Rotierende Signaturen Einstellungen

[Gast_Nautilus_*]

Die ist Idee ist, der immer stärker um sich greifenden Patcherei mit ständig wechselnden Signaturen Paroli zu bieten: Bei jedem Update werden z.B. die Signaturen für besonders verbreitete Trojaner ausgetauscht und durch andere ersetzt. In unregelmässigen Abständen werden wieder die "alten" Signaturen verwandt (Rotationsprinzip).

So kann ein VXer, der sich aufs Patchen versteht, nie ganz sicher sein, ob er denn wirklich alle Signaturen eines Scanners kennt. Ihm droht nach jedem Update die Gefahr, sein Vic zu verlieren.

Ich habe Kaspersky bereits letztes Jahr einen entsprechenden Vorschlag unterbreitet, um SennaSpy's Offset Generator auszutricksen. Stattdessen hat Kaspersky (letztlich erfolglos) versucht, den Generator auf andere Weise lahm zu legen. Kürzlich hat mich Gavin mit genau derselben Idee angesprochen und gemeint, es sei nur eine Frage der Zeit, bis jemand sowas bringe.

Was haltet Ihr davon? Es bedeutet natürlich Zusatzaufwand, mehrere brauchbare Sigs zu erstellen. Und die Downloadmenge beim Update vergrössert sich durch das Rotieren der Sigs. Gibt es sonst noch gewichtige Nachteile?

Gruss, Nautilus

Der Beitrag wurde von Nautilus bearbeitet: 09.09.2003, 13:41

[Gast_Andreas Haak_*]

Mehr Aufwand bei den Fehlalarm Tests etc. . Du hast schlichtweg mehr Signaturen die Du zu testen hast.

Ansonsten gibt es nicht wirklich Nachteile.

[SkeeveDCD]

Und was soll das ganze dann bringen? Dann warten die Virencoder halt einen Monat laenger um alle Sigs zu kriegen.

Ansonsten gibt es nicht wirklich Nachteile.

Da scheint sich einer gut mit den Arbeitspensum in einer Antiviren-Firma auszukennen. Als ob die Leute Zeit fuer sowas unwichtiges und ineffizientes haetten.

Der einzige der hier rotiert ist Cohen...

[Gast_Andreas Haak_*]

Da scheint sich einer gut mit den Arbeitspensum in einer Antiviren-Firma auszukennen. Als ob die Leute Zeit fuer sowas unwichtiges und ineffizientes haetten

Ja ich denke mal nachdem ich mehr als ein halbes Jahr bei nem AV Hersteller gearbeitet habe sowas beurteilen zu können. Braucht man halt 15 statt 10 Minuten um nen Schädling abzuarbeiten - und? Pro Tag kommen ohnehin nur ein paar neue Sachen rein - und der Arbeitstag hat 8 Stunden.

[Gast_Nautilus_*]

@Skeeve

"Und was soll das ganze dann bringen? Dann warten die Virencoder halt einen Monat laenger um alle Sigs zu kriegen."

Ich bezog es mehr auf Trojaner, als auf Viren. Die Überlegung ist Folgende: Wenn ich einen Trojaner patchen will, muss ich erstmal die Signaturen aller wichtigen Scanner herausfinden. Das sind insbesondere Scanner mit Unpacking Engine, Mem Scan bzw. Heuristik.

Wenn die Sigs herausgefunden sind, was ja nicht bei jedem Scanner so einfach ist wie bei KAV, muss gepatched werden. Anschliessend wird der Trojaner noch gepackt, um alle restlichen Scanner irrezuleiten. Das macht schon ganz schön viel Arbeit.

Wenn man das ganze Spiel jetzt noch für jeden Scanner zig mal neu durchspielen muss, weil die ständig andere Sigs verwenden (und man ausserdem tagelang warten und aufpassen muss, keine Sig zu verpassen), wird die ganze Sache so aufwendig, dass selbst mir der Spass am Patchen vergehen würde. Da kann man ja schon fast seinen eigenen Trojaner coden.

Insoweit denke ich schon, dass das Rotieren etwas bringen könnte.

Gruss Nautilus

Der Beitrag wurde von Nautilus bearbeitet: 09.09.2003, 14:54

[SkeeveDCD]

Nautilus, du willst doch nicht im Ernst behaupten ein Trojaner Coder geht hin und crackt die Signaturen ALLER bekannten Antiviren-Programme - nur damit er ne billige Variante von seinen Trojaner undetectable machen kann?

