content:"Accept: * / *"; content:!"|0d0a|referer:"; nocase; classtype:trojanactivity; sid:2000004; rev:1;)

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"TROJAN Malicious Beacon URI";

uricontent:"58"; content:!"|0d0a|referer:"; nocase; pcre:

"/GET \/([12]{0,1}[0-9]{1,2}){4}58[0-9]{6,9}58(4[89]|5[0-7]|9[789]|10[012]){8} HTTP/";

classtype:trojan-activity; sid:2000005; rev:1;)

Понимание психологии злоумышленника

Разрабатывая стратегию сигнатуры, попробуйте поставить себя на место оппонента. Авторы вредоносного ПО постоянно играют в кошки-мышки. Их цель — слиться с обычным трафиком, избежать обнаружения и обеспечить успешное выполнение текущих атак. Как и любым другим разработчикам, им не так уж просто обновлять свои программы, поддерживать их актуальность и совместимость с меняющимися системами. Любые необходимые изменения должны быть минимальными, иначе может быть нарушена целостность кодовой базы программы.

Как было показано ранее, применение нескольких сигнатур, нацеленных на разные участки вредоносного кода, делает процесс обнаружения менее восприимчивым к изменениям во вредоносном ПО. Злоумышленники часто делают небольшие правки, чтобы обойти определенную сигнатуру. Но когда таких сигнатур несколько и все они относятся к отдельным аспектам взаимодействия, вредонос не уйдет от обнаружения, даже если часть его кода была обновлена.

Вот несколько советов, которые помогут вам использовать слабые места разработчиков вредоносных программ.

Обращайте внимание на элементы протокола, общие для обеих сторон. Изменять код проще, если делать это только на клиенте или сервере. Ищите аспекты протокола, для которых используется код с обеих сторон, и создавайте на их основе сигнатуры. Чтобы сделать такие сигнатуры устаревшими, злоумышленнику придется приложить много дополнительных усилий.

Сосредоточьтесь на элементах протокола, которые являются частью ключа.

Некоторые встроенные в код элементы протокола часто используются в качестве ключа. Это может быть, к примеру, строка User-Agent, которая служит ключом аутентификации и позволяет обнаружить (и, возможно, перенаправить) подозрительное сканирование. Для обхода такой сигнатуры автору вредоносного ПО придется менять код на обеих сторонах.

Определите элементы протокола, которые не совсем очевидно отражаются в трафике. Иногда одновременные действия нескольких защитных механизмов могут усложнить обнаружение вредоносной программы. Если другая система защиты содержит сигнатуру, которая успешно справляется с вредоносом,

злоумышленник может быть вынужден откорректировать свой код, чтобы ее обойти. Если вы полагаетесь на ту же сигнатуру или схожие аспекты коммуникационного протокола, эта коррекция повлияет и на вас. Чтобы ваши сигнатуры не устаревали из-за реакции злоумышленников на другие защитные механизмы, пытайтесь находить такие свойства вредоносной активности, которые могут быть проигнорированы другими системами. Сведения, полученные в результате тщательного наблюдения за вредоносом, помогут вам разработать более устойчивую сигнатуру.

Итоги главы

Из этой главы вы узнали, как злоумышленники используют сеть для управления вредоносным ПО. Мы также рассмотрели некоторые методики, с помощью которых вредоносный код скрывает свою активность и маскируется под обычный сетевой трафик. Аналитик безопасности может повысить эффективность сетевой защиты, если будет понимать процесс генерации сигнатур.

Мы продемонстрировали несколько преимуществ, которые дает углубленный анализ при разработке сигнатур по сравнению с поверхностным исследованием перехваченного трафика или поведения вредоносной программы в изолированной среде. Сигнатуры, основанные на анализе вредоносного ПО, могут оказаться более точными, а их низкий уровень ложных срабатываний достигается за счет меньшего количества проб и ошибок. Кроме того, они имеют больше шансов обнаружить новые вариации того же зараженного кода.

