Enhancing AV-avoidance capabilities of a PE crypter

Abstract

Κατά τη διενέργεια αξιολογήσεων ασφαλείας οι Penetration Testers στην προσπάθεια τους να παρακάμψουν τα τυχόν μέτρα ασφάλειας, χρησιμοποιούν ένα μεγάλο εύρος εργαλείων, πολλά εκ των οποίων επισημαίνονται από τα αντιβιοτικά προγράμματα ως ύποπτα ή και εμφανώς κακόβουλα. Ανάμεσα στις λύσεις που έχουν προταθεί προκειμένου να αποφεύγεται ο εντοπισμός αυτός, περιλαμβάνονται και οι κρυπτογράφοι (crypters). Με τον όρο κρυπτογράφος, εννοούμε το λογισμικό που, όπως φανερώνει το όνομά του, αναλαμβάνει να κρυπτογραφήσει το εκτελέσιμο - στόχο και να το περιβάλει με φαινομενικά αθώο κώδικα με σκοπό να διατηρήσει ατόφια την αρχική του λειτουργία, αλλάζοντας παράλληλα την εμφάνισή του σε δυαδικό επίπεδο. Ο σκοπός της εργασίας αυτής είναι, βασιζόμενη σε μια υλοποίηση αναφοράς ενός κρυπτογράφου για αρχεία τύπου PE (Portable Executable), να βελτιώσει τις ικανότητες των αποφυγή αντιβιοτικών, εφαρμόζοντας καθιερωμένες τεχνικές απόκρυψης.