Dus ik probeerde zelf een achterdeur te creëren met python (voor een cursus), omdat de sluier steeds groter werd gedetecteerd. Alles ging goed op mijn Windows 10 VM en mijn oude Windows 7-laptop. Toen ik het .exe-bestand echter naar mijn Windows 10-machine kopieerde, detecteerde Symantec het met “WS.Reputation.1” en plaatste het in quarantaine.
Kan iemand me vertellen waardoor dit precies wordt geactiveerd ? Is er een manier waarop ik de “reputatiescore” kan verhogen? Of misschien omzeilen dit door middel van code of pyinstaller-argumenten?
Bij voorbaat dank!
Antwoord
WS.Reputation.1 detecteert bestanden en voert analyses uit met gegevens van de Norton-gebruikersgemeenschap (als u het Norton-product heeft geïnstalleerd, is een selectievakje waarin u wordt gevraagd of u zich wilt aanmelden voor het Norton-programma voor gemeenschapsbewaking “), de analyse wordt vergeleken met de gegevens van het publiek en er wordt een score geplaatst. Als er “een lage reputatiescore is, zijn er waarschijnlijk beveiligingsrisicos. De technologie erachter is de op reputatie gebaseerde beveiligingstechnologie van Norton.
Uittreksel van Norton:
Het op reputatie gebaseerde systeem gebruikt “the wisdom of crowds” ( Symantecs tientallen miljoenen eindgebruikers) verbonden met cloudgebaseerde intelligentie om een reputatiescore voor een applicatie te berekenen en daarbij schadelijke software op een geheel nieuwe manier te identificeren, verder dan traditionele handtekeningen en gedragsgebaseerde detectietechnieken.
Wat betreft een diepgaande uitleg van hoe de technologie werkt en hoe deze wordt geactiveerd. Het is afhankelijk van een aantal factoren (gebaseerd op wat ik tot nu toe weet).
1. Nieuwheid Hoe nieuw is het bestand waargenomen in de gemeenschap.
2. Digitale handtekening Het zoekt naar ondertekende bestanden. Aangepaste of zelfgekweekte applicaties moeten digitaal worden ondertekend met digitale certificaten van klasse drie.
3. Heuristisch Wat roept de bestandsprocedure precies aan? Schrijft het naar het register? Ouder-kindprocessen starten? Toegang tot de door Windows beschermde map?
Iets dat u in overweging wilt nemen om de kans op detectie te verkleinen. Dat gezegd hebbende, geloof ik dat hier geen plaats is om in detail te discussiëren over het “omzeilen” van technologieën. 🙂
Wat kunt u doen als tester of ontwikkelaar. Misschien wilt u de Norton-bescherming verminderen niveau-instellingen om FP-averse condities of testomgeving mogelijk te maken. En ook Age & Prevalentie-instellingen om “nieuwe” onbekende bestanden toe te staan.
Ten tweede, als u een testbestand aan het ontwikkelen bent, hoeft u deze niet in te dienen bij de AV-team als een vals positief. Bovendien test je een achterdeur, zodat ze die op geen enkele manier aan een witte lijst toevoegen. Maar je kunt natuurlijk je steentje bijdragen door misschien betere detecties te bieden voor toekomstige AV-detecties.
Opmerkingen
- Dat geeft veel antwoord, heel erg bedankt!