Anti "false-positive" Strategie mit PureBasic

Hi Schnuffel , hi zusammen 👋 ,

ich habe diesen Thread hier, sowie Installer für auto execute a3x-Files, als auch den englischen Thread intensiv verfolgt. Hatte mich anfangs bewusst nicht gleich zu Wort gemeldet, obwohl ich das Thema sehr spannend und wirklich gut fand/finde. Daher Danke dir erstmal Schnuffel für deine Bemühungen und die gute Idee bzgl. Umsetzung etc. 👌 .

Im engl. Forum steht ja noch eine Frage aus, ob Jos und du nicht ggf. auf Grund des länglichen Threads ein wenig aneinander vorbei redet (so zumindest meine Interpretation). Doch mal abgesehen davon war mein erster Gedanke auch erstmal, so wie Jos in einem Post argumentierte, was den "Black Hat" davon abhalten sollte diese neue verbesserte Variante nicht auch zu nutzen? Egal wie ausgeklügelt man da heran geht, umso mehr Malware mit AutoIt-Code geschrieben und genutzt wird (sei es nur Spiele-Cracks), umso häufiger werden die Virenscan-Hersteller diese Signaturen auch in ihre Datenbanken mit aufnehmen.

💡 Dazu sein auch gesagt, dass Virustotal zwar einen ganz ordentlichen Eindrück macht und einiges "offensichtliche" von den verschiedenen Herstellern auflistet, es jedoch nicht auf die Gesamtfunktionalität der jeweiligen Virenscanner zugreifen kann. Das heißt die Virenscan-Hersteller behalten sich vor, mehrere Scan Verfahren durchzuführen, wenn sie auf den Rechner installiert sind und teilen nur das nötigste öffentlich (online), bspw. auf Virustotal. Somit ist die Aussage "4 / 72" etc. nur die halbe Wahrheit.

Quelle: 🎬

Mein persönlicher bisheriger Ansatz war in den letzten Jahren immer:

1. Executable als x64 ohne UPX bauen
2. Virustotal drüber schauen lassen
3. Software an Abnehmer/Kunden/who-ever verteilen, mit Test- bzw. Installationsphase (angekündigt wegen möglichen false-positives).
4. Falls mal was aufkam, Virenscan-Hersteller über die entsprechende false-positive report Seite anschreiben und sein Programm dort white listen lassen. Ging bisher immer super unkompliziert und mit 1. hatte ich solche aufkommen auch ehrlich gesagt recht selten.

Mir ist klar, dass meine Anwendungen und mein Ablauf noch keine Statistik ausmachen und ich nur von Einzelfällen sprechen kann, doch wovon ich überzeugt bin ist, dass beim Bekanntwerden von besseren "Verschleierungstaktiken" (aus Sicht der Black Hats), sich die Virenscan-Hersteller entsprechend schnell einstellen.

Fazit: Ich bin dennoch gespannt ob ein abschließendes Votum oder ähnliches stattfinden wird (hoffe da auf's englische Forum).

Viele Grüße
Sven 👨‍💻

_{Kleine letzte Anmerkungen noch:
"Jon" ist Autor und Entwickler von AutoIt.exe/AutoIt3_x64.exe; "Jos" kümmert sich um alles was SciTE relevant ist (AutoIt3Wrapper und Co.).
Ich erwähne dies nur, weil es ggf. zu Verwechslungen führte oder führen kann.}

Sie können diese a3x-Dateien auf ungewöhnliche Weise verwenden, z. B. indem Sie einen Include erstellen und ihn als a3x referenzieren.

