Identifikation von Packern, OPCode Filter, etc. Einstellungen

[Gast_Andreas Haak_*]

Warum soll ich denn glauben das NOD Emu-Unpacking-Fähig ist? Hat jemand das getestet?

Jo. Ich *g*. NOD32 hat nur Unpacking Module für ASPack und UPX - das wars. Kannst ja mal verschiedene andere mit probieren.

[Magnus]

Also doch nicht Emulation sondern Statische Entpackung...

[Gast_Gladiator_*]

Schon mal darueber nachgedacht wenn ein Exchange Server 500 Mails pro Minute bekommt und alles emuliert wird ? Gute Nacht Herr Gesangsverein.

Schon mal darüber nachgedacht, das die Emu ja nicht strohdoof sein muss und ALLES zu emulieren hat? Bereits am Dateiaufbau kannst Du erkennen ob eine Datei gepackt ist oder nicht. Sogar ohne Dir auch nur einen einzigen Opcode anzuschauen. Wenn sie gepackt ist, kannst Du die Emu anwerfen - ansonsten nicht. Im normalen Betrieb stört das kaum. Wieviele Runtime Packed/Crypted files werden wohl auf ner normalen Maschine (oder von mir aus auch via Mail) zu finden sein? 10 - 20? Auf die paar Sekunden die zu emulieren kommts dann auch nimma an.

Aber auf ein paar Gigabyte Hauptspeicher wenn zig Emulatorprozesse im Multithreadding hochgerissen werden du schlaues Kind. Wir reden von Industrietauglichen Ablaeufen und nicht vom Scannen eines Desktoprechners.

Statisches Entpacken nimmt dort wesentlich weniger Resourcen in Anspruch als ein Emulator und ist zudem auch schneller fertig. Die Betonung liegt auf schneller fertig. Oder willst Du mir jetzt etwa noch erzaehlen dass ein Emulator schneller ist als eine statische Unpack Routine ? Wenn ja, dann muss die Emu in Delphi programmiert sein, und zwar direkt in Wien.

[Gast_Andreas Haak_*]

Aber auf ein paar Gigabyte Hauptspeicher wenn zig Emulatorprozesse im Multithreadding hochgerissen werden du schlaues Kind. Wir reden von Industrietauglichen Ablaeufen und nicht vom Scannen eines Desktoprechners.

Wie hoch ist die wahrscheinlichkeit das durch nen Mailserver innerhalb weniger Sekunden mehrere gepackte/verschlüsselte Dateien gehen? Nahezu null. Maximal wenn es nen High Outbreak mit nem Infector gibt, der gepackt bzw. gecryptet ist.

Durch Unternehmensmailservern gehen ohnehin zu 99% nur Word Dokumente und ähnliches duch. Abgesehen davon das intelligente Maillösungen von den Attachmants MD Listen anlegen um doppelte Scans zu vermeiden. Was bedeutet:

Selbst wenn da n Wurm ist, der 300 Mails mit ner gecrypteten bzw. gepackten Datei auf den Server los lässt: Gescannt wird maximal einmal (bzw. jeweils ein weiteres mal nach jedem Update) - danach ist die Datei in der Liste vorhanden und muss nicht weiter gescannt werden.

Anmerkung:
Wenn Du schon von Industriebedingungen sprichst - dann sollten wir wohl auch den Industriefall nehmen und keine gekünstelten Szenarios. Und welcher normale Mitarbeiter innerhalb einer Firma verschickt wohl eine mit UPX (oder ähnlichem) gepackte Datei? Wohl kaum jemand. Wenn überhaupt dann wohl nur um dem Gegenüber was unterzuschieben oder weil er infiziert ist.

Der Beitrag wurde von Andreas Haak bearbeitet: 08.09.2003, 18:08

[Gast_Andreas Haak_*]

Also doch nicht Emulation sondern Statische Entpackung...

Allerdings nur UPX und ASPack und ein paar DOS Packer - sonst nix. NOD32 entpackt allerdings auch Sachen wie FSGusw. .

Der Beitrag wurde von Andreas Haak bearbeitet: 09.09.2003, 16:06

[Catweazle]

....das gibt noch ne heiße Diskusion heute Nacht

Catweazle

[Gast_Andreas Haak_*]

....das gibt noch ne heiße Diskusion heute Nacht

Catweazle

Ne heute Nacht nicht mehr. Muss zeitig raus morgen früh.

[SkeeveDCD]

Also bei mir entpackt NOD32 2.0 mit /AH nur Standardteile wie UPX, FSG. Selbst steinalte PE-Packer/Crypter handelt es nicht. Sehr generisch...

