scan atual e nada são praticamente a mesma coisa

[☢|EXPL01T3R|☣ 46]

#Poha, nome errado no titulo..

 

 

Como disse pro NoSlake, essa regra de scan que a gente usa no fórum não resolve nada, vou provar e isso e tentar pela ultima vez sugerir algo que de mais certo

 

1° Problema que temos.. moderadores que não sabem lidar com vírus, fato

Claro, não é obrigação dos moderadores se especializarem em analise de malwares, porem isso faz com que os moderadores sejam incapazes de dizer cm certeza se o arquivo postado é malicioso ou não, onde os resultados do vírus total e demais sites, as vezes confundem um pouco, então muita coisa acaba passando despercebida

 

Regra geral do fórum

1.10. Antes de postar um arquivo faça um scan online em sites como o vírus total (

É necessário se cadastrar para acessar o conteúdo.

• Entre
• ou
• Cadastre-se

)

 

Yes Sir

 

Arquivo de teste:

Trojan, gerado pelo metasploit

 

1°Teste

Ele puro..

É necessário se cadastrar para acessar o conteúdo.

• Entre
• ou
• Cadastre-se

Hash 256: 6fcfa54016aa8f7d13370f3b11580ee07dcd58eba017fb15eae77dff94996cfd

 

9/57, alguns membros poderiam alegar que é por causa das funções do hack e blablabla, como não chegou a +50% de detecção talvez passasse pela equipe de moderação, mas vamos elevar um pouco o nível, o mesmo trojan, mais ofuscado..

 

2°Teste

É necessário se cadastrar para acessar o conteúdo.

• Entre
• ou
• Cadastre-se

Hash 256: da7d6436e3875b2126b3dec8eeb44f8cf605b76b158ae6440d4569d76e75268f

 

2/57 :D

Cara, nem precisou do uso de crypter e tals.. eu só usei o winrar.

Quantos moderadores questionariam um scan desse?

 

provando que é um trojan

 

 

 

E pronto, a prova de que a regra de scan da webcheats é falha, nem o kaspersky detectou um trojan ofuscado com simples operações de compactação com winrar

 

 

 

Agora como corrigir o problema?

 

1° momento

 

Exigir um scan adicional do arquivo em algum site que realize mais testes, como o malwr.com, ou exigir apenas o scan do malwr, pois ele mesmo faz a analise do arquivo no vírustotal

 

Blz, mas pq usar esse site?

Simples, ele faz mais do só analisar com arquivo com vários antivírus, algumas das features do site

 

• Detalhes do nome do arquivo, como versão, quando foi criado, nome interno
  
• chaves acessadas
  
• arquivos criados/acessados
  
• mutexes
  
• assinaturas
  
• checksum
  
• analise com antivírus
  
• módulos importados
  
• strings
  
• analise estática, onde mostra endereços acessados e resources, APIs, resultados das calls, etc
  
• analise de rede, onde mostra, onde mostra se o host fez alguma conexão ou se startou algum serviço para aguardar conexões
  
• dropped files
  
• screenshots da execução
  

 

2° momento

de nada adianta tantos dados, se não tiver quem analise..

o 2° então seria os moderadores serem orientados sobre noções básicas de como utilizar o site

 

analisei o mesmo trojan no site:

É necessário se cadastrar para acessar o conteúdo.

• Entre
• ou
• Cadastre-se

 

Embora os antivirus tbm não tenham detectado, podemos perceber que é um arquivo malicioso

de inicio, analisar já na primeira pagina os prints da execução do arquivo, as assinaturas que mostram

 

* o arquivo foi identificado por pelo menos um antivírus como sendo malicioso

*o arquivo instala-se para inicializar-se junto ao windows

*o arquivo gera trafego de rede

 

ai já começa algumas coisas estranhas, se o arquivo seria apenas um hack por exemplo, porque ele se instalaria para iniciar junto ao windows?

 

nas outras seções é possível ver a quais endereços o arquivo tentou se conectar, é normal haver conexão com a rede em casos de hacks que usam anuncios, mas se aparece um aplicativo se conectando a um servidor IRC... se não for especificado isso no aplicativo, que ele tem um canal irc ou algo do tipo, pode ser um vírus que se conecta a um servidor IRC, super comum hoje em dia pra criar botnets

agora se for um aplicativo sem anúncios, como um hack mesmo ou calculadora de pvp, por que esse aplicativo estaria então se conectando a internet?

