[NOD32] Дополнительный модуль сканирования памяти, обзор

[POCT]

egyp7 и valentin_p
coru.ws
Источник: [Ссылки могут видеть только зарегистрированные пользователи.]

Добрый день! Много споров ходит вокруг новой технологии nod32.
Да и признаться, меня тоже смутила надпись "Обнаружена угроза в памяти", при запуске одного криптованного семпла. Неужели ав стали сканировать память процессов, чтобы ловить запакованные семплы сразу после распаковки? Но в таком случае пойдёт прахом вся отрасль криптования, ибо придётся морфить код который исполняется, а не скрывать его за неприступным для эмуляторов слоем криптора.

Собственно проблема была интересной, и мы решили провести группу тестов.
Тестировать ПО на AV вообще хорошая идея. Действительно, зачем выбрасывать деньги за неактуальный софт, который спалится через 40 минут после прогруза..

Мы взяли поньку, Win32/Fareit по классификации майкрософта, и криптанули её.
Чистый семпл сразу сносится нодом, криптованный как ни в чем не бывало сбрасывает отчет на диск.
Значит для того что бы стимулировать AV к проверке памяти нужны некие дополнительные условия, чем просто запуск нового процесса.

цитата из документации:
Модуль HIPS включает в себя дополнительный модуль сканирования памяти, который сканирует выполняющиеся приложения при изменении их состояния с целью обнаружения возможных подозрительных или вредоносных действий.

Не очень внятно, особенно в конце. Но выбирать не приходится.

Продолжим тесты, теперь возьмём софт, с которым был замечен новый вид детекта, например один граббер. Я пробовал на тест андромеду 2.07, но реакции AV не последовало.

После запуска криптованого граббера он успешно отработал вплоть до... внедрения в exporer!

Что интересно, детект чистого файла без криптовки и детект файла в памяти, совершенно одинаков.

Ок, другой семпл. Малоизвестный RAT, так же криптованный, при запуске получаем это:

Пора разобраться, в чем дело. Открываем Ollydbg, трассируем до появления детекта.
Как и ожидалось, он происходит при вызове RegSetValueExW, прописывающий наш семпл на авторан.
Обычная проактивка!

Обдумав все полученные факты, мы пришли к выводу, что т.н. "модуль сканирования памяти" это надстройка над HIPS (HIPS - проактивная технология защиты, построенная на анализе поведения.)
При вызове подозрительных апи, например необходимых для инжекта в чужой процесс, NOD останавливает выполнение нашего семпла и проверяет его в памяти. Что разумно, ибо к моменту вызова палевных апи модуль почти наверняка будет в распакованном виде, даже если до этого был качественно закриптован.

Используйте качественный софт с поддержкой!