Bei dem Arbeitsaufwand kann man doch gleich nen ganz neuen Trojaner schreiben.

Ja ich denke mal nachdem ich mehr als ein halbes Jahr bei nem AV Hersteller gearbeitet habe sowas beurteilen zu können. Braucht man halt 15 statt 10 Minuten um nen Schädling abzuarbeiten - und? Pro Tag kommen ohnehin nur ein paar neue Sachen rein - und der Arbeitstag hat 8 Stunden.

Da muessen die ja das PERFEKTE AV-Programm haben wenn die so wenig ausgelastet waren. Ich kenne kein perfektes AV-Programm, bei jedem kann noch verdammt viel verbessert werden. Oder es interessiert die Firma nicht und sie verkauft wissentlich Schund an die Kunden.

[Gast_Andreas Haak_*]

Da muessen die ja das PERFEKTE AV-Programm haben wenn die so wenig ausgelastet waren. Ich kenne kein perfektes AV-Programm, bei jedem kann noch verdammt viel verbessert werden. Oder es interessiert die Firma nicht und sie verkauft wissentlich Schund an die Kunden.

Nö - aber Du vergisst was. Analyse und Entwicklung ist in den meisten Fällen getrennt. Bedeutet:

Analyse mach Signaturen, Entwicklung verbessert das Produkt. Selbst wenn das Produkt Sch... ist, kannst Du in der Analyse wenn dann maximal warten, das die aus der Entwicklung was verbessern und kannst maximal "Notbehelfe" machen (z.B. gepackte Sigs adden).

Von daher ist der Mehraufwand in der Analyse schon zu verkraften. Wie gesagt - ich hab lang genug gearbeitet dort. Meist sind die Aufgaben Gebiete aufgesplittet und Du selbst als Analyst hast maximal 10 - 15 neue Sachen zum Hinzufügen.

Analysen schreiben die AV Hersteller mittlerweile ohnehin von einander ab *fg*.

[JoJo]

Nautilus, du willst doch nicht im Ernst behaupten ein Trojaner Coder geht hin und crackt die Signaturen ALLER bekannten Antiviren-Programme [...]Bei dem Arbeitsaufwand kann man doch gleich nen ganz neuen Trojaner schreiben.[...]

ne nicht unbedingt, wenn die meisten AV´s halt Strings verwenden dann dauert das runderladen so einer AV Lösung länger als das Laden im Hex Editor und mal kurz F3 drücken

[Gast_Nautilus_*]

@Skeeve

"Nautilus, du willst doch nicht im Ernst behaupten ein Trojaner Coder geht hin und crackt die Signaturen ALLER bekannten Antiviren-Programme - nur damit er ne billige Variante von seinen Trojaner undetectable machen kann?"

Das stimmt. Das will ich nicht behaupten und habe es auch nicht.

Aber es gibt eine ganze Menge Leute, die kennen sich recht gut mit Trojanern aus, obwohl sie selbst keine besonders guten Coder sind bzw. sich normalerweise nicht die Mühe machen wollen, eigene Trojaner zu coden. Diese Leuten patchen und packen und verteilen solche undetectables auch weiter.

Wenn man diesen Leuten nun das Patchen und Packen so erschweren würde, dass man stattdessen lieber einen eigenen Trojaner coded bzw. einen bereits vorhanden Source Code umschreibt, wäre damit schon viel gewonnen. Dann verlieren sie nämlich die Lust an sowas.

Es geht also einfach nur darum, die "Eingangsschwelle" zum erfolgreichen Einsatz von Trojanern zu erhöhen. Wenn ein Newbie gleich beim Einstieg in die Rat-Szene von 0 auf 100 gehen muss, um erfolgreich AV Scanner auszutricksen und damit sein erstes Erfolgserlebnis (= Vic) zu haben, dann bleibt der Nachwuchs wohl bald aus.

Ist das nachvollziehbar?

Gruss, Ntl

P.S.: Skeeve ist der Zauberlehrling ?

