14.2.1. On-Disk Evasion

Evasion haqidagi muhokamamizni boshlash uchun avval jismoniy diskda saqlanadigan fayllarni yashirish uchun ishlatiladigan turli texnikalarni ko‘rib chiqamiz.

Zamonaviy on-disk malware obfuscation ko‘p shakllarda bo‘lishi mumkin. Aniqlanishdan qochishning eng dastlabki usullaridan biri packers’dan foydalanish edi. Internetning dastlabki kunlarida disk maydoni qimmat va tarmoq tezligi sekin bo‘lganligi sababli, packers dastlab executable hajmini kamaytirish uchun ishlab chiqilgan edi. Zamonaviy "zip" compression texnikalaridan farqli o‘laroq, packers nafaqat kichikroq, balki butunlay yangi binary structure bilan functionally equivalent bo‘lgan executable ishlab chiqaradi. Hosil qilingan fayl yangi hash signature’ga ega bo‘lib, natijada eski va oddiyroq AV scanners’ni samarali ravishda chetlab o‘tishi mumkin. Garchi ba’zi zamonaviy malware’lar ushbu texnikaning bir variantidan foydalansa-da, yolg‘iz UPX va boshqa mashhur packers’dan foydalanish zamonaviy AV scanners’dan qochish uchun yetarli emas.

Obfuscators kodni reverse-engineer qilishni qiyinlashtiradigan tarzda qayta tashkil qiladi va mutatsiya qiladi. Bu semantically equivalent bo‘lgan instructions’ni almashtirish, irrelevant instructions yoki dead code qo‘shish, functions’ni bo‘lish yoki qayta tartiblash va hokazolarni o‘z ichiga oladi. Garchi bu texnika asosan dastur ishlab chiqaruvchilari tomonidan o‘zlarining intellectual property’ni himoya qilish uchun ishlatilsa-da, u signature-based AV detection’ga qarshi ham bir oz samarali hisoblanadi. Zamonaviy obfuscators shuningdek, runtime in-memory qobiliyatlariga ega bo‘lib, bu AV detection’ni yanada qiyinlashtirishga qaratilgan.

Crypter dasturlari executable code’ni cryptographic tarzda o‘zgartiradi va ishga tushirilganda asl kodni tiklaydigan decryption stub qo‘shadi. Bu decryption in-memory’da sodir bo‘lib, diskda faqat encrypted code qoladi. Encryption zamonaviy malware’da AV evasion’ning eng samarali texnikalaridan biri sifatida foundational ahamiyatga ega bo‘ldi.

Yuqori samarali antivirus evasion yuqoridagi barcha texnikalarni va boshqa ilg‘or usullarni, jumladan anti-reversing, anti-debugging, virtual machine emulation detection va hokazolarni birlashtirishni talab qiladi. Ko‘p hollarda software protectors qonuniy maqsadlar, masalan anti-copy uchun ishlab chiqilgan bo‘lsa-da, AV detection’ni chetlab o‘tish uchun ham ishlatilishi mumkin.

Ushbu texnikalarning aksariyati yuqori darajada oddiy ko‘rinishi mumkin, lekin ular juda murakkab bo‘lishi mumkin. Shu sababli, hozirda acceptable antivirus evasion’ni ta'minlaydigan faol ravishda qo‘llab-quvvatlanadigan bepul vositalar kam. Tijoriy vositalar orasida, xususan, The Enigma Protector antivirus mahsulotlarini muvaffaqiyatli chetlab o‘tish uchun ishlatilishi mumkin.

1(Wikipedia, 2019), https://en.wikipedia.org/wiki/Executable_compression [↩︎]

2(UPX, 2018), https://upx.github.io/ [↩︎]

3(Wikipedia, 2019), https://en.wikipedia.org/wiki/Dead_code [↩︎]

4(Enigma Protector, 2019), http://www.enigmaprotector.com/en/home.html [↩︎]