[Gast_Nautilus_*]

1.
Hmm...falls eine Emu zu langsam fuer den "industriellen Einsatz" ist, bedeutet das ja noch nicht, dass man als Desktop User auf einen langsamen, aber gründlichen On Demand Scanner verzichten muss.

2.
Hab mal folgendes Mini-Archiv durch ein paar Scanner laufen lassen:

OEP.2NOPs.UPX.Headerfaked.Bionet318.exe
OEP.Changed.Bionet318.NotPacked.exe
OEP.ChangedBeforePacking.Bionet318.PKLite3211.exe
OEP.ChangedAfterPacking.Version1.Bionet318.PKLite3211.exe
OEP.ChangedAfterPacking.Version2.Bionet318.PKLite3211.exe
OEP.ChangedAfterPacking.AphexFTP.PKLite3211.dll
OEP.ChangedAfterPacking.OptixLite04.PKLite3211.exe
OEP.ChangedAfterPacking.OptixLite04.PKLite3211.ICONREPL.exe
OEP.1NOP.UPX.OptixLite04.exe
OEP.2NOPs.UPX.OptixLite04.exe
OEP.ChangedAfterPacking.OptixLite04.Petite22.Comp9.exe

3. KAV (7 von 11)

KAV erkennt nunmehr die umgeleiteten OEPs in Verbindung mit PKLite. Ausserdem wurden ein paar spezielle Signaturen fuer NOPs in Verbindung mit UPX erstellt, nachdem wir Kaspersky entsprechende Samples samt Erklärung zugesandt haben.

Probleme gibt es dagegen mit allen OpitxLite Servern, die mit UPX oder Petite gepackt wurden, obwohl hier dieselben Patch-Techniken verwandt wurden.

4. NOD ohne /AH (1 von 11)

IMHO grenzt das "Verstecken" der Advanced Heuristic schon fast an bewusste User-Schädigung ;-)

5. NOD mit /AH ( 7 von 11)

Insbesondere erkannt wurden: OEP.1NOP.UPX.OptixLite04.exe, OEP.2NOPs.UPX.OptixLite04.exe, OEP.ChangedAfterPacking.OptixLite04.Petite22.Comp9.exe.

Die mit PKLite gepackten Bionet Server wurden merkwürdigerweise nicht erkannt.

6. McAfee (8 von 11)

McAfee patzt insbesondere bei: OEP.ChangedAfterPacking.OptixLite04.PKLite3211.ICONREPL.exe, OEP.ChangedAfterPacking.OptixLite04.PKLite3211.exe, OEP.ChangedAfterPacking.AphexFTP.PKLite3211.dll.

(Dem Problem mit den Sigs aus der Resource-Section geht Forge hoffentlich gerade eifrigst nach ;-)

EDITED:
7. F-Secure 2003 (8 von 11)

F-Secure erkennt zusätzlich auch noch OEP.ChangedAfterPacking.OptixLite04.Petite22.Comp9.exe als unkown virus.

(Schlecht ist aber, dass es einen gepatchten OptixLite Server, bei dem genau die von KAV verwandte Single Point Signatur "weggepatcht" wurde, ebenfalls nicht erkennt. Dies zeigt, dass F-Secure oft genau dieselben Sigs wie KAV verwendet. Somit ist auch F-Secure - immer noch - von dem Problem SennaSpy's Offset Generator betroffen. Ich vermute mal, das für AVK dasselbe gilt.)

8. Dr.Web 4.30a (2 von 11)

Anbei das Scanlog:

C:\Dokumente und Einstellungen\Administrator\Desktop\A_OEP\OEP.2NOPs.UPX.Headerfaked.Bionet318.exe - Ok
C:\Dokumente und Einstellungen\Administrator\Desktop\A_OEP\OEP.Changed.Bionet318.NotPacked.exe infected with BackDoor.BioNet.318
C:\Dokumente und Einstellungen\Administrator\Desktop\A_OEP\OEP.ChangedBeforePacking.Bionet318.PKLite3211.exe - Ok
C:\Dokumente und Einstellungen\Administrator\Desktop\A_OEP\OEP.ChangedAfterPacking.Version1.Bionet318.PKLite3211.exe - Ok
C:\Dokumente und Einstellungen\Administrator\Desktop\A_OEP\OEP.ChangedAfterPacking.Version2.Bionet318.PKLite3211.exe - Ok
C:\Dokumente und Einstellungen\Administrator\Desktop\A_OEP\OEP.ChangedAfterPacking.AphexFTP.PKLite3211.dll - Ok
C:\Dokumente und Einstellungen\Administrator\Desktop\A_OEP\OEP.ChangedAfterPacking.OptixLite04.PKLite3211.exe - Ok
C:\Dokumente und Einstellungen\Administrator\Desktop\A_OEP\OEP.ChangedAfterPacking.OptixLite04.PKLite3211.ICONREPL.exe - Ok
C:\Dokumente und Einstellungen\Administrator\Desktop\A_OEP\OEP.1NOP.UPX.OptixLite04.exe - Ok
C:\Dokumente und Einstellungen\Administrator\Desktop\A_OEP\OEP.2NOPs.UPX.OptixLite04.exe - Ok
C:\Dokumente und Einstellungen\Administrator\Desktop\A_OEP\OEP.ChangedAfterPacking.OptixLite04.Petite22.Comp9.exe probably infected with WIN.EXE.Virus

