web-dev-qa-db-ja.com

いくつかのマルウェアのソースコードを偶然見つけましたが、どうすればよいですか?

先日、誤って危険なサイトに行ったところ、今日、キャッシュにテキストファイルが置かれていることがわかりました。そして、ファイルの内容を読んだ後、それがセキュリティプログラムの脆弱性を悪用する潜在的に新しいマルウェアのソースコードであると推定しました。

ウイルス対策ベンダーに送信したいのですが、テキストファイルとして送信するだけです(ウイルスの署名を得るためにコンパイルする必要があり、プロセスがどのように自動化されているかわかりません)。 )、または私はそれを自分のIDEに貼り付けてビルドし、ビルドしたバージョンをそれらに送信する必要がありますか、またはどのようにそれらに送信する必要がありますか?最も安全で責任ある方法です。

malwareexploitantivirus
41
user67447

それを自分のIDEに貼り付けてビルドし、ビルドしたバージョンを彼らに送信する必要があります

それは良いオプションではありません。マルウェアの作成者と開発者の共通の開発環境があり、AVベンダーが合理的にアクセスできないと思われる理由がない限り、AVベンダーは自分でこれを行うことができます。 「リリースされたマルウェアはどのようなものであり、この欠陥を攻撃する可能性が高いと思われるさまざまなマルウェアをどのように検出できるでしょうか?」あなたができることより、それは彼らの仕事のラインに正直だからです。

考えてみてください。あなたが悪意を持っているわけではないので、これは悪用コードの概念実証になります。 意図されたマルウェアである可能性があり、自分で欠陥を発見しなかったが、クレジットと優先度の詳細を除いて、開示に関しては基本的に同じ立場にいる自分で欠陥を発見した場合書かれているこのコードは悪用可能であることを証明します。

少なくとも、次のことを行う必要があります。

  • オンラインでコードの認識可能な短いセクションを検索して、この特定のソースコードがまだ公開されていないことを確認してください。あなたが別の方法で推論したことは知っていますが、これがisプルーフオブコンセプトの悪用コードではなく、マルウェアではないというしつこい感じを揺るがすことはできません。

  • このコードが悪用する「セキュリティプログラム」のベンダーの欠陥開示プロセスを通過します。プロセスがない場合は、メールまたはその他の方法で連絡して質問します。このプロセス内でできることは何でもして、欠陥の実用的なエクスプロイトがすでに広まっているという結論を伝えます。

  • それでも満足のいく応答が得られない場合は、1つ以上のAVベンダーに問い合わせてください。選択したベンダーがマルウェアの提出を受け取ることを好む方法を確認するか、 既存の連絡先の詳細リスト を使用してください。これはやや珍しいケースなので、悪意のあるバイナリではなく送信元があるので、反対側に人間がいるかのように見えるものに頼ることをお勧めします。

  • あなたがたまたま使用しているAVだけに焦点を当てないでください。もしあなたが(主要な)AVベンダーに問題を認識させるように説得できれば、あなたを含む他の人が従います。より大きなAVベンダーはまた、欠陥のあるソフトウェアのベンダーに、それに対して何かをするように説得するのに適しています。報道から、同じソフトウェアまたは同じベンダーのソフトウェアに以前に欠陥を発見したセキュリティ研究者を特定できる場合は、連絡先のリストにそれらを含めてください。彼らはすでにあなたを満足させることに失敗した開示プロセスを扱ってきました。

  • それでも満足のいく応答が得られない場合は、絶対的な最後の手段として、疑わしいマルウェアのコンパイル済みバイナリバージョン[*]を上記のように送信し、送信されたバイナリのルーチンがソースでのルーチンよりも優れていることを期待します。

[*]あなたはすでにそれをコンパイルしているので、船はあなたのコンパイラーを悪用するかもしれないという懸念に乗り出しました同様にこのセキュリティプログラムを悪用するコードです。さらに言えば、それはmightテキストエディタを悪用するものであり、すでにそれを確認しています。 mightネットワークスタックを利用し、すでにダウンロードしている。それが人生だ。

32
Steve Jessop

コンパイルされたバイナリは、実際に見つかる実際のマルウェアとは大きく異なります。コンパイラとコマンドラインフラグが異なると、完全に異なるバイナリが生成されます。マルウェアバイナリは、追加のツールを使用して、または手動で、さらに最適化/難読化される場合があります。

コンパイルしたバイナリを提出すると、逆効果になる可能性が高く、全員の時間を無駄にするだけです。代わりに、ソースコードファイルを直接送信できない場合(フォームがバイナリを想定しているためなど)、人間と連絡を取ってソースを提供してください。

66
André Borie

マルウェアファイルを処理するための最も一般的な解決策は、それらを圧縮することです(Zipファイルなどで)。ただし、多くのAVツールはアーカイブ内を参照するため、自動検査の試行を阻止する必要がある場合があります。最も簡単な解決策は、Zipファイル(内容を暗号化する)にパスワードを設定することです。

原則として、パスワードはマルウェアのサンプルと一緒に配布されます。これは、人間ではなくマシンによって開かれないようにするためです。多くの場合、パスワードは「マルウェア」や「これはウイルスです」などの警告テキストであり、内容が有害である可能性があることを人間に明確に伝えます。

14
tylerl

アバストアンチウイルスを使用している場合、ユーザーインターフェイスを開くと、どこかに連絡先情報が表示されます。電子メールのアドレス帳でも十分です。コピーして貼り付けて送信してください。何らかの方法で、従業員はそれを必要な場所に送信します。
安全対策として、マルウェアが「舞台裏」で何かをした場合、起動時スキャンを実行することをお勧めします。 (ほとんどのAVで利用可能なオプション)。

0
Robbyn M

送信先のAVベンダーがわからない(実際には、提出を1つのAVベンダーに制限する理由がわかりません)

あなたがする必要があるのは、AVベンダーに連絡することです。彼らはいくつかの電子メール/メーリングリスト/フォーラム/チャット…を利用できるでしょう。悪意のあるソースコードがあり、それらを提出したいことを説明します。あなたの問題は、ファイルを人間に送ることです(提出された実行可能でないバイナリを誰も見ていないと仮定すると、自分の側からのエラーのように見えます)。それが適切な人に届くことを確認してください。

あなたが見つけたソースコードはnot悪意があるかもしれませんが、アナリストは忙しいためサンプルを処理できないことに注意してください(ただし、アーカイブを保持するようにしてください念のためこれは便利です将来的には)、またはAV会社も気にしないかもしれません(結局、提出物を調べる義務はありません)。

0
Ángel