[SkeeveDCD]

Aber es gibt eine ganze Menge Leute, die kennen sich recht gut mit Trojanern aus, obwohl sie selbst keine besonders guten Coder sind bzw. sich normalerweise nicht die Mühe machen wollen, eigene Trojaner zu coden. Diese Leuten patchen und packen und verteilen solche undetectables auch weiter.

Da wuerde ich die Zeit lieber in die Entwicklung einer guten Unpack/Decrypt-Engine mit Heuristik stecken. Wenn die Leute nicht gut Coden koennen, koennen sie auch keine Heuristik austricksen. Das sollte ja doch wohl auch die gleiche Wirkung auf die "Hemmschwelle" haben.

Von daher ist der Mehraufwand in der Analyse schon zu verkraften. Wie gesagt - ich hab lang genug gearbeitet dort. Meist sind die Aufgaben Gebiete aufgesplittet und Du selbst als Analyst hast maximal 10 - 15 neue Sachen zum Hinzufügen.

Also fuer jeden Trojaner/Backdoor/Virus jeden Monat neue Signaturen extrahieren und einbinden. Und das willst du mir im ernst als praktikable Loesung verkaufen?
Welche AV-Firma war das, BTW? Nachdem du die auf den technisch neusten Stand gebracht hast muss die ja unschlagbar sein. :-)

[Gast_Andreas Haak_*]

>Also fuer jeden Trojaner/Backdoor/Virus jeden Monat neue Signaturen extrahieren
>und einbinden. Und das willst du mir im ernst als praktikable Loesung verkaufen?

Wir reden von Backdoors und Trojanern - wer patcht schon noch Viren?

>Welche AV-Firma war das, BTW? Nachdem du die auf den technisch neusten Stand
>gebracht hast muss die ja unschlagbar sein. :-)

Nö - is sie nicht. Bin letztlich auch abgehaun (BTW: IKARUS), weil sich nichts bewegt hat (war wie gesagt nur in der Analyse). Ich find es bedenklich wenn man dort im Support Kaspersky oder Bitdefender Cleaner empfiehlt und der Engine Programmier vielleicht 2 Tage im Monat im Hause ist. Noch schlimmer isses dann wenn die Emu 5 Minuten an nem PS MPC emuliert teilweise (soll sich aber gebessert haben).

Der Beitrag wurde von Andreas Haak bearbeitet: 09.09.2003, 16:17

[SkeeveDCD]

>Also fuer jeden Trojaner/Backdoor/Virus jeden Monat neue Signaturen extrahieren
>und einbinden. Und das willst du mir im ernst als praktikable Loesung verkaufen?

Wir reden von Backdoors und Trojanern - wer patcht schon noch Viren?

Wer lesen kann ist klar im Vorteil:

"Also fuer jeden Trojaner/Backdoor/Virus jeden Monat neue Signaturen extrahieren
und einbinden."

Also, dann beantworte mal die Frage statt auszuweichen. Du forderst also ernsthaft fuer jeden T/B/V *jeden* Monat neue Signaturen zu extrahieren? Anstatt die Heuristik zu verbessern und das Problem generisch zu loesen?

Nö - is sie nicht. Bin letztlich auch abgehaun (BTW: IKARUS), weil sich nichts bewegt hat (war wie gesagt nur in der Analyse). Ich find es bedenklich wenn man dort im Support Kaspersky oder Bitdefender Cleaner empfiehlt und der Engine Programmier vielleicht 2 Tage im Monat im Hause ist. Noch schlimmer isses dann wenn die Emu 5 Minuten an nem PS MPC emuliert teilweise (soll sich aber gebessert haben).

Und anhand der Erfahrung machst du jetzt Rueckschluesse wie bei Kaspersky, McAfee oder bei sonstigen Major Players gearbeitet wird?

Und stellst du da nicht die Umstaende leicht falsch dar? Du bist abgehauen oder abgehauen worden?

[Gast_Nautilus_*]

"Du forderst also ernsthaft fuer jeden T/B/V *jeden* Monat neue Signaturen zu extrahieren?"

Nein. Das fordert niemand. Die Idee geht so: Kommt ein neuer Trojaner rein (Viren werden eh kaum gepatched), dann wird nicht nur eine Signatur erstellt, sondern 5 oder 10. Diese kommen in einen Signaturpool, aber nur eine der Signaturen kommt ins Signaturfile.

