¿Realmente los antivirus nos protegen?

CodeJiyu · 12 Mayo 2015, 05:38 AM

Cita de: xxxposeidonxxx en 12 Mayo 2015, 00:57 AM
@Hurdano
FUD = Archivo completamente indetectable.
FUD = Fully undetectable. (completamente indetectable)

@scott_ Ese archivo es indetectable Scantime, Al ejecutarlo lo detectaria seguro 100%. A no ser que tu mismo lo programases con 2 cojones.

@lechugaFeliz Con modificar 1 Byte del archivo ya cambias el Hash. Hace años que eso no funciona.

En teoria cualquier virus nuevo no masificado es indetectable por la base de datos de A.V, entonces cuando los malware o script son diseñados para una víctima específica, a menos que sea un usuario con conocimientos avanzados, no podria hacer nada ¿o me equivoco?.

kub0x · 12 Mayo 2015, 09:51 AM

Cita de: CodeJiyu en 12 Mayo 2015, 05:38 AM
En teoria cualquier virus nuevo no masificado es indetectable por la base de datos de A.V, entonces cuando los malware o script son diseñados para una víctima específica, a menos que sea un usuario con conocimientos avanzados, no podria hacer nada ¿o me equivoco?.

Realmente es así, si el usuario que recibe la amenaza sólo dispone de un AV basado en el escaneo de firmas, al ser un malware no analizado todavía, es muy probable que pase desapercibido. Sobre todo si está bien codeado.

Saludos.

Hurdano · 12 Mayo 2015, 10:13 AM

Gracias por aclarar mis dudas sobre el FUD. Entonces claro, actúa solamente frente amenazas genéricas. Por eso nuevos virus, "nuevos..." como ransomware, la nueva versión, los usuarios tienen AV, pero una vez abierto el correo y abrir el fichero...No te lo detecta, pasa sin alarmarte, hasta que se tenga la suficiente info en la base de datos para bloquearlo antes de ejecutarse todo el código.

Y otra cosa, frente a ese tipo de cosas, da igual que sea gratuito que de pago, la diferencia no es darte más protección, porque la base de datos de las firmas es la misma, y mucha gente se cree que da más protección y no es así. Solamante dan más opciones para hacer más cosas con tu sistema etc.

#!drvy · 12 Mayo 2015, 11:44 AM

Hay que recordar que hay antivirus que no solo se basan en firmas. También los hay por comportamiento o heurística. De modo que si el malware no esta en su BD de firmas pero si se comporta de forma sospechosa, el anti-malware puede avisar de dicho comportamiento. Recuerdo hace años cuando el SpyBot S&D era uno de los pocos que te avisaban cada vez que "algo" modificaba el registro para añadirse al autorun..

De todos modos decir que un antivirus no te protege o es inservible solo por que no es capaz de detectar el 100% de las amenazas es.. pedir demasiado. Me atrevería a afirmar que son capaces de protegerte del 80% del malware que un usuario regular se puede encontrar a diario. Lo demás se reduce a ataques muy específicos o muy tempranos.

Si lo pensamos, la idea general de un malware es distribuirse lo máximo que pueda.. las probabilidades de que acabe siendo analizado y/o enviado para pruebas a un laboratorio AV aumentan cada vez que este se distribuya. Es como la policía, en general pueden prevenir asesinatos pero no siempre.. pero una vez ocurrido un asesinato se puede/hace una investigación y se identifica/detiene al sospechoso y mas si este sigue cometiendo asesinatos.

CitarY otra cosa, frente a ese tipo de cosas, da igual que sea gratuito que de pago, la diferencia no es darte más protección, porque la base de datos de las firmas es la misma, y mucha gente se cree que da más protección y no es así. Solamante dan más opciones para hacer más cosas con tu sistema etc.

No exactamente. Los que suelen ofrecer versiones de pago y free incluyen distintos módulos en cada uno. Asi, el free podría ser solo anti-malware mientras que el de pago podría incluir también firewall. La BD es la misma pero la 'protección' que ofrece puede aumentar de otras formas.