9. TDS-3 (10 von 11 -- man kann ja TDS nicht immer schlecht machen ;-)

Scan Control Dumped @ 17:45:03 11-09-03
Positive identification <Adv>: RAT.Bionet 3.x
File: d:\desktop\scheinsicherheit testarchiv 2\a_oep\oep.2nops.upx.headerfaked.bionet318.exe

Positive identification: RAT.Bionet 3.18 (Unpacked)
File: d:\desktop\scheinsicherheit testarchiv 2\a_oep\oep.changed.bionet318.notpacked.exe

Positive identification <Adv>: RAT.Bionet 4.x
File: d:\desktop\scheinsicherheit testarchiv 2\a_oep\oep.changedbeforepacking.bionet318.pklite3211.exe

Positive identification <Adv>: RAT.Bionet 4.x
File: d:\desktop\scheinsicherheit testarchiv 2\a_oep\oep.changedafterpacking.version1.bionet318.pklite3211.exe

Positive identification <Adv>: RAT.Bionet 4.x
File: d:\desktop\scheinsicherheit testarchiv 2\a_oep\oep.changedafterpacking.version2.bionet318.pklite3211.exe

Positive identification <Adv>: Possible WebDownloader
File: d:\desktop\scheinsicherheit testarchiv 2\a_oep\oep.changedafterpacking.optixlite04.pklite3211.exe

Positive identification <Adv>: Possible WebDownloader
File: d:\desktop\scheinsicherheit testarchiv 2\a_oep\oep.changedafterpacking.optixlite04.pklite3211.iconrepl.exe

Positive identification <Adv>: Possible WebDownloader
File: d:\desktop\scheinsicherheit testarchiv 2\a_oep\oep.1nop.upx.optixlite04.exe

Positive identification <Adv>: Possible WebDownloader
File: d:\desktop\scheinsicherheit testarchiv 2\a_oep\oep.2nops.upx.optixlite04.exe

Positive identification <Adv>: Possible WebDownloader
File: d:\desktop\scheinsicherheit testarchiv 2\a_oep\oep.changedafterpacking.optixlite04.petite22.comp9.exe

9. RAV (0 von 11 ;-)

C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\DESKTOP\A_OEP\OEP.2NOPs.UPX.Headerfaked.Bionet318.exe | Ok
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\DESKTOP\A_OEP\OEP.2NOPs.UPX.Headerfaked.Bionet318.exe->(UPXW) | Ok

C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\DESKTOP\A_OEP\OEP.Changed.Bionet318.NotPacked.exe | Ok

C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\DESKTOP\A_OEP\OEP.ChangedBeforePacking.Bionet318.PKLite3211.exe | Ok
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\DESKTOP\A_OEP\OEP.ChangedBeforePacking.Bionet318.PKLite3211.exe->(PkLite32) | Ok

C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\DESKTOP\A_OEP\OEP.ChangedAfterPacking.Version1.Bionet318.PKLite3211.exe | Ok

C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\DESKTOP\A_OEP\OEP.ChangedAfterPacking.Version2.Bionet318.PKLite3211.exe | Ok

C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\DESKTOP\A_OEP\OEP.ChangedAfterPacking.AphexFTP.PKLite3211.dll | Ok

C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\DESKTOP\A_OEP\OEP.ChangedAfterPacking.OptixLite04.PKLite3211.exe | Ok

C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\DESKTOP\A_OEP\OEP.ChangedAfterPacking.OptixLite04.PKLite3211.ICONREPL.exe | Ok

C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\DESKTOP\A_OEP\OEP.1NOP.UPX.OptixLite04.exe | Ok
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\DESKTOP\A_OEP\OEP.1NOP.UPX.OptixLite04.exe->(UPXW) | Ok

C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\DESKTOP\A_OEP\OEP.2NOPs.UPX.OptixLite04.exe | Ok
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\DESKTOP\A_OEP\OEP.2NOPs.UPX.OptixLite04.exe->(UPXW) | Ok

C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\DESKTOP\A_OEP\OEP.ChangedAfterPacking.OptixLite04.Petite22.Comp9.exe | Ok




(Der Fairness halber muss man noch sagen, dass viele Scanner die AphexFTP.dll überhaupt nicht erkennen. Aber das Versagen tritt ja auch bei Bionet auf.)


