it-swarm-pt.tech

Acidentalmente me deparei com o código fonte de algum malware, o que fazer?

Acidentalmente, outro dia, fui a um site desonesto, e hoje descobri que no meu cache havia um arquivo de texto. E depois de ler o conteúdo do arquivo, deduzi que é o código-fonte de algum malware potencialmente novo que explora uma vulnerabilidade em um programa de segurança.

Agora, quero enviá-lo ao meu fornecedor de antivírus, no entanto, basta enviá-lo como um arquivo de texto (pois eles precisariam compilá-lo para obter uma assinatura de vírus e não sei quão automatizado é o processo. ), ou devo colocá-lo no meu IDE, compilá-lo e enviar a versão criada para eles ou como devo enviá-los? Da maneira mais segura e responsável.

41
user67447

devo colocá-lo no meu IDE, construí-lo e depois enviar a versão criada para eles

Essa não é uma boa opção. A menos que haja algum motivo para acreditar que o autor do malware e você tenham um ambiente de desenvolvimento em comum que o fornecedor do antivírus não possa acessar razoavelmente, ele poderá fazer isso sozinho e fará isso se achar que isso ajudaria. É muito provável que eles consigam fazer um trabalho melhor ao considerar a pergunta: "como será o malware lançado e como podemos detectar toda a variedade de malware que provavelmente veremos atacando essa falha?" do que você pode, porque está diretamente na linha de trabalho deles.

Considere: nas suas mãos, como você não é malicioso, isso se torna uma prova do código de exploração de conceito. Pode ter sido pretendido ser malware, e você não descobriu a falha sozinho, mas deixando de lado os detalhes de crédito e prioridade, você está em basicamente a mesma posição em relação à divulgação que você estaria se tivesse descoberto a falha e escrito esse código para provar que é explorável.

No mínimo, você deve:

  • Procure on-line seções curtas reconhecíveis do código para garantir que esse código-fonte específico ainda não esteja publicado. Eu sei que você deduziu o contrário, mas não posso deixar de sentir a irritante sensação de que talvez seja prova de código de exploração de conceito e não de malware.

  • Passe pelo processo de divulgação de falhas do fornecedor do "programa de segurança" que esse código explora. Se eles não tiverem um processo, envie um e-mail ou entre em contato com eles e peça. Faça o que puder nesse processo para transmitir sua conclusão de que uma exploração de trabalho para a falha já está em andamento.

  • Se isso não der uma resposta satisfatória, vá para um ou mais fornecedores de antivírus. Descubra como o fornecedor escolhido prefere receber envios de malware ou usar ma lista existente de detalhes de contato . Como esse é um caso um tanto incomum, em que você tem a fonte para enviar, em vez de apenas um binário malicioso, aconselho inclinar-me para qualquer coisa que pareça haver um humano do outro lado.

  • Não se concentre apenas no antivírus que você usa: se você conseguir convencer qualquer fornecedor (principal) de antivírus a reconhecer o problema, então outros, incluindo o seu, seguirão. Os maiores fornecedores de antivírus também estão em melhor posição para convencer o fornecedor do software defeituoso a fazer algo a respeito do que, sem ofensa a você, alguma pessoa aleatória. Se você conseguir identificar pela cobertura da imprensa quaisquer pesquisadores de segurança que descobriram falhas anteriormente no mesmo software ou software do mesmo fornecedor, inclua-os na sua lista de pessoas para contato. Eles já lidaram com o processo de divulgação que falhou em satisfazê-lo.

  • Se isso ainda não obtiver uma resposta satisfatória, como último recurso absoluto, envie uma versão binária compilada [*] do malware suspeito, como acima, e espere que a rotina deles para os binários enviados faça um trabalho melhor do que na fonte.

[*] você já o compilou, de modo que o navio navegou com qualquer preocupação de que ele possa explorar seu compilador , além de ser um código para explorar isso programa de segurança. Por falar nisso, pode explorar seu editor de texto, e você já olhou para ele com isso. Ele pode explorar sua pilha de rede e você já a baixou. Como a vida.

32
Steve Jessop

Receio que o seu binário compilado seja muito diferente do malware real que pode ser encontrado na natureza. Compiladores diferentes e sinalizadores de linha de comando produzirão binários completamente diferentes, e o binário do malware poderá ser otimizado/ofuscado ainda mais usando ferramentas adicionais ou mesmo manualmente.

Submeter a eles seu binário compilado provavelmente será contraproducente e só desperdiçará o tempo de todos. Em vez disso, se você não puder enviar diretamente o arquivo de código-fonte (porque o formulário deles espera um binário, etc.), tente entrar em contato com um humano e forneça a fonte.

66
André Borie

A solução mais comum para lidar com arquivos de malware é compactá-los (por exemplo, em um arquivo Zip). No entanto, como muitas ferramentas AV agora olham dentro dos arquivos, talvez seja necessário impedir tentativas de inspeção automatizada - a solução mais simples é colocar uma senha no arquivo Zip (que criptografa o conteúdo).

Como regra, a senha é distribuída junto com a amostra de malware, pois você está tentando impedir que ela seja aberta por máquinas, mas não por humanos. Freqüentemente, a senha será um tipo de texto de aviso, como "malware" ou "isto é um vírus" ou algo assim, de modo a deixar absolutamente claro para qualquer ser humano que o conteúdo pode ser prejudicial.

14
tylerl

Se você estiver usando o Avast AntiVirus, depois de abrir a interface do usuário, deve haver informações de contato em algum lugar. Mesmo um email addy fará. Basta copiar e colar e enviá-lo. De um jeito ou de outro, um funcionário o envia para onde precisa.
Agora, para uma medida de segurança, caso o malware faça algo "Por trás das cortinas", é uma boa idéia executar uma verificação no momento da inicialização. (Uma opção disponível na maioria dos antivírus).

0
Robbyn M

Não sei para qual fornecedor de antivírus você deseja enviá-lo (na verdade, não sei por que você deseja restringir seu envio a um único fornecedor de antivírus)

O que você precisa fazer é entrar em contato com o fornecedor do antivírus. Eles terão algum email/lista de discussão/fórum/chat ... disponível. Explique que você tem um código-fonte malicioso e deseja enviá-lo a eles. Seu problema está em levar o arquivo para um humano (supondo que ninguém nunca dê uma olhada nos binários não executáveis ​​submetidos a eles, o que parece um erro da parte deles), ou às vezes no departamento certo, que garanta que ele chegue à pessoa certa.

Observe que o código-fonte que você encontrou pode não ser malicioso, seus analistas estão ocupados demais para processar sua amostra (mas certifique-se de que eles o manterão arquivado apenas no caso é útil no futuro), ou a empresa de antivírus pode até não se incomodar (afinal, eles não têm obrigação de analisar seus envios).

0
Ángel