Saludos

Hurdano · 12 Mayo 2015, 11:52 AM

Buena explicación. Yo me refiero a eso, porque en la empresa donde estoy realizando las prácticas, según me han comentado en verano sufrieron el ataque del virus ransomware, y tienen un AV de pago, pero no les sirvió de nada, ya que por lo visto se cargo todo el pc.

Me refiero que de poco sirve, si el usuario no sabe como configurar correctamente tantos "módulos" para obtener más protección y evitar ese tipo de cosas.

#!drvy · 12 Mayo 2015, 12:04 PM

Bueno los casos de ransomware son un poco jodidos. El ransomware hay que pillarlo antes de que actue.. una vez infectado de poco te sirve la proteccion que tengas xD. De todos modos, los backups en una empresa deben considerarse obligatorios... precisamente para prevenir casos como esos.

Saludos

kub0x · 12 Mayo 2015, 15:12 PM

Cita de: #!drvy en 12 Mayo 2015, 11:44 AM
Hay que recordar que hay antivirus que no solo se basan en firmas. También los hay por comportamiento o heurística. De modo que si el malware no esta en su BD de firmas pero si se comporta de forma sospechosa, el anti-malware puede avisar de dicho comportamiento.

Como ya he mencionado antes es recomendable tener una solución anti malware que ofrezca Firewall, HIPS o IPS, Antivirus y Sandboxing todo ello con unas políticas restrictivas aplicadas a zonas de red y programas, además de establecer el nivel de heurística en alto.

Hemos aportado suficientes argumentos para demostrar que el AV no es suficiente para frenar este tipo de ataques, sobre todo si son dirigidos. Lo mejor es hookear todas las funciones relevantes que puedan cambiar el funcionamiento del sistema o comprometerlo, para eso tenemos los IPS.

En el caso del ramsomware, si el coder es hábil no utilizará una API del sistema que previamente haya podido ser hookeada, por lo que si reescribe esas rutinas en su code seguramente el HIPS lo pase por alto.

Saludos.

Kaxperday · 17 Mayo 2015, 02:02 AM

Cita de: xxxposeidonxxx en 12 Mayo 2015, 00:57 AM
@scott_ Ese archivo es indetectable Scantime, Al ejecutarlo lo detectaria seguro 100%. A no ser que tu mismo lo programases con 2 cojones.

Vaya, ¿entonces si tengo un troyano famoso, y uso la ultima versión del themida para encriptarlo "proteger el codigo", quiere eso decir que no valdria para nada la encriptacion?

Es decir, al analizarlo con el antivirus no detecta nada, pero al ejecutar ¿el programa el antivirus lo detectaría no?.

Entonces ¿como conseguir un crypter que funcione en Runtime? Acaso existen xD, ¿entonces para que valen los crypter scantime? si al ejecutarlo te lo detecta el AV.

kub0x · 17 Mayo 2015, 03:43 AM

Cita de: Kaxperday en 17 Mayo 2015, 02:02 AM
Vaya, ¿entonces si tengo un troyano famoso, y uso la ultima versión del themida para encriptarlo "proteger el codigo", quiere eso decir que no valdria para nada la encriptacion?

Pasaría desapercibido ante un scan por parte del AV.

Cita de: Kaxperday en 17 Mayo 2015, 02:02 AM
Es decir, al analizarlo con el antivirus no detecta nada, pero al ejecutar ¿el programa el antivirus lo detectaría no?.

Si el Crypter descifra en disco sí. Si carga el malware en memoria (RunPE) estarías vendido a no ser que tengas un buen motor de heurística sobre procesos, FW o IPS.

scott_ · 17 Mayo 2015, 04:32 AM

Cita de: kub0x en 17 Mayo 2015, 03:43 AM
Pasaría desapercibido ante un scan por parte del AV.

Si el Crypter descifra en disco sí. Si carga el malware en memoria (RunPE) estarías vendido a no ser que tengas un buen motor de heurística sobre procesos, FW o IPS.

Pero es muy raro que pase, o a muy largo plazo si tu eres el único que lo usa, no mas personas, tu.

Pero también, están en constante actualización con los Stubs.

Saludos.