Эта глава была посвящена тому, что часто оказывается конечной целью базового анализа вредоносного ПО, — разработке эффективных контрмер для защиты от будущих атак. Мы исходили из того, что хорошего понимания принципа работы вредоносной программы можно достичь с помощью динамического и статического анализа. Однако в некоторых случаях злоумышленники предпринимают активные действия, чтобы сделать эффективный анализ невозможным. Эти методики, а также шаги, позволяющие полностью разобрать и изучить зараженный код, будут рассмотрены в следующих главах.

Лабораторные работы

В этой главе лабораторные работы посвящены поиску сетевых компонентов во вредоносном ПО. В определенной степени они основаны на лабораторных из главы 13, так как при разработке сетевых сигнатур часто приходится иметь дело с закодированными данными.

Лабораторная работа 14.1

Проанализируйте зараженный файл Lab14-01.exe. Эта программа не причинит вред вашей системе.

1.Какие сетевые библиотеки использует этот вредонос и в чем их преимущество?

2.Из каких исходных элементов состоит сетевой сигнал и при каких условиях он может поменяться?

3.Какой интерес может представлять для злоумышленника информация, встроенная в сетевой сигнал?

4.Использует ли вредонос стандартную кодировку Base64? Если нет, то что необычного в его методе кодирования?

5.Каково общее назначение данной программы?

6.Какие аспекты ее взаимодействия можно эффективно выявлять с помощью сетевой сигнатуры?

7.Какие ошибки могут быть допущены при разработке сигнатуры для этого вредоноса?

8.Какой набор сигнатур способен обнаружить эту программу (и ее потенциальные вариации)?

Лабораторная работа 14.2

Проанализируйте зараженный файл Lab14-02.exe. Чтобы не навредить вашей системе, адрес отправки сигнала, встроенный в его код, был изменен на локальный, но представьте, что этот статический адрес является внешним.

Вопросы

1.Каковы преимущества и недостатки использования статических IP-адресов в коде вредоносной программы?

2.Какие сетевые библиотеки использует этот вредонос? Каковы их преимущества и недостатки?

3.Из какого источника вредонос берет URL-aдрес для отправки сигнала? В чем преимущества этого источника?

4.Какой аспект HTTP-протокола вредонос использует для достижения своих целей?

5.Какого рода информация передается в начальном сигнале?

6.Какими недостатками обладает структура коммуникационных каналов вредоноса?

7.Является ли стандартным метод кодирования, который применяется вредоносом?

8.Каким образом завершается взаимодействие?

9.Каково назначение этого вредоноса и какую роль он может играть в арсе-

нале злоумышленника?

Лабораторная работа 14.3

Эта работа основана на лабораторной работе 14.1. Представьте, что с помощью данной вредоносной программы злоумышленник пытается улучшить свои навыки. Проанализируйте зараженный файл Lab14-03.exe.

Вопросы

1.Какие элементы начального сигнала встроены в код? Какие из них могут составить хорошую сигнатуру (если таковые имеются)?

2.Какие элементы начального сигнала могут плохо сказаться на долговечности сигнатуры?

3.Каким образом вредонос получает свои команды? В каком из примеров этой главы использовалась похожая методология? Каковы ее преимущества?

4.Как вредонос проверяет, что полученные им данные являются корректной командой? Каким образом злоумышленник прячет список команд, которые ищет вредонос?

5.Какой метод кодирования используется для аргументов команд? Чем он отличается от Base64 и какими преимуществами или недостатками обладает?

6.Какие команды доступны для этого вредоноса?

7.Для чего этот вредонос предназначен?

8.В этой главе вы познакомились с идеей обнаружения разных участков кода с помощью отдельных сигнатур (где это возможно), что позволяет придать сетевым индикаторам большую устойчивость. Выделите определенные места в коде или конфигурационных данных, которые могут быть подходящей целью для сетевых сигнатур.

9.Какой набор сигнатур следует использовать для этого вредоноса?

