[Literaturrecherche] Antivirenprogramm angreifen

[corema]

Hallo Community,

im Rahmen meines Studiums beschäftige ich mich derzeit mit Schadsoftware insbesondere im Hinblick auf die Bekämpfung von Antivirenprogrammen.
In Test wird immer wieder geprüft, wie gut Antivirenprogramme Schadsoftware erkennen, jedoch nicht, wie Resistent sie gegen Angriffe sind.

Gerade nach diesen versuche ich zu recherchieren, komme jedoch nicht weiter bzw. finde keinen Ansatz.
Eine alte Methode waren damals die so genannten ZIP-Bomben, die das Antivirenprogramm zu Absturz brachten. Diese Methode funktioniert ja bekannter Weise mittlerweile nicht mehr.



Dem obigen Beispiel entsprechend bin ich auf der Suche nach Möglichkeiten, eine Antivierenprogramm direkt anzugreifen, und nicht, wie Schadsoftware getarnt werden kann.
Ziel des ganzen ist, "Verteidigungsmechanismen" namenhafter Antivierenprogramme zu vergleichen.


Ich hoffe ihr könnt mir weiterhelfen, indem ihr mir Stichwörter zur Recherche oder einige Literaturhinweise empfehlt.

Vielen Dank vorab schon mal!
Gruß

 

[DerW]

Hallo,

insgesamt würde ich vor allem nach Lücken in den Treibern und den Selbstschutzmechanismen Ausschau halten, so wie das z.B. hier gezeigt wird: KernelMode.info • View topic - AV SP Discussion & Bypass
Auch wenn es kein AV, sondern ein Anti-Rootkit-Programm ist, hier gibt es einen kompletten Quelltext, mit dem sich IceSword beenden lässt: KernelMode.info • View topic - Source Code to Kill IceSword
Und hier noch einige weitere Tricks, um Antiviren-Programme auszuschalten: KernelMode.info • View topic - AV SP Discussion & Bypass

Aber natürlich gibt es auch viele weitere Angriffspunkte: KernelMode.info • View topic - AV SP Discussion & Bypass

Das Thema ist eigentlich unerschöpflich, da ein Benutzer mit den höchsten Rechten eben auch sämtliche Schutzmechanismen wieder aushebeln kann, die ein Programm einbringt - entsprechende Anstrengungen vorausgesetzt.

PS: Entschuldigung, dass ich jetzt so oft in ein anderes Forum verlinkt habe, aber da wird meiner Erfahrung nach sehr häufig über solche Themen auf hohem Niveau diskutiert.

 

[CDW]

Ich hoffe ihr könnt mir weiterhelfen, indem ihr mir Stichwörter zur Recherche oder einige Literaturhinweise empfehlt.

Ja, die üblichen Verdächtigen:
SecurityFocus (Bsp: für Vendor "Kaspersky" und "Kaspersky Labs" auswählen)
Exploits Database by Offensive Security
Search « Exploits Database by Offensive Security
=> Bsp Ergebnis: Kaspersky Internet Security 2013 - Denial Of Service Vulnerability
Search
Search files: kaspersky ≈ Packet Storm
Search files: antivir ≈ Packet Storm
Search files: bitdefender ≈ Packet Storm

auf der Suche nach Möglichkeiten, eine Antivierenprogramm direkt anzugreifen

Du hast bei Deiner Recherche 3 Probleme:
1. die AV Hersteller sind auch nicht auf den Kopf gefallen und durchsuchen ebenfalls die (mehr oder weniger) öffentlichen Quellen - somit ist die Wahrscheinlichkeit, irgendetwas funktionierendes zu finden eher gering
2. Funktionierender Angriff auf ein bekanntes AV Programm landet eher auf dem Schwarzmarkt (bzw. dann im aktuelleren Web-Attack-Toolkit), denn das bringt Geld ein, und nicht bloß ein "Dankeschön"
3. Wozu soll ein AV direkt angegriffen werden? Zumindest aus der Sicht der Malware?
Es reicht ja komplett aus, wenn das AV Programm bei der Malware nicht anschlägt - und hier dürfte jede halbwegs aktuelle Malware punkten (bzw. es ist quasi ein "Pflicht" Werbepunkt - welche AVs wie gut ausgetrickst werden).

 

[CDW]

von xrayn in der Chatbox gepostet:
KernelMode.info • View topic - AV SP Discussion & Bypass
auch die vorherigen Postings sind durchaus lesenswert.