 

Uma coisa importante tbm, os moderadores sempre que possível baixar o arquivo postado para download e gerar a hash do mesmo(existem vários programinhas pra isso, ou eu ou o noslake(um dos unicos programadores do fórum que eu confio), podemos criar um programa pra gerar essa hash e já comparar com a hash do site, bastando o moderador inserir o link do scan), sejam em MD5, SHA1, etc.. e depois comparar a hash que é mostrada no site, isso comprova que o arquivo que o membro submeteu a analise, é o mesmo postado para download.. Isso inibe inclusive o caso de membros que postam o scan de um arquivo compactado com a senha e dai postam o download sem senha, esse tipo de pratica passa despercebida pelos moderadores, pois a diferença no tamanho dos arquivos é minima, já se fossem comparadas as hash, seria possível identificar que os arquivos sao diferentes

 

#

aproveitando o ganho de scan com arquivo compactado com senha, vamos mostrar como funciona isso e como mais uma vez a regra atual de scan é falha

Peguei pra teste uma versão antiga do ardamax keylogger

 

Seguindo as regras do fórum, eu tenho que postar o download do arquivo e o scan do mesmo, mas quem garante que o arquivo submetido ao scan é o mesmo do download?

Lembro-me que os moderadores são orientados a analisar coisas como, nome do arquivo e tamanho, pois bem... eu posso postar então um arquivo malicioso compactado e postar o scan do arquivo compacto, porem no scan eu submeti uma versão compactada com senha...

olha o resultado

 

1°Scan do arquivo compactado normal:

É necessário se cadastrar para acessar o conteúdo.

• Entre
• ou
• Cadastre-se

Detecção de 38/57

 

2°Scan do arquivo compactado com senha:

É necessário se cadastrar para acessar o conteúdo.

• Entre
• ou
• Cadastre-se

Detecção de 1/57

 

e reparem? tamanho do arquivo = 1.2Mb, que é a parte que os moderadores costumam obersar, mas se vc reparar bem, o primeiro arquivo do scan tem 1224773 bytes e o segundo 1224792 bytes, mas quem ai notou isso? e moderador nenhum vai questionar o tópico, por conta de alguns bytes a mais, até porque a maioria dos sites de hospedagem de arquivos, vai te dar tbm o tamanho do arquivo em mb e não em bytes pro moderador comparar.. Então ai esta mais uma falha, onde vc acaba podendo postar um arquivo malicioso, um scan bonitinho, que passará pela equipe de moderação, porem FALSO

 

Como corrigir isso?

Simples, pela hash, como disse la em cima, repararam a primeira informação do scan? Hash 256, se vcs voltaram nos scan, perceberão que as HASH são completamente diferentes, até ai blz, mas como descobrir se o scan é do arquivo postado para download? baixando o arquivo, gerando a hash do mesmo e comparando com a hash do scan.. por exemplo: Vamos supor que o arquivo do download foi o ardamaxteste e o scan foi o ardamaxteste_com_senha, baixando o arquivo e comparando a hash dele com a hash do scan, podemos ver que é completamente diferente, logo, o arquivo submetido ao scan é diferente do postado para download

 

#

 

mas voltando ao malwr...

o resto das opções são mais especificas e exigem um pouco mais de cada moderador, o site da uma analise muito mais detalhada da execução do arquivo, basta interpretar os resultados, com isso o numero de arquivos maliciosos no site diminui bastante, inclusive postei aqui um fórum um livro sobre o assunto

[Download] Engenharia Reversa de Código Malicioso

 

 

 

#Edit

 

Os membros tbm poderiam ser envolvidos, se for aceita a sugestão, pode-se criar um tópico e mostrar o básico de como interpretar os resultados do site, assim os membros podem auxiliar os moderadores, verificando se o scan esta tudo certo, tipo como ocorre hoje com virus total

[Morison 279]

De início irei dizendo: gostei bastante da sugestão e do site.

