Firmas absurdas (antivirus)
En VirusTotal vemos muchas cosas "raras" al comparar resultados, pero la disparidad en eficacia de detección y nomenclaturas siempre ha existido. El caos se confirma cuando te pones a revisar muestras concretas, algo que llevo viendo de un tiempo a esta parte con "bankers" y familias de troyanos similares, resultando que ni son un banker, ni son un troyano, ¡ni son malware!.
El caso es que esa misma noche, mientras buscaba unas muestras para Julio (jcanto) y Sergio (delossantos) que tenían que dar una charla sobre malware junto, pero no revueltos, con Microsoft (Parada y Chema, me la perdí), terminé topándome con uno de los ejemplos más absurdos que había utilizado años atrás: el "anzuelo".
Esa muestra la encontré a finales de los 90 haciendo una comparativa para PCActual, donde introducimos por primera vez la categoría de "novirus" (no confundir con "falso positivo"), y recuerdo haberla utilizado posteriormente en un par de charlas, en 2003 y 2004. No deja de ser una anécdota, pero es útil ponerla de ejemplo por lo absurda que resulta.
Siempre he dado por sentado de que se trata de un "goat" que se había colado en alguna colección de virus. Ese término se utiliza para llamar a un ejecutable normalmente simplón, una especie de cebo, que se sacrifica para ver como un virus lo infecta y se introduce en su interior. Hoy día no tiene mucho sentido porque se ven pocos virus, pero hace años era una técnica muy utilizada.
No se si sería la falta de sueño, el caso es que relacioné esa muestra anecdótica con lo que había comentado horas antes, y se me vino a la cabeza que podría haberse dado una situación aun más absurda que la original.
Recordaba que durante una charla en 2004, presentando VirusTotal junto a Julio, hablaba sobre la debilidad intrínseca de las firmas y como una mínima modificación podía hacer que un antivirus no detectara una muestra. Entre otras demostraciones con gusanos VBS y malware binario, en una ocasión hice una pequeña modificación al anzuelo.com, en concreto intercambié la posición de un par de MOV consecutivos para que al pasar la muestra por VirusTotal "fallara" un motor antivirus en la detección (realmente no debían detectarlo, ya que no es malware, pero fallaba la firma que tenían para detectar ese archivo).
Para los que tengáis más "oxidao" el ensamblador, la instrucción MOV lo que hace es mover datos a registros o celdas de memoria. En el caso que nos ocupa es similar a tener por ejemplo A=3, B=2, A+B, y tras la modificación queda como B=2, A=3, A+B (es decir, que no alteraba en nada la ejecución del programa, el resultado a nivel práctico sería el mismo).
Pues como contaba, el cerebro es traicionero (más a las 3 de la mañana), se me vino a la cabeza la remota y absurda posibilidad de que, visto el caos reinante, aquella muestra que modifiqué aquel día y pasé por VirusTotal hubiera llegado a los laboratorios antivirus y la hubieran introducido en sus firmas. En realidad, aparentemente, no hay ninguna razón por la que un laboratorio antivirus tras analizar esa muestra decida introducirla en sus firmas, al menos una razón "decente". Achacarlo a un error tampoco es una opción (son 41 bytes, un "print [cadena]").
Si el "original" sólo lo detectaba aun McAfee, he aquí el resultado del "modificado"...
Inquietante...
¿qué un archivo sea detectado por varios motores como malware te garantiza que lo sea?
¿hay laboratorios que tienen el gatillo fácil y manga ancha a la hora de meter nuevas firmas o simplemente copian los resultados de otros sin pararse a analizar las muestras?
¿cuantas muestras mal catalogadas como malware componen las colecciones ZOO de comparativas/certificaciones?
¿estamos premiando la fuerza bruta sin razón (detectar cosas que no son malware) frente a la calidad de las firmas y detecciones?
Fuente: http://blog.hispasec.com/laboratorio/188
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!