¿Deben ser detectados los packers?
Mi comentario entonces era que en el perímetro si tienen sentido este tipo de heurísticas, ya que los falsos positivos no son importantes ni se perciben por el usuario. Mi post también venía a cuento para dejar claras las diferencias entre resultados de porcentaje de detección entre antivirus orientados a la estación de trabajo o al perímetro, por lo que no se deben mezclar como se está haciendo últimamente en comparativas con los resultados de VirusTotal.
En el post del blog de Panda Research van un poco más lejos, y se preguntan hasta que punto sería interesante o no hacer este tipo de detección de packers a nivel de host.
Si me preguntan a bote pronto, sospecho que puede haber problema con software legítimo. ¿Puede ser manejable con listas blancas? Sí, y probablemente lleve mucho menos esfuerzo identificar el software legal que utilice packers que el aluvión constante de malware que también lo utiliza. Pero seguiría siendo un enfoque reactivo de cara al software legal.
¿Quién me compensa a mí, desarrollador legítimo, los problemas de que mi software sea erróneamente bloqueado por un antivirus? (aunque sea corregido a posteriori al meterlo en una lista blanca o goodware). ¿Me voy a ver en la obligación de enviar mi software a los antivirus antes de publicarlo?. ¿O me van a "obligar" a no poder utilizar packers?
Otra vertiente son las empresas que se dedican a vender legítimamente este tipo de herramientas, el hecho de que sean comerciales no les impide utilizarlas asiduamente a los creadores de malware. Supongo que ahí si habría problemas legales si se opta por una política agresiva de detección de packers.
Todo lo anterior no dejan de ser prejuicios, más o menos argumentados y justificados, pero realmente no tengo datos fiables al respecto. En VirusTotal si sabemos a ciencia cierta que un porcentaje elevado del malware utiliza packers, en eso está todo el mundo de acuerdo, la cuestión es si el software legítimo lo utiliza o no.
En vez de seguir elucubrando... voy a hacer una pequeña prueba de concepto en mi portátil Windows. No tiene mucho software instalado de forma que no es muy representativo, pero a estas horas de la madrugada en las que me he puesto a escribir no puedo hacer nada más serio (prometo echarle un ojo tanto en entornos corporativos como en PCs domésticos).
En el directorio de Windows, efectivamente no encuentro packers (menos mal), tan sólo algunos archivos de Microsoft comprimidos con CAB, que podríamos considerar entre los formatos confiables.
En el directorio de Archivos de Programas si nos encontramos con cosas. Por ejemplo, AdobeUpdateManager.exe (del Adobe Acrobat Reader) está empaquetado con PeCompact, NeVideoFX.dll (de Nero) con ASProtect, msa.dll (plugin de Ahead) con ASPack, fldrview.ocx (de Hewlett-Packard) también con ASPack, etc. Son programas legítimos que si utilizan packers también ampliamente utilizados por el malware.
Para confirmar que mis prejuicios no van mal encaminados, paso por VirusTotal los que más nombre tienen y deben estar muy difundidos (los archivos empaquetados de Adobe Acrobat Reader y Hewlett-Packard).
No comments.
Me voy a un directorio donde tengo muestras de malware para análisis, y aquí la cosa si se dispara como era de esperar. El más utilizado es UPX, y después le sigue una larga lista, como Themida, yoda, SVKP, Petite, ASPack, PE Pack, FSG, EXE Shield, PEncrypt, tElock, PC-Guard, Morphine, PELock, nSPack, UltraProtect,...
Algunos claramente si podrían ser candidatos a detecciones más genéricas, después también tenemos un grupo importante que se vende como software comercial, como por ejemplo ASPack o Themida, y que son habitualmente utilizados por el malware. Ahí seguro que habría guerra legal.
Es un tema interesante para seguir dándole vueltas, a ver de que forma correlacionándolo con otros indicadores se puede minimizar el número de falsos positivos que están provocando hoy día algunos antivirus. Está claro que de momento el malware gana la batalla por fuerza bruta, así que hay que buscar caminos alternativos, ideas son bienvenidas :)
Fuente: http://blog.hispasec.com/laboratorio/196
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!