packen und was weiss ich noch alles, ist mehr als verdaechtig. Kein seriöser Programmierer macht sowas.

Hi

Kann ich nicht zustimmen.
Viele Programmierer nutzen Packer und Crypter um ihre Software mit einem Lizenzsystem auszustatten und gleichzeitig vor Crackern zu schützen. Nur ein Bsp.: FixFoto ist mit Armadillo geschützt und regelt dadurch seine Lizenzen. Prompt hatten ein paar AVs einige Versionen in der Vergangenheit als Malware erkannt. Entweder aus Uneinsicht das nicht jeder Packer böse ist oder aus mangelhafter Unpackengine. Gleiches sehen wir immer wieder mit FP bei Programmen, die auf externe Setupprogramme zurückgreifen, wie etwa Inno-Setup.


Scrapie

[Andreas Haak]

Ich glaub wir sollten dann doch unterscheiden. Armadillo zu "blacklisten" ist wahrscheinlich etwas übertrieben, genauso wie auch kein AV Hersteller auf die Idee kommen wird UPX zu blacklisten. Es gibt durchaus eine ganze Reihe legitimer Packer/Crypter und die meisten von denen triggern für sich genommen eher keine generische Erkennungen, außer man schaltet die AV Software auf maximale Heuristik oder aktiviert Packersignaturen. Zumindest dann wenn man von Scannern wie Sophos oder Fortinet z.B. absieht. Allerdings gibt es Packer/Crypter, die ausschließlich für Malware entwickelt wurden oder aber zu 99,99% ausschließlich von Malware verwendet werden, wie z.B. TIBS, UPoly, y0da, Morphine oder aber diese ganzen hübschen Scrambler Tools die bestehende Packer/Crypter Stubs modifizieren bzw. falsche vortäuschen. Ich mein ganz ehrlich: Die einzige andere Anwendergruppe, die solche Programme sonst noch verwendet, besteht aus weltfremde Idealisten, die notepad.exe damit behandeln, um sich danach in Foren in Form unglaublicher Enthüllungsthreads darüber aufregen zu können. Man kann übrigens genauso gut 0-Byte-Bereiche in notepad.exe mit Malwaresignaturen füllen und sich dann daran aufziehen, wie unfähig doch alle sind. Ist doch nur ne Datei die ich bewusst modifiziert habe mit dem Ziel Fehlalarme zu produzieren. Das hät so ne AV Software aber schön abfangen können. Ob es jetzt winhex.exe war oder morphine.exe ist doch dann schon egal.

Davon abgesehen sagt der Test übrigens absolut gar nichts aus. Nur weil Scanner X Malware Y mit ihrem Namen erkennt, heißt es nicht das Scanner X den Packer Z mit dem Malware Y behandelt wurde, auch entpacken kann. Es war (und ist vielleicht immer noch) in vielen Analyseabteilungen Gang und Gebe direkt gepackte Samples mit einzupflegen, die man entweder selbst erstellt oder aber alternativ über die diversen Bezugsquellen zugespielt bekommt.

Randnotiz 1:
Das von subset vorgeschlagene notepad.exe für solche Tests zu benutzen ist recht unintelligent. Man glaubt es nicht aber es soll AV Tools geben, die Dateien, die laut Versionsinformationen von Microsoft stammen aber gepackt sind, melden. Microsoft packt - mit extrem wenigen Ausnahmen - seine Executables nicht mit Runtime Packern oder Cryptern. Genauso gab es auch mal Heuristiken die Datei geflagt haben, die angeblich von Microsoft stammen aber mit Borland Entwicklungstools compiliert wurden. Beides legitime Erkennungen, die man mit einem notepad.exe Experiment triggern kann.

Randnotiz 2:
Ich hab gleich die nächste große Enthüllung für subset. Wenn ich notepad.exe in picture.jpg.exe umbenenn und in ein Archiv stecke, melden da ein paar Heuristiken die doppelte Endung. OMG!!

Randnotiz 3:
Ich halte auch die in Randnotiz 2 erwähnte Heuristik für durchaus legitim.

Der Beitrag wurde von Andreas Haak bearbeitet: 03.05.2008, 11:59

[subset]

Armadillo zu "blacklisten" ist wahrscheinlich etwas übertrieben, genauso wie auch kein AV Hersteller auf die Idee kommen wird UPX zu blacklisten.

Armadillo... ein kleines Beispiel wie es auch damit leicht zu Kollateralschäden kommen kann.
Im Forum von StorageCraft wurde für ShadowProtect nach Scripten gefragt und diese wurden auch prompt von einem Mitarbeiter zusammengestellt.
http://forum.storagecraft.com/Community/fo...spx?PageIndex=1
Mit enthalten ist die sbhard.exe zum Überprüfen von Images.
Mit Armadillo geschützt.

Der VirusTotal Scan kommt zu folgendem Ergebnis:
http://www.virustotal.com/de/analisis/2c3e...a41615bf417e0cc
Kaspersky meldet nichts.

Das AVPTool von Kaspersky erkennt Armadillo, findet die Datei aber nicht verdächtig.

 avptool.png ( 21.99KB ) Anzahl der Downloads: 32


KIS 7 und 2009 Beta melden einen Trojaner, beide in den Standardeinstellungen.

 kis7.png ( 9.5KB ) Anzahl der Downloads: 30


Etwas uneinheitlich die ganzen Ergebnisse.
Selbst bei Kaspersky.

MfG

[Domino]

Das AVPTool von Kaspersky erkennt Armadillo, findet die Datei aber nicht verdächtig.

Es handelt sich um einen signaturbasierten Fehlalarm von Kis, welches AVPTool hast du benutzt ?


Domino

Der Beitrag wurde von Domino bearbeitet: 03.05.2008, 19:00

[subset]

welches AVPTool hast du benutzt ?

Gute Frage, Returnil lässt grüßen

Also noch mal von vorne:
AVPTool: setup_7.0.0.180_04.05.2008_00-30.exe
http://ftp.kaspersky.com/devbuilds/AVPTool/

 AVPTool2.png ( 72.33KB ) Anzahl der Downloads: 32


Ich habe auf dem Rechner mit der sbhard.exe drauf mit einigen KAV/KIS 2009 Beta Versionen einen Full Scan gemacht.
Die Meldung bekam ich aber erst mit der Version 8.0.0.357.
Auf dem anderen Rechner läuft KIS 7 und da wurde eben auch heute die Meldung zur sbhard.exe erzeugt.
Nur das AVPTool weigert sich standhaft...

MfG