Часть V Противодействие обратному проектированию

Антидизассемблирование — это внедрение в программу специально подобранного кода или данных, чтобы инструменты, которые выполняют дизассемблирование, выдавали некорректный результат. Авторы вредоносного ПО работают по этой технике в ручном режиме, используя отдельные средства для построения и развертывания программ или вмешиваясь в исходный код вредоноса.

Любая вредоносная программа создается с определенной целью. Это может быть запись нажатий клавиш, скрытый доступ, использование атакуемой системы для рассылки большого количества электронных писем, которые должны выводить из строя серверы, и т. д. Но часто злоумышленники на этом не останавливаются и применяют специальные методики, чтобы скрыть свой код от пользователей или системных администраторов. Для этого они используют руткиты, внедрение в процессы или какие-то другие средства защиты от анализа и обнаружения.

Чтобы замедлить или предотвратить анализ своих программ, многие авторы вредоносов применяют методики антидизассемблирования. Любой успешно выполняемый код поддается изучению, но уровень навыков, который для этого требуется, можно повысить за счет противодействия дизассемблированию и отладке. Продолжительный процесс расследования может быть затруднен неспособностью аналитика безопасности понять возможности вредоносного ПО, разработать действенные локальные и сетевые сигнатуры и написать алгоритмы декодирования. Эти дополнительные уровни защиты могут оказаться не по зубам многим организациям, что потребует поиска сторонних специалистов или крупномасштабных исследований для выполнения обратного проектирования.

Помимо задержки или предотвращения ручного анализа антидизассемблирование также эффективно против определенных автоматизированных средств. Многие алгоритмы сопоставления вредоносов и эвристические антивирусные системы используют дизассемблирование для классификации зараженного кода. Любой ручной или автоматический процесс, в котором рассматриваются отдельные программные инструкции, чувствителен к приемам защиты от анализа, описанным в этой главе.

Понимание антидизассемблирования

Дизассемблирование — непростая задача. Цепочки исполняемого кода могут быть представлены в ассемблере разными способами, и некоторые из них могут оказаться некорректными или скрывать настоящие возможности программы. В ходе реализа-

ции методик антидизассемблирования авторы вредоносного ПО создают цепочки, из-за которых инструкции, выводимые дизассемблером, отличаются от реально выполняемых.

Злоумышленники пользуются ограничениями дизассемблера и тем, что его результат может быть основан на предположениях. Например, с точки зрения дизассемблера любой байт программы обязан принадлежать только одной инструкции. Если подсунуть ему неправильный сдвиг, настоящая инструкция может скрыться из виду. Рассмотрим следующий фрагмент дизассемблированного кода:

Этот код был получен путем линейного дизассемблирования и является некорректным. При его чтении мы упускаем часть информации, которую автор пытается спрятать. Мы видим нечто, выглядящее как инструкция call, но ее аргумент не имеет смысла . Переход jmp, указанный в самом начале, тоже неправильный, потому что его цель находится посреди следующей инструкции.

Теперь посмотрите на ту же последовательность байтов, дизассемблированную другим способом:

Здесь мы видим другой набор мнемонических инструкций, и выглядит он более вразумительно. На шаге происходит вызов API-функции Sleep. Первый экземпляр jmp на этот раз представлен верно; он переходит к инструкции push, которая идет за вызовом Sleep. В третьей строке этого примера находится байт 0xE8, но он не выполняется программой, поскольку инструкция jmp через него перескакивает.

Этот фрагмент был получен путем поточного дизассемблирования, а не линейного, как ранее. В данном случае это привело к более правильному результату, поскольку его логика точнее отражает работу реальной программы и содержит оригинальные байты, которые не являются частью потока выполнения. Подробнее о линейном и поточном дизассемблировании мы поговорим в следующем разделе.

Дизассемблирование не такое простое, каким могло показаться. Приведенные здесь примеры содержат совершенно разные наборы инструкций для одних и тех же байтов. Это показывает, что методики антидизассемблирования могут привести