Beim nächsten Update wird diese aus dem Signaturfile des Scanner gelöscht und eine andere Signatur aus dem Pool wird stattdessen aufgenommen. Mit der Zeit werden alle Signaturen durchrotiert.

Die Patcher können da nie wirklich sicher sein, alle Sigs zu kennen. Ausserdem dauert es dann immer ewig, einen Patch zu erstellen.

Das Ganze müsste eigentlich nicht mit sooo viel Arbeit verbunden sein. Natürlich sollte zugleich auch eine gute Unpack Engine/Heuristik gecoded werden. Aber das scheint ja nicht so ganz einfach zu sein.

Rotierende Sigs und eine gute Unpack Engine/Heuristik schliessen sich somit nicht aus, sondern ergänzen sich. Theoretisch jedenfalls.

Nautilus

[Gast_Nautilus_*]

P.S.: Kann das Schlammcatchen zwischen den AV Codern nicht in ein separates Topic in der Schmuddelecke verlegt werden?

Der Beitrag wurde von Nautilus bearbeitet: 09.09.2003, 17:17

[Gast_Andreas Haak_*]

>Also, dann beantworte mal die Frage statt auszuweichen. Du forderst also ernsthaft
>fuer jeden T/B/V *jeden* Monat neue Signaturen zu extrahieren? Anstatt die Heuristik
>zu verbessern und das Problem generisch zu loesen?

Again ... wir haben von Trojanern und Backdoors geredet. Und nein - das fordere ich nicht. Allerdings werden entsprechende Engines die mit Patching klar kommen wohl noch etwas auf sich warten lassen. Somit kannst Du als Übergangslösung mehrere Signaturen pro Backdoor erstellen und die rotieren lassen.

Auf Heuristiken bei Backdoors oder Trojanern zu setzen halte ich für nen Fehler. Das was Du bislang so siehst ist letztlich fast immer nur ne Stringsuche (siehe McAfee, TDS etc.). Das sich das ändern wird in absehbarer Zeit wage ich zu bezweifeln.

Die Zukunft wird zeigen wie Hersteller damit umgehen. Ich weiß jedenfalls wie ich versuchen werde der Sache Herr zu werden.

>Und anhand der Erfahrung machst du jetzt Rueckschluesse wie bei Kaspersky, McAfee
>oder bei sonstigen Major Players gearbeitet wird?

Unter anderem. Hab auch oft genug andere Firmen besuchen dürfen etc. . Der Aufbau ist fast immer der selbe.

>Und stellst du da nicht die Umstaende leicht falsch dar? Du bist abgehauen oder
>abgehauen worden?

Nö. Als ich bemerkt habe das die Firma nicht zu mit passt wars auch mit der Motivation vorbei. Entsprechend lies die Arbeitsmoral und -leistung ab. Zuletzt hat Josef mich gefragt ob ich ne Pause machen will um einige Sachen zu klären oder ob ich mich lieber fristlos kündigen lassen möchte. Habe mich für letzteres entschieden, weil es nichts mehr gebracht hätte.

Oder kurz:
Ich habe mich auf Wunsch abgehauen worden lassen *g*.

[SkeeveDCD]

@Nautilus:

Signaturen sind da um bekannte Viren zu "erkennen", nicht um unbekannte Varianten zu erkennen. McAfee verkauft das gerne als "Fuzzy Signature" oder "Family Signature", aber mit genauer Variantenunterscheidung hat das ja mal gar nichts mehr zu tun.

Nehmen wir mal an ein Virenscanner meldet per Signatur "W32/Lovesan.A erkannt". Das ist eigentlich gelogen. Anhand der Signaturen wurden einige wenige Bytes gefunden, die auch im Lovesan.A vorkommen. Ob es wirklich Lovesan.A ist oder eine Variante die evtl. ein voellig unterschiedliches Payload hat und voellig anders gereinigt werden muss (weil sie z.B. Daten auf der HDD crypted) - voellig egal. Hauptsache Virus gefunden. In meinen Augen ist diese Vorgehensart nur ein Alibi fuer eine schwache oder nicht vorhandene Heuristik und eine Notloesung. Eine erstrebenswerte Dauerloesung ist die Fehlerkennung von Varianten mit Signaturen ganz sicher nicht.

[Gast_Nautilus_*]

@Skeeve Ich glaube, wir reden immer noch aneinander vorbei oder ich verstehe nicht, was Du meinst.

