Нет ответов в данной теме

[usverg]

Добрый день! Создаю эту тему исходя исключительно из соображений самообразования. Для начала немного предыстории. Ранее уже поднимались вопросы относительно JS/CMD/PS (и если в случае с JS всё более или менее понятно - для проверки используется VM-песочница и поведенческий анализ (насколько я понял), то в случае с остальными интерпретаторами - "всё сложно" и чаще используется сигнатурный метод обнаружения). А что насчёт .NET приложений? Не далее как вчера, по почте пришёл образчик AgentTesla (при сканировании не определился, был отправлен в вирлаб, после чего этому образцу было присвоено наименование Trojan.PackedNET.770, при запуске срабатывает DPH (Trojan.Inject.2.0) - и это хорошо). Сегодня пришёл тот же самый AgentTesla, но перепакованный, и снова не определился (при запуске - DPH:Trojan.Inject.2.0, здесь никаких вопросов), был отправлен в вирлаб и позднее назван BackDoor.SpyBotNET.25. Далее во мне проснулось любопытство, и оба образца были запущены в изолированной виртуалке. По результатам было выяснено, что DPH срабатывает только при попытке инжекта в RegSvcs.exe (до сего момента "зараза" работает без "замечаний"), в тоже время, строковые ресурсы дампов RegSvcs.exe после инжекта в обоих случаях практически идентичны и содержат в себе весьма характерные наборы путей поиска установленного программного обеспечения для сбора учётных данных, а также одинаковые реквизиты для отправки собранной информации на почтовый ящик. Собственно, вопрос: а как осуществляется защита от вредоносных приложений, распространяемых в виде MSIL (.NET) сборок (тоже сигнатурно, или всё же как то интерпретируется)?