Contournement de WS.Reputation.1 (Norton)

Jai donc essayé de créer une porte dérobée par moi-même en utilisant python (pour un cours), comme veil continuait à être détectée. Tout sest bien passé sur ma machine virtuelle Windows 10 et mon ancien ordinateur portable Windows 7. Cependant, lorsque jai copié le fichier .exe sur ma machine Windows 10, Symantec la détecté à laide de « WS.Reputation.1 » et la placé en quarantaine.

Quelquun peut-il me dire exactement ce qui déclenche ce déclenchement ? Est-il possible daugmenter son « score de réputation »? Ou peut-être contourner cela par le code ou les arguments pyinstaller?

Merci davance!

Réponse

WS.Reputation.1 détecte les fichiers et effectue une analyse avec les données de la communauté dutilisateurs Norton (si vous avez installé le produit Norton, est une case à cocher vous demandant si vous souhaitez vous inscrire au programme de surveillance de la communauté Norton « ), lanalyse est comparée aux données de la foule et un score est placé. Si le score de réputation est faible, il y aura donc probablement des risques pour la sécurité. La technologie sous-jacente est la technologie de sécurité de Norton basée sur la réputation.

Extrait de Norton:

Le système basé sur la réputation utilise « la sagesse des foules » ( Les dizaines de millions dutilisateurs finaux de Symantec) connectés à lintelligence basée sur le cloud pour calculer un score de réputation pour une application et, ce faisant, identifier les logiciels malveillants dune manière entièrement nouvelle au-delà des signatures traditionnelles et des techniques de détection basées sur le comportement.

Pour une explication approfondie du fonctionnement de la technologie et de son déclenchement. Il repose sur un certain nombre de facteurs (basés sur ce que je sais jusquà présent).

1. Nouveauté Quelle est la nouveauté du fichier observé dans la communauté.

2. Signature numérique Recherche les fichiers signés. Les demandes personnalisées ou développées en interne doivent être signées numériquement avec des certificats numériques de classe trois.

3. Heuristique Quappelle exactement la procédure de fichier. Est-ce quil écrit dans le registre? Démarrer les processus parent-enfant? Accéder au dossier protégé de Windows?

Quelque chose que vous voulez considérer pour réduire le risque dêtre détecté. Cela dit, je crois que ce nest pas ici un endroit pour discuter en détail du «contournement» de toute technologie. 🙂

Que pouvez-vous faire en tant que testeur ou développeur. Vous souhaiterez peut-être réduire la protection Norton paramètres de niveau pour permettre des conditions ou un environnement de test anti-FP. Et aussi Age & Paramètres de prévalence pour autoriser les « nouveaux » fichiers inconnus.

Deuxièmement, lorsque vous développez un fichier de test, il nest pas nécessaire de le soumettre au Équipe AV comme un faux positif. De plus, vous testez une porte dérobée, donc aucun moyen de lajouter à une liste blanche. Mais bien sûr, vous pouvez faire votre part en fournissant peut-être de meilleures détections pour de futures détections audiovisuelles.

Commentaires

  • Cela répond beaucoup, merci beaucoup!

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *