Трояны Phrozen RunPE

rtyn · 10 Апр 2016

Перевод гугл

Phrozen RunPE детектор является программа безопасности, специально предназначенные для обнаружения и поражения некоторые подозрительные процессы с использованием шаблонного метода.

Мы в Phrozen Software делать вещи по-другому, более творчески. Поэтому, когда мы поставили перед собой задачу создать новый способ обнаружения, отключения и удаления крысами, мы не хотели взять маршрут любой другой антивирусный компания сделала перед нами.

Phrozen Software изучили поведение крысами и обнаружила, что хакеры практически всегда используют технику, называемую RunPE. Этот метод порождает законный процесс - часто браузером по умолчанию или системный процесс Microsoft - и заменить его на вредоносный программный код непосредственно в памяти. Ваш компьютер таким образом обманули и обрабатывает вредоносный код в качестве законного процесса. Пользователя и его антивирусная программа не имеют ни малейшего представления о том, что его браузер по умолчанию эффективно превратился в вирус.

RunPE является метод, который используется в нескольких вредоносных путей. Двумя наиболее распространенными являются:

[1] FWB (Firewall Bypass): Как следует из названия, этот метод реализован для обхода или отключить брандмауэр Application или правила брандмауэра.Поскольку большинство вредоносных программ необходимо подключиться к удаленному Командно-управления (C & C) сервера, он должен подключаться к Интернету через брандмауэр.
Поскольку большинство пользователей подключены к Интернету в домашних условиях , как правило, установлен брандмауэр предотвратит попыткивредоносного ПО подключения к сети Интернет. Используя технику RunPE угнать легитимный процесс , который имеет право достигнуть Интернет, любое вредоносное ПО может впоследствии подключиться к C & C , не будучи обнаруженным брандмауэром.
[2] Вредоносное Packer или Crypter: Вообще сценарий детишки - незрелые хакеров - использовать хорошо известный тип вредоносных программ ,которые уже обнаружены большинством антивирусных программ. Затем они попробуйте сделать запутать это вредоносное ПО, чтобы избежать обнаружения. Для того , чтобы добиться этого, они должны покупать программы , такие как Пакер или Crypter. Цена зависит от его способности уйти от антивирусных программ, интервалы обновления, количество дополнительных функций и т.д.
А Crypter будет просто запутать или скрыть вредоносный код и программа анти-вирус не в состоянии обнаружить его. Упаковщик добавит дополнительный шаг сжатия , чтобы сделать вредонос меньше по размеру. Тогда легче переносить или он может быть практически незаметно добавлены к законному процессу. Таким образом, это будет труднее обнаружить , когда он загружается на компьютер жертвы. Здесь RunPE используется для uncrypt вредоносной программы в памяти и поместить ее в легитимный процесс , не записываются на диск.
Более продвинутые методы существует для криптовальную и упаковки вредоносных программ, но так как большинство создателей Crypters и / или Packers разработаны из общего сценария детишки , которые посетили те же форумы , чтобы получить базовые знания, все они научились использовать метод RunPE.

Как это работает?
В основном, RunPE является очень простой метод, но в то же время и очень эффективен. Да, в большинстве коммерческих антивирусных эвристические сканирует обнаружить этот трюк, но не каждый считает, что хорошее коммерческое антивирусное решение деньги потрачены не зря. Когда вы действительно понимаете метод RunPE инъекции, вы можете легко представить себе способ избавиться от большинства из возможных вариантов с использованием памяти PE заголовки сканирования каждого процесса и сравнения памяти PE-заголовка к процессу Изображение Path PE заголовка версии.

Так как PE заголовка вредоносных программ, которые приватизировали законный процесс сильно отличается от законного процесса Image Path PE заголовка, мы могли бы обнаружить присутствие угнанном процесса.

Является ли это эффективным?
Да. После тестирования нашей программы против нескольких из наиболее часто используемых типов вредоносных программ, уровень обнаружения был хорош.(Против RunPE техники только ) Поскольку многие крысой (средства удаленного администрирования), троянов, бэкдоров Crypters и упаковщики используют RunPE , чтобы скрыть свои подозрительные действия, с помощью нашего инструмента часто является первым хорошим шагом для убедившись , что ваша система чиста от самых разрушительных видов от вредоносных программ.

это удалить ли наличие вредоносного ПО?
Да, это может, но мы не можем добиться хорошего успеха как для процесса обнаружения. Легко обнаружить угнанный процесс методом впрыска RunPE, но гораздо труднее определить, какой тип вредоносных программ загружен атаки.

Для того, чтобы обнаружить присутствие вредоносной программы на диске мы сканируем для всех файлов приложения в файловой системе (.EXE, .COM, .BAT, .SCR, .PIF), а затем сравнить их PE заголовки к вредоносным запущенного процесса. Если злонамеренный запущенный процесс PE заголовка аналогичен текущему проверяемого файла, то мы можем предположить, что мы обнаружили исходный файл инфекции.

Так как большую часть времени вводимый вредоносный файл процесс будет находиться внутри загрузчика (или файл заглушки) используется для запуска вредоносного кода в памяти, обнаружение RunPE хоста часто не удалось.

Для того, чтобы работать, вредоносная программа-загрузчик должна загрузить себя в память, используя RunPE andnot будучи упакованным или сжат.

Так как удалить, если он не обнаружит местоположение хоста?

Первый шаг заключается в установке (пробную версию) коммерческой антивирусной программы и попытка глубокого сканирования системы.
Если антивирусная программа обнаруживает вирусы, удалить эти вирусы, а затем повторите сканирование с помощью программы RunPE детектора, чтобы убедиться, что она была успешно удалена.
Если антивирусная программа не обнаруживает какой-либо инфекции, а затем вручную убить вредоносный процесс обнаружен с помощью программы RunPE детектора и попытаться определить общие места установки вредоносных программ (реестра, Дорожки, услуги и т.д ...) сканирование с помощью нашего Phrozen VirusTotal Uploader каждый файл вы находите подозрительные.
Если после всех этих испытаний, вам не удастся в устранении угрозы, а затем сделать резервную копию важных файлов и переустановить всю систему.

Что делать дальше?
Если RunPE детектор обнаружил вредоносных программ в системе, даже если в настоящее время 100% очищаются вы должны изменить все свои пароли (банковские счета, браузеры, игры, приложения и т.д.). Вполне возможно, что хакер уже украдено все, что вам полномочия. Не забудьте сообщить в свой банк, чтобы предотвратить ваш банковский счет опорожнении ..

Никогда не загружать программы из неизвестных источников, будут, конечно, осторожность при загрузке и использовании трещины или кейгена и открывать их только в виртуальной машине или песочнице (Sandboxie, например).
Купить и не отставать от современных хорошей антивирусной программой.

Важное замечание: Никогда не позволяйте антивирусные программы для сканирования файлов в облаке по причинам конфиденциальности. Эта функция не должна даже существовать, поэтому не принимаю!

Поддерживает ли это 64-битный процесс сканирования?
Он поддерживает 64-битные-системы, но еще не сканирование 64-битных-процессов. Мы планируем поддерживать это в ближайшем будущем.

Обратите внимание, что в настоящее время большинство вредоносных программ до сих пор скомпилирован в 32-битном-архитектуры, поскольку большинство хакеров чувствуют себя более комфортно, чтобы кодировать его, и он по-прежнему имеет более высокий уровень инфекции.

Так как 64-битные машины запустить 32bit-кода нет неминуемой причин для разработчиков вредоносного кода, как на 64-битную и 32-битную-код.

Экраны