Quote:
Originariamente inviato da Mars4ever
Perché un software non deve essere riconosciuto come malware solo perché tra le varie operazioni chiama un DNS inesistente?
|
Il motivo non e' questo. I tool automatici ( ma pure i ricercatori in buona misura ) seguono l'andamento del malware, cioe' tengono nota delle operazioni che svolge. Ma se l'unica cosa che il malware fa ( essendosi accorto di essere sotto controllo ) e' chiedere l'IP di un dominio e poi terminare, beh, il tool automatico crede che il malware svolga solo queste due operazioni ( innocue e banalissime ) e che quindi sia un programma innocuo.
Le tecniche anti-analisi si basano tutte sul seguire code path innocui, una volta che il malware si e' accorto di essere sotto analisi.
Quote:
Originariamente inviato da Mars4ever
E a cosa servono gli ambienti virtuali dove invece un IP viene restituito e l'operazione si interrompe?
|
Gli ambienti di sandboxing per i malware cercano di simulare un ambiente normale e ovviamente non possono sapere che il malware sta chiedendo l'IP di un dominio inesistente. Un malware che non usi questo trucco, richiede di accedere a domini esistenti, su cui girano i C&C. Solo che fatta la legge si trova l'inganno e gli autori di malware hanno trovato il modo di approfittare di questo comportamento dei tool di analisi.