Ich will mit den Sigs doch Trojaner und keine Viren erkennen. Und ich will bekannte (und keine unbekannten) Trojaner erkennen. Was ich in erster Linie mit dem Signaturpool verhindern will, ist das um eine Single Point Signatur herumgepatched wird.

Beispiel: KAV erkennt OptixLite 0.4 indem es an einem bestimmten Offset nach folgendem Hexcode sucht:

6A 00 = push 00000000
E8 34 64 FF FF = call 0040498C

Der erfahrene Patcher überschreibt die zweite Codezeile mit einem JMP und springt erst von dort zum Adresse des Calls.

Würde KAV allerdings in der nächsten Woche eine andere Signatur verwenden, würden plötzlich alle gepachten Trojaner erkannt. Und das wäre doch gut oder?

Nautilus

Der Beitrag wurde von Nautilus bearbeitet: 09.09.2003, 18:19

[SkeeveDCD]

ch will mit den Sigs doch Trojaner und keine Viren erkennen. Und ich will bekannte (und keine unbekannten) Trojaner erkennen.

Mein Fehler. Einigen wir uns auf "Malware". ;-)

Was ich in erster Linie mit dem Signaturpool verhindern will, ist das um eine Single Point Signatur herumgepatched wird.

Wodurch du eine neue Variante erzeugst. Wenn KAV mit der naechsten Signatur (die dem Malware-Autor nicht bekannt war) dann weiterhin fleissig Trojan.XYZ.A meldet ist das eigentlich falsch.

In deinem Fall hast du die Funktionsweise der Malware nicht geaendert - aber was ist wenn da einer unwissend durch das Rumpatchen die Funktionsweise aendert?


Im Gegenteil, du lieferst mir sogar noch Argumente gegen den Einsatz von Signaturen und pro Bereichspruefsumme - fuer die Variantenunterscheidung. Dank der decodierten Signaturen koennte ja ein Malware-Autor sein Werk mit Absicht fehlerkennen lassen um die Reinigung zu erschweren. Oder Systemdateien mit den Signaturen von anderer Malware flodden. Der User kriegt die Meldung "Trojan XYZ in Datei EXPLORER.EXE gefunden - loeschen?" Mal sehen wieviele der DAUs "ja" druecken.

[Gast_Nautilus_*]

"aber was ist wenn da einer unwissend durch das Rumpatchen die Funktionsweise aendert?"

Eigentlich ist das gerade das gute an den KAV-Sigs. Sie sind "hart" und damit relativ sicher. Wer an dieser Sig etwas planlos verändert, zerstört den Trojaner. Er läuft dann nicht mehr.

"Dank der decodierten Signaturen koennte ja ein Malware-Autor sein Werk mit Absicht fehlerkennen lassen um die Reinigung zu erschweren. Oder Systemdateien mit den Signaturen von anderer Malware flodden."

Es ist natürlich ganz schlimm, dass die Sigs von KAV bekannt worden sind. Aber da würde jetzt wohl nur noch eine komplett neue Signaturdatenbank helfen. Und das wäre richtig viel Arbeit.

"Im Gegenteil, du lieferst mir sogar noch Argumente gegen den Einsatz von Signaturen und pro Bereichspruefsumme"

Wie funktioniert das mit einer Bereichsprüfsumme genau? Ist das eine Checksumme über einen grösseren Bereich der Datei? Würde sich dadurch (infolge der Signaturgrösse) das Patchen drastisch vereinfachen? Und ist es deshalb beim Einsatz von Bereichsprüfsummen besonders wichtig, ZUSÄTZLICH über eine hervorragende Heuristik zu verfügen, um auch unbekannte Varianten aufgrund einer Verhaltensanalyse identifizieren zu können?

Gruss, Nautilus

Der Beitrag wurde von Nautilus bearbeitet: 09.09.2003, 18:43

[Gast_Bo Derek_*]

P.S.: Kann das Schlammcatchen zwischen den AV Codern nicht in ein separates Topic in der Schmuddelecke verlegt werden?

Das ist eine Schnuddelecke und keine Schmuddelecke - ein kleiner aber feiner Unterschied. Im betreffenden Forum gibt es auch einen festgenagelten Thread mit der Erklärung, was eine Schnuddelecke sein kann