Gruss ntl

Der Beitrag wurde von Nautilus bearbeitet: 11.09.2003, 17:49

[forge77]

IMHO grenzt das "Verstecken" der Advanced Heuristic schon fast an bewusste User-Schädigung

Sehe ich ähnlich... mal ein paar weitere Zahlen mit unserem bisherigem Testset:

- Nod32 2 ohne AH und ohne (statischen) Runtime-Packer-Support (also vergleichbar mit Version 1): 24 / 113

- Nod32 2 ohne AH und mit (statischem) Runtime-Packer-Support: 33 / 113
Hier fällt auf, dass Nod32 mit manchen UPX-Versionen (statisch) nicht umgehen kann.

- Nod32 2 mit AH und mit (statischem) Runtime-Packer-Support: 79 / 113
Einige gepackte _und_ ungepackte Samples werden dabei offenbar rein heuristisch erkannt ("NewHeur_PE"); andere (zuvor unerkannte) gepackte Samples werden eindeutig (mit Schädlingsnamen) erkannt.

UPX kann bei aktivierter AH in allen (getesteten) Versionen entpackt werden.
Bei Aspack ist es dagegen genau andersrum: bei deaktiviertem (statischen) Packer-Support wird trotz AH nix ge-aspack'tes mehr erkannt...
Ach so, der Scan mit AH dauert länger als mit KAV (von McAfee ganz zu schweigen... )

Also, anscheinend beinhaltet die emulationsbasierte AH von Nod32 sowohl Signaturen-Erkennung (-> generic unpacking), als auch eine ("dynamische") Heuristik, die auch Backdoors erkennt...

Der Beitrag wurde von forge77 bearbeitet: 08.09.2003, 23:48

[Rokop]

Ich habe bereits an zwei Stellen angeregt, einen deutlich sichtbaren Schalter für die Advanced Heuristic in die GUI einzubauen. Ich hoffe wir werden erhört

[Gast_Andreas Haak_*]

IMHO grenzt das "Verstecken" der Advanced Heuristic schon fast an bewusste User-Schädigung

So nicht 100% richtig. NOD32 ist auf Geschwindigkeit getrimmt. Daher ist diese Option in allen Modulen außer dem IMON deaktiviert. Im AMON wäre das System dann defacto nicht mehr nutzbar, da die Advanced Heuristic recht zeitintensiv ist.

Die Advanced Heuristic von NOD32 besteht nämlich nicht nur aus dem generic unpacking. Ebenfalls enthalten sind Heuristiken für Würmer, etc. . NOD32 ist z.B. der derzeit einzig mir bekannte Scanner der Visual Basic und Delphi Applikationen "decompilieren" kann um tiefergehende Analysen durchzuführen.

Derzeit ist die AH noch nicht auf Trojaner und Backdoors getrimmt (zumindest nicht sehr - es gibt erst ein paar Regeln dafür). Kommt allerdings noch.

Einige gepackte _und_ ungepackte Samples werden dabei offenbar rein heuristisch erkannt ("NewHeur_PE"); andere (zuvor unerkannte) gepackte Samples werden eindeutig (mit Schädlingsnamen) erkannt.

Jo - wie ich oben schon erwähnte. Di AH hat einige wenige heuristische Erkennungen für Backdoors integriert.

Der Beitrag wurde von Andreas Haak bearbeitet: 09.09.2003, 07:05

[Gast_Andreas Haak_*]

Ich habe bereits an zwei Stellen angeregt, einen deutlich sichtbaren Schalter für die Advanced Heuristic in die GUI einzubauen. Ich hoffe wir werden erhört

Glaube ich eher nicht. Es hat einen Grund wieso die AH deaktiviert ist per default - um Zeit zu sparen. Wer die AH komfortabel nutzen mag, kann wenn er mag die Kontextmenüerweiterung für Scan mit AH installieren.

Allerdings werden die statischen Unpacker ohnehin erweitert werden. ESET beschäftigt in dem Punkt mehrere freie Mitarbeiter.

