web-dev-qa-db-ja.com

アンチウイルス回避テスト:VMをAVと共に使用してペイロード検出をテストする

ベールやハイペリオンなどのツールを使用して、侵入テストのためにAVを回避します。検出率が高くなる(または特別な注意が必要になる)ため、ウイルス総数にアップロードすることはお勧めしません。私の理解では、Virus Totalにアップロードすると、ペイロード/そのシグネチャがAVデータベースに入れられる可能性が十分にあります。

つまり、回避する必要のあるAVがわからない場合は、次の手順を実行するのが適切でしょう。

  • サブスクリプションを購入して、最も人気のあるAV x

  • それらをVMにインストールする

  • 彼らが最新のデータベースを持つように更新する

  • ネットワーク接続を遮断します(ペイロードを報告できないため)

  • ペイロードをスキャンする

1)これにより、ペイロードがAV DBに到達する/検出されないようにしますか?

2)これを行うより良い方法はありますか? Virus Totalではハッシュをチェックできますが、AVが使用する他のヒューリスティックが存在する必要があります。

3)そうでない場合、VMまたは誰かがこれを行うために作成したツールはありますか?

ありがとうございました。

malwareexploitantivirus
6
ucklvs

いくつかの調査の後、私は答えに来たと思います。私は私の質問を明確にする必要があるかもしれませんが、ナットシェルで私がやろうとしているのはこれです:私はできるだけ多くのウイルス対策エンジン/データベースに対して自分のペイロードをテストできるようにしたいと思います。通常、これはウイルスの合計で行いますが、サンプルをアップロードすると、ペイロードが検出される可能性が高くなると言われています。言い換えると、VTにアップロードされたサンプルは「特別な注意」を受け、ほとんどのツールはユーザーがアップロードするのを妨げます。

私のソリューションは、さまざまなウイルス対策ソフトウェアを含むVMでサンプル/ペイロードをスキャンすることです。私の検索で、これを行うツールを見つけました。つまり、それは私がユーザーとして完全な制御を保持しているオープンソースのウイルス合計です。

会う 悪意 。 Maliceは、さまざまなAVを含むDockerコンテナーを起動することで機能します。それらのほとんどは無料ですが、サブスクリプションを支払ったAVのプロダクトキーを提供することもできます。これはまさに私が探していたものです。これでmalice scan sketchy.exeのようなコマンドを実行でき、デフォルトのAVエンジンに対してスキャンします。ウイルスの合計ほど完全ではありませんが、これで十分です。本当にクールなプロジェクトであり、活発な開発が続けられていることを願っています。

これは私の質問に答えますが、誰かがより良い解決策を知っている可能性があるので、私は自分の答えを受け入れるまで少なくとも数日待ちます。

@atdreが述べたように、そのようなツールは他にもたくさんあります。 opswat.com/solutions/multi-scanning irma.quarkslab.com/overview.html github.com/PlagueScanner/PlagueScanner github.com/joxeankoret/multiav herdprotect.com

1
ucklvs

ペイロードのバリエーションをVirusTotalにアップロードする方法など、ペイロード検出をテストする方法は多数あります。

VirusTotalにアップロードする場合は、 Recomposer を使用して、実行内容を少し変更することを検討してください(それらのバリエーションを提供します)。

より高度なペイロードを探している場合は、このリソース- https://github.com/nccgroup/Winpayloads -または上記の元の質問に対する私のコメントで述べたものを確認してください。

0
atdre

上記の回答を完了し、さらにリソースを追加するために、私はyaraルールの使用も提案します。 loki など、yaraルールを使用してさまざまな種類のマルウェアを検出する多くのツールがあります。彼らは有名なアンチウイルスといくつかのカスタムのものからのシグネチャの膨大なリストを持っています。このツールとは別に、悪意のあるファイルを計算するための一般的なルールを提案します。

さまざまな種類の分析を行うには、ローカルで Cuckoo Sandbox を設定するか、オンラインプラットフォームを直接使用します。

私の一般的な提案は、ローカルで実行できるいくつかのツール(VM、スクリプト、コンテナーなど)を見つけてセットアップまたは作成することです。これにより、それらのアクションと、それらがデータを送信せず、公開しないことを確認できます。あなたのアーティファクト。

ハッピーハンティング!

0
Chris Tsiakoulas