Existem alguns métodos de detecção de evasão tradicionais, como por exemplo, a adição de ofuscação e usar empacotadores personalizados que são tipicamente implantados pelo autor do malware em seu pedaço de trabalho.

A forma tradicional de contornar a detecção anti -vírus gira em torno do endurecimento dos binários de malware. Hoje, os agentes de ameaça deram um passo mais a frente e se adaptaram a algumas abordagens inovadoras para não serem detectados pelo anti-malware. Não é necessário utilizar vulnerabilidades sofisticadas para explorar um produto anti -malware, pois existem algumas maneiras simples, mas eficazes para fazer isso. O mesmo pode ser observado com Dridex:

1. Enfrentar os componentes de atualização automática de anti–malware

2. Enfrentar os componentes de exclusão de anti–malware

O primeiro já foi documentado por pesquisadores da ThreatTrack e o segundo código demonstra as ações levadas a cabo pelo Trojan para fazer o componente de atualização automática tornar-se não funcional:

A Fortinet, buscou variantes mais antigas do Dridex, e descobriu que o mesmo código tem sido em torno das variantes encontradas a partir de meados de 2015 até agora. Também foi testado a última versão do AVG e o resultado foi positivo, podendo prejudicar simultaneamente o componente de atualização do produto.

No começo de 2016, foi descoberto outro produto anti-malware a ser alvo desse Trojan, e desta vez, envolvendo uma vulnerabilidade zero-day no produto, evitando a detecção. Produtos anti-malware tipicamente implementam uma funcionalidade de exclusão, sendo uma característica frequentemente encontrada em produtos anti-vírus para evitar alguns arquivos ou pastas da verificação pelos motores de anti –vírus.

Autorização de acesso de arquivos detectados, enquanto se aguarda fornecedores para corrigir um falso positivo

Para alguns produtos, a funcionalidade de exclusão é implementada separadamente em um módulo de biblioteca de vínculo dinâmico (DLL ), possivelmente para escalabilidade. Acredita-se que esta DLL é projetada para ser executada por um aplicativo arbitrário com privilégios não administrativos, ou seja, esta aplicação arbitrária é livre para executar as funções de exportação fornecidos pela DLL.

Mas este módulo DLL permitirá uma aplicação arbitrária para chamar as funções de exportação vulneráveis que são responsáveis em adicionar um arquivo ou pasta a lista de exclusão do produto. Devido à verificação de integridade insuficiente nesta função, uma aplicação arbitrária poderia trivialmente excluir um arquivo desejado ou local da pasta na lista de exceções para evitar sondagem.

Também é importante notar que as detecções evasivas mencionadas acima podem ser eficazes somente contra a tecnologia de detecção baseada em assinatura.

Conheça o FortiGate Firewall NGFW UTM - Segurança de alto desempenho para qualquer negócio

E veja como indústrias de serviços financeiros podem impedir o ransomware

Fonte

Fortinet