WS.Reputation.1 우회 (Norton)

그래서 저는 베일이 계속해서 점점 커지면서 파이썬을 사용하여 (강좌 용) 백도어를 만들려고했습니다. 감지되었습니다. 내 Windows 10 VM과 이전 Windows 7 노트북에서 모두 잘 작동했습니다. 그러나 .exe 파일을 Windows 10 시스템에 복사했을 때 시만텍은 “WS.Reputation.1″을 사용하여 파일을 탐지하고 검역소로 옮겼습니다.

누군가가 이것이 트리거되는 원인을 정확히 말해 줄 수 있습니까? ? “평판 점수”를 높일 수있는 방법이 있습니까? 아니면 코드 나 pyinstaller 인수를 통해이를 우회 할 수 있습니까?

미리 감사합니다!

답변

WS.Reputation.1 는 파일을 탐지하고 Norton 사용자 커뮤니티의 데이터로 분석을 수행합니다 (Norton 제품을 설치 한 경우 Norton 커뮤니티 감시 프로그램에 참여할 것인지 묻는 확인란입니다. “), 분석은 군중 데이터와 일치하고 점수가 매겨집니다. “평판 점수가 낮 으면 보안 위험이있을 수 있습니다. 그 배후 기술은 Norton의 평판 기반 보안 기술입니다.

발췌 Norton 제공 :

평판 기반 시스템은 “군중의 지혜”( 시만텍의 수천만 명의 최종 사용자)는 클라우드 기반 인텔리전스에 연결하여 애플리케이션에 대한 평판 점수를 계산하고 그 과정에서 기존 시그니처 및 행동 기반 탐지 기술을 뛰어 넘는 완전히 새로운 방식으로 악성 소프트웨어를 식별합니다.

기술의 작동 방식과 작동 방식에 대한 자세한 설명입니다. 여러 요인에 따라 달라집니다 (지금까지 알고있는 내용을 기반으로 함).

1. 새로움 커뮤니티에서 파일이 얼마나 새롭습니까?

2. 디지털 서명 서명 된 파일을 찾습니다. 맞춤형 또는 가정용 애플리케이션은 클래스 3 디지털 인증서로 디지털 서명해야합니다.

3. 휴리스틱 파일 프로 시저가 정확히 무엇을 호출합니까? 레지스트리에 기록합니까? 부모-자식 프로세스를 시작 하시겠습니까? Windows 보호 폴더에 액세스하십니까?

감지 가능성을 줄이기 위해 고려할 사항입니다. 그것은 내가 여기에서 기술을 “우회”하는 것에 대해 자세히 논의 할 곳이 아니라고 생각한다. 🙂

테스터 또는 개발자로서 수행 할 수있는 작업. Norton 보호 기능을 줄일 수 있습니다. FP 회피 조건 또는 테스트 환경을 허용하는 수준 설정. 또한 “새”알 수없는 파일을 허용하는 연령 & 보급률 설정도 있습니다.

두 번째로 “테스트 파일을 개발할 때”에 제출할 필요가 없습니다. 오탐으로 AV 팀. 또한 백도어를 테스트하고 있으므로 화이트리스트에 추가하지 않습니다. 물론 향후 AV 감지를 위해 더 나은 감지를 제공하는 데 귀하의 역할을 할 수 있습니다.

댓글

  • 많은 답변이 있습니다. 정말 감사합니다!

답글 남기기

이메일 주소를 발행하지 않을 것입니다. 필수 항목은 *(으)로 표시합니다