пятница, 21 января 2011 г.

Атака на антивирусные облака

На днях у себя в блоге MS опубликовала заметку о китайском троянце, который использует техники противодействия облачным антивирусным технологиям. С точки зрения приманки для журналистов все сработало, ибо заявление достаточно интересное, но на самом деле сей троянец достаточно прост и никаких инноваций в себе не несет.

Итак, способы противодействия облакам:
- при установке в файлы добавляются блоки случайного разного размера содержащие случайные данные, видимо для того, чтобы хешики сбивать.


- второй способ, это установка Windows Sockets service provider interface (SPI) filter для фильтрации пакетов на уровне сокетов.

- третий способ, похож на второй, но видимо для верности китайцы решили фильтровать все GET/POST запросы на уровне NDIS на содержание в них следующего списочка URL (на уровне сокетов отфильтровывается тот же список):

rsup10.rising.com.cn
rsdownauto.rising.com.cn
cloudinfo.rising.com.cn
cu005.www.duba.net
cu010.www.duba.net
cu.www.duba.net
f-sq.ijinshan.com
geo.kaspersky.com
stat.ijinshan.com
qup.f.360.cn/file_health_info.php
h.qup.f.360.cn/file_health_info.php
up.f.360.cn/upload_token.php
up.f.360.cn/upload.php
down.360safe.com/SuperKiller.exe
dl.360safe.com/SuperKiller
sdup.360.cn
l.360safe.com
sdupm.360.cn
qsys.f.360.cn


Так как фантазии у китайцев явно не хватка, драйвер построен полностью на базе примера passthru из DDK :)

Вот такие "шокирующие" данные показали товарищи из трендов:


То есть получается все достаточно примитивно, просто сбивается хеш для файла и блокируется отсылка данных в облака для распространенных в Китае антивирусов. Но кажется мне, что техники для борьбы с облаками в будущем будут совершенствоваться, ибо только аутсайдеры сейчас не имеют в своем арсенале подобных технологий. В дальнейшем я думаю мы увидим много интересного, в том числе и попытки накачки облаков фальшивыми данными.