Takže jsem se pokusil vytvořit backdoor sám pomocí pythonu (samozřejmě), protože závoj se stále dostával zjištěno. Všechno šlo dobře na mém Windows 10 VM a mém starém notebooku Windows 7. Když jsem však zkopíroval soubor .exe do svého počítače se systémem Windows 10, společnost Symantec jej detekovala pomocí „WS.Reputation.1“ a přesunula jej do karantény.
Může mi někdo říct, co přesně způsobuje, že se to spustí ? Existuje nějaký způsob, jak mohu zvýšit jeho „skóre reputace“? Nebo to můžete obejít pomocí argumentů kódu nebo pyinstalleru?
Díky předem!
Odpovědět
WS.Reputation.1 detekuje soubory a provádí analýzu na základě dat z komunity uživatelů Norton (Pokud jste nainstalovali produkt Norton, tam je zaškrtávací políčko vyžadující, pokud se chcete přihlásit k programu sledování komunity Norton „), analýza se porovná s daty davu a umístí se skórování. Pokud existuje nízké skóre reputace, pravděpodobně to budou bezpečnostní rizika. Technologie, která za tím stojí, jsou bezpečnostní technologie založené na reputaci společnosti Norton.
Výňatek od Norton:
Systém založený na reputaci používá „moudrost davů“ ( Desítky milionů koncových uživatelů společnosti Symantec) připojených k cloudové inteligenci k výpočtu reputačního skóre aplikace a v procesu identifikace škodlivého softwaru zcela novým způsobem přesahujícím tradiční podpisy a techniky detekce založené na chování.
Pokud jde o podrobné vysvětlení, jak technologie funguje a jak se spouští. Spoléhá se na řadu faktorů (na základě toho, co zatím znám.)
1. Novinka Jak nový je soubor pozorován v komunitě.
2. Digitální podpis Hledá podepsané soubory. Vlastní nebo domácí aplikace by měla být digitálně podepsána digitálními certifikáty třídy tři.
3. Heuristické Co přesně volá procedura souboru. Píše se do registru? Spustit procesy rodič-dítě? Přistupujete ke složce chráněné systémem Windows?
Něco, co byste měli zvážit, abyste snížili pravděpodobnost odhalení. To znamená, že věřím, že zde není místo, kde bychom mohli podrobně diskutovat o „obcházení“ jakýchkoli technologií. 🙂
Co můžete dělat jako tester nebo vývojář. Možná budete chtít snížit ochranu Norton nastavení úrovně umožňující podmínky averze FP nebo testovací prostředí. A také Age & Nastavení prevalence umožňující „nové“ neznámé soubory.
Zadruhé, když zde vyvíjíte testovací soubor, není třeba jej odesílat AV tým jako falešně pozitivní. Navíc testujete zadní vrátka, takže to v žádném případě nepřidávají do seznamu povolených. Samozřejmě se můžete podílet na zajištění lepší detekce pro budoucí detekce AV.
Komentáře
- To hodně odpovídá, díky moc!