[SkeeveDCD]

Nach den Testergebnissen kann man ja wohl kaum noch von Generic Unpacking reden - die haben einfach einen etwas flexibleren UPX-Unpacker drin.

[Gast_Andreas Haak_*]

die haben einfach einen etwas flexibleren UPX-Unpacker drin

Schwachsinn ... bissi mehr als UPX isses schon noch. Hab mal eben kurz getestet:

QUELLTEXT

date: 9.9.2003  time: 10:19:45
Scanned disks, directories and files: C:\Dokumente und Einstellungen\Andreas Haak\Desktop\Packer\Testset\
C:\Dokumente und Einstellungen\Andreas Haak\Desktop\Packer\Testset\nackter affe - cexe.exe - is OK
C:\Dokumente und Einstellungen\Andreas Haak\Desktop\Packer\Testset\nackter affe - exe32packl.exe - is OK
C:\Dokumente und Einstellungen\Andreas Haak\Desktop\Packer\Testset\nackter affe - EZIP.exe - is OK
C:\Dokumente und Einstellungen\Andreas Haak\Desktop\Packer\Testset\nackter affe - fsg.exe - Win32/Nakter trojan
C:\Dokumente und Einstellungen\Andreas Haak\Desktop\Packer\Testset\nackter affe - lamecryptl.exe - Win32/Nakter trojan
C:\Dokumente und Einstellungen\Andreas Haak\Desktop\Packer\Testset\nackter affe - noodlecrypt.exe - is OK
C:\Dokumente und Einstellungen\Andreas Haak\Desktop\Packer\Testset\nackter affe - pecrypt.exe - is OK
C:\Dokumente und Einstellungen\Andreas Haak\Desktop\Packer\Testset\nackter affe - pedimisher.exe - Win32/Nakter trojan
C:\Dokumente und Einstellungen\Andreas Haak\Desktop\Packer\Testset\nackter affe - peencrypt.exe - is OK
C:\Dokumente und Einstellungen\Andreas Haak\Desktop\Packer\Testset\nackter affe - pelock.exe - Win32/Nakter trojan
C:\Dokumente und Einstellungen\Andreas Haak\Desktop\Packer\Testset\nackter affe - pepack.exe - is OK
C:\Dokumente und Einstellungen\Andreas Haak\Desktop\Packer\Testset\nackter affe - peshield.exe - is OK
C:\Dokumente und Einstellungen\Andreas Haak\Desktop\Packer\Testset\nackter affe - pex.exe - is OK
C:\Dokumente und Einstellungen\Andreas Haak\Desktop\Packer\Testset\nackter affe - telock.exe - is OK
C:\Dokumente und Einstellungen\Andreas Haak\Desktop\Packer\Testset\nackter affe - upxl.exe > UPX - Win32/Nakter trojan
C:\Dokumente und Einstellungen\Andreas Haak\Desktop\Packer\Testset\nackter affe - vgcrypt.exe - Win32/Nakter trojan
C:\Dokumente und Einstellungen\Andreas Haak\Desktop\Packer\Testset\nackter affe - y0da.exe - is OK
number of files scanned: 17
number of viruses found: 6
time of termination: 10:19:49 total scanning time: 4 sec (00:00:04)

Nur UPX wude statisch entpackt (zu erkennen an dem > UPX.

Der Beitrag wurde von Andreas Haak bearbeitet: 09.09.2003, 11:28

[SkeeveDCD]

Ja, 30% sind Schwachsinn, du hast Recht...

[Gast_Gladiator_*]

ganz zu schweigen von polymorphen Viren......

ACG ---> NOD32 sagt keinen Mucks. Komisch, wie bestehen die dann ihre VB Tests ?

Oder hochpolymorphe Macro Viren wie die Vulcano Serie - lausig fuer jemanden der behauptet in Viren nahezu perfekt zu sein.

[Gast_Andreas Haak_*]

Komisch, wie bestehen die dann ihre VB Tests ?

Ganz einfach:

AFAIR benutzt VB die Wildlist und baut darauf ihr Testset auf. ACG ist aber nicht ITW (wars auch nie).

[Gast_Andreas Haak_*]

Ja, 30% sind Schwachsinn, du hast Recht... 

Immerhin 30% mehr als einige andere Programme ... Mal ganz abgesehen davon das sich NOD32 als VIRENscanner versteht und somit Packer und Crypter nicht wirklich von Bedeutung sind.

[Gast_Gladiator_*]

Ganz einfach:

AFAIR benutzt VB die Wildlist und baut darauf ihr Testset auf. ACG ist aber nicht ITW (wars auch nie).

ROFL der Grossmeister hat gesprochen

Dann schau Dir mal das hier an: