{"id":744,"date":"2008-11-22T17:42:13","date_gmt":"2008-11-22T16:42:13","guid":{"rendered":"http:\/\/www.mitternachtshacking.de\/blog\/744-neues-von-der-snake-oil-industrie"},"modified":"2018-05-22T21:01:43","modified_gmt":"2018-05-22T20:01:43","slug":"neues-von-der-snake-oil-industrie","status":"publish","type":"post","link":"https:\/\/www.mitternachtshacking.de\/blog\/744-neues-von-der-snake-oil-industrie","title":{"rendered":"Neues von der Snake Oil Industrie"},"content":{"rendered":"

Wenn es mir die Zeit erlaubt, spiele ich gerne ein wenig mit Virenscannern rum. Insbesondere die erschreckend schlechte Erkennungsquote bei trivialen Dateiver\u00e4nderungen fasziniert mich immer wieder. Im Rahmen der Vorbereitung eines Vortrags habe ich ein paar Tests durchgef\u00fchrt um zu sehen, wie es mit Virenscannern eigentlich so aussieht. Daf\u00fcr habe ich ein bekanntes Schadprogramm verwendet, hier die Remote-Komponente von NetBus 1.70 und gekuckt, wie gut die Virenscanner diese Datei erkennen.<\/p>\n

NetBus 1.70 ist zwar steinalt, im Kaspersky-Weblog<\/a> (Viren-Almanach Nr. 8, September 2008)\u00c2\u00a0 stand jedoch, dass im September eine Variante von NetBus als bestgetarnter Sch\u00e4dling aufgetaucht ist, daher dachte ich, jeder Virenscannerhersteller m\u00fcsste ein gesteigertes Interesse daran haben, dieses Programm zu erkennen.<\/p>\n

Dazu habe ich die Patch.exe einmal direkt an Virustotal geschickt, einmal als UPX (UPX 3.03w, Optionen -f –ultra-brute) gepacktes Executable, einmal als Winzip-Archiv (Winzip Pro 10.0, bzip2-Archiv, maximale Kompression), und einmal als Winzip-gepacktes UPX.<\/p>\n

Hier sind die Ergebnisse …<\/p>\n

Das Programm Patch.exe<\/a> wurde von den meisten Virenscannern (35\/37, entspricht 94,6%) erkannt. (Die beiden Fehl-Erkennungen lasse ich mal au\u00dfen vor, m\u00f6glicherweise sind die Virenscanner bei Virustotal da nicht richtig konfiguriert, die lieferten bei keinem Schadprogramm ein Ergebnis.<\/p>\n

\"Virustotal<\/p>\n

Als UPX-Binary sinkt<\/a> die Erkennungsquote bereits deutlich. Nur noch 21\/37 (56,76%) der Virenscanner sind korrekt dabei. Einige Virenscanner haben sich bereits auf „suspicious file“ zur\u00fcckgezogen, vermutlich weil die Heuristik zwar die UPX-Kompression erkennt aber nicht mehr auspacken kann. Dabei ist UPX so weit verbreitet, dass eigentlich jeder Virenscanner damit zurechtkommen m\u00fcsste.<\/p>\n

\"Virustotal<\/p>\n

Dramatisch wird es mit der BZIP2-Kompression<\/a>. Mit einem Nicht-Standard-ZIP scheinen erstaunlich viele Virenscanner ein gr\u00f6\u00dferes Problem zu haben. Die Erkennungsquote ist bei schlappen 17\/37 (45,95%). Einzig Sunbelt gibt mit der Fehlermeldung „<Corrupted Archive>“ zu, das Archivformat nicht lesen zu k\u00f6nnen. Die anderen Virenscanner t\u00e4uschen Funktionalit\u00e4t vor die nicht vorhanden ist und melden keine Erkennung obwohl das File gar nicht korrekt gescannt werden konnte.<\/p>\n

\"Virustotal<\/p>\n

Und klar, die Kombination UPX+BZIP2<\/a> bricht dann alle D\u00e4mme. Die Erkennungsquote ist runter auf 14\/36 (38,89%). Prevxl wurde in der Zwischenzeit vermutlich abgeschaltet, der war aber wohl falsch konfiguriert, der hat in meinen Tests n\u00e4mlich nie irgendwas erkannt.<\/p>\n

\"Virustotal<\/p>\n

Das spannende oder erschreckende dabei ist f\u00fcr mich, dass einfachste Methoden wie ein weit verbreiteter Binary-Packer oder ein etwas anderer Kompressionsalgorithmus im vermutlich am weitesten verbreiten Packprogramm bereits gen\u00fcgt, um eine Vielzahl von Virenscannern aussteigen zu lassen. Klar, sobald die Datei aus dem BZIP2-Archiv extrahiert wird, wird sie von einem Virenscanner erkannt. Aber eben nur, wenn auf dem Zielsystem dann auch ein Virenscanner installiert ist.\u00c2\u00a0 Und das wiederum ist auf Terminalservern oder in Produktionsanlagen nicht automatisch gegeben. Da muss man sich oft auf die Perimetersicherheit verlassen. Und dann ist man verlassen.<\/p>\n

Ach ja,\u00c2\u00a0 die verwendeten vier Varianten von Netbus k\u00f6nnt Ihr Euch gerne hier als ZIP-Archiv<\/a> herunterladen. Nur bitte Vorsicht damit! \ud83d\ude42<\/p>\n

F\u00fcr die eventuell mitlesenden Teilnehmer der Secuta 2008: Das ist das, was aufgrund des schlechten Internetzugangs in dem billigen 4-*-Hotel nicht funktioniert hatte \ud83d\ude41<\/p>\n","protected":false},"excerpt":{"rendered":"

Wenn es mir die Zeit erlaubt, spiele ich gerne ein wenig mit Virenscannern rum. Insbesondere die erschreckend schlechte Erkennungsquote bei trivialen Dateiver\u00e4nderungen fasziniert mich immer wieder. Im Rahmen der Vorbereitung eines Vortrags habe ich ein paar Tests durchgef\u00fchrt um zu sehen, wie es mit Virenscannern eigentlich so aussieht. Daf\u00fcr habe ich ein bekanntes Schadprogramm verwendet, […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[8,10,5],"tags":[],"_links":{"self":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/744"}],"collection":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/comments?post=744"}],"version-history":[{"count":0,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/744\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/media?parent=744"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/categories?post=744"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/tags?post=744"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}