 

Mas vamos esclarecer só umas coisinhas que não foi citado no tópico.

 

Sobre a regra de Scan. Na verdade só são permitidos scan dos sites VirusTotal e MetaScan.

 

E uma definição melhor da infração de Postagem de Vírus:

 

Postagem de Vírus: É a postagem de qualquer conteúdo que seja prejudicial ao computador dos membros ou que contenham uma quantidade exagerada de vírus. A taxa de vírus permitida, normalmente é de 30%. Porém, caso o conteúdo seja funcional e com uma alta porcentagem de vírus, o membro pode estar enviando o conteúdo para os moderadores para analisarem. Se o conteúdo realmente for funcional e os vírus contidos no mesmo não forem prejudiciais aos membros, os moderadores darão permissão para a postagem.

Retirado das regras da Point Blank Zone.

 

Eu achei o site bastante eficiente, só um pouco lento na análise (comprado aos outros sites) mas tudo em prol de uma melhor análise o que deixa pra trás essa lentidão na análise - varia de 30 segundos à 4 minutos.

Só que tem muita coisa que eu ainda não entendi do site. Para reformular essa regra teria sim, como você mesmo disse, deixa esclarecido aos membros como fazer o upload do arquivo e o principal que é analisar o scan.

 

E sobre os atuais scans padrões do fórum eu realmente só gosto do VirusTotal, isto até conhecer este Malwr, e o MetaScan eu nunca gostei muito dele por haver poucas "funções"/explicações sobre o arquivo.

 

Enfim, resta a aprovação de algum superior e ainda uma análise de sua sugestão de como fazer uma 'lapidada' nesta regra. Até porque taria com certeza mais segurança aos que analisem o arquivo e é para o melhor do fórum/membros.

[Cage 1.270]

Pra começar a sugestão é excelente, como você disse muitas coisas passam despercebidas pelos moderadores e analisar vírus é uma delas.Se as vezes tópicos que contem downloads virais não são removidos, imagine a quantidade de vírus que os membros são expostos?

 

Segurança é uma das palavras chaves do fórum e precisamos sempre estar de olho nessas coisas, principalmente para o bem estar dos nossos membros.

 

Concordo em fazer esta mudança na regra do scan impondo este site mais avançado e complexo para analise de vírus, obrigatoriamente os moderadores teriam o treinamento necessário para entender como funciona o site e ter uma noção mais específica de quando um arquivo é malicioso ou não.

 

Fiz um teste e a análise demora um pouco mais que a do VirusTotal e do MetaScan, obviamente por ser mais complexo e aprofundar na análise viral do arquivo.

 

A atualização da regra estará a discussão porém acredito que será aceita por ser uma sugestão e tanto, além de importante, necessária para maior segurança dos nossos computadores.Para os membros entrarem por dentro do assunto um tutorial detalhado seria feito e um anúncio também.

 

Ótima sugestão, obrigado e esta foi a minha opinião.

Abraços.

[Forest' 31]

Eu sempre analiso meus scans pelo Malwr é o melhor site atualmente de scans, juntamente com o Camas Comodo. Já falei várias vezes que o VirusTotal está ficando p/ trás em termos de inovação. Além de ser fácil "falsificar" um scan, existem vários métodos que podem ser usados pra negligenciar o resultado.

 

Tanto o Malwr como o Camas, informa quais arquivos o processe gerou, se existem no-ips envolvidos, modificações no registro, mutexes. Claro que existe o problema da demora, mas aqui é meio rápido, em 1/2 minutos os resultados estão prontos.

O método de checar o MD5 eu uso ás vezes, quando aprendi por um tópico do Owner, mas é raro digamos assim, quem posta vírus geralmente faz aquele scan falso bem óbvio ou envia o arquivo certo mas encryptado.

 

Eu ia até postar um tópico desse na área interna, você me poupou um bom tempo! :p

[☢|EXPL01T3R|☣ 46]

só uma coisa em relação a demora do scan, ele demora um pouco por causa da analise dinâmica

[NoSlake 56]

Como já conversamos, é uma ótima sugestão. Estarei movendo para analisarmos e logo trarei uma resposta!

 

@edit

O sistema deverá ser reformulado em breve!