#Region ;**** Directives created by AutoIt3Wrapper_GUI ****
#AutoIt3Wrapper_Outfile_type=a3x
#EndRegion ;**** Directives created by AutoIt3Wrapper_GUI ****
#include-once

RunAs64bit()

Func RunAs64bit($iNoErrorStdOut = 1)
    If @AutoItExe = @ScriptFullPath Or @AutoItX64 Then Return
    If Not FileGetSize(StringTrimRight(@AutoItExe, 4) & "_x64.exe") Then Return SetError(1, 0, 1) ; one can never know as a coder
    ShellExecute(StringTrimRight(@AutoItExe, 4) & "_x64.exe", ($iNoErrorStdOut ? StringReplace($CmdLineRaw, "/ErrorStdOut ", "") : $CmdLineRaw))
    Exit 101 ; remove /ErrorStdOut because you are not in SciTE anymore, ..or not.
EndFunc   ;==>RunAs64bit

und die Beispieldatei:

#include <RunAs64.a3x>
MsgBox(0, @ScriptName, "@AutoItX64 = " & @AutoItX64 & @LF & $CmdLineRaw, 30)

Warum machen Sie das so? Keine Ahnung, aber es ist möglich, wenn Sie einen Grund haben, den Code nicht freizugeben.

( Ich glaube, ich benutze die Site falsch, aber ich weiß es nicht besser )

Zitat von SOLVE-SMART

Egal wie ausgeklügelt man da heran geht, umso mehr Malware mit AutoIt-Code geschrieben und genutzt wird (sei es nur Spiele-Cracks), umso häufiger werden die Virenscan-Hersteller diese Signaturen auch in ihre Datenbanken mit aufnehmen.

Genau auch meine Meinung, falls diese Möglichkeit besser funktioniert, dauert es bestimmt nicht lange, bis sie Kriminelle für ihre eigene Zwecke missbrauchen und die Mühe war umsonst.

Ich weiß nicht seit wann, aber Windows Defender klassifiziert auch *.au3 Files als Trojaner!

Microsoft Defender Antivirus has detected malware or other potentially unwanted software.
 For more information please see the following:
https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:AutoIt/Prcablt.SD!MTB&threatid=2147740918&enterprise=1
 	Name: Trojan:AutoIt/Prcablt.SD!MTB
 	ID: 2147740918
 	Severity: Severe
 	Category: Trojan
 	Path: containerfile:_C:\Coding\AU3\Internet\Mp3SearchEngine\Mp3SearchEngine v1.0.8.8.au3; containerfile:_C:\Coding\AU3\Tools\WallpaperBank\WallpaperBank v1.0.2.0.au3; file:_C:\Coding\AU3\Internet\Mp3SearchEngine2\Mp3SearchEngine_v2.0.1.1.au3; file:_C:\Coding\AU3\Internet\Mp3SearchEngine\Mp3SearchEngine v1.0.8.8.au3->(UTF-8); file:_C:\Coding\AU3\SystemInfo\CompStats\Computer Stats Utility 2.0.2.0.au3; file:_C:\Coding\AU3\Tools\HTML Imager\HTML Imager v1.0.1.1.au3; file:_C:\Coding\AU3\Tools\HTML Imager\HTML Imager v1.0.1.2.au3; file:_C:\Coding\AU3\Tools\HTML Imager\HTML Imager v1.0.1.3.au3; file:_C:\Coding\AU3\Tools\ImageSplitter\ImageSplitter v1.0.0.7.au3; file:_C:\Coding\AU3\Tools\Mp3SearchEngine\Mp3SearchEngine v1.0.9.2.au3; file:_C:\Coding\AU3\Tools\WallpaperBank\WallpaperBank v1.0.2.0.au3->(UTF-8); file:_C:\Coding\AU3\Video\XvidCapture\BackUp\XvidCapture v1.0.1.6_old1.au3; file:_C:\Coding\AU3\Video\XvidCaptur
 	Detection Origin: Local machine
 	Detection Type: Concrete
 	Detection Source: System
 	User: NT AUTHORITY\SYSTEM
 	Process Name: C:\Programme\Editor\Notepad3\Notepad3.exe
 	Security intelligence Version: AV: 1.421.1531.0, AS: 1.421.1531.0, NIS: 1.421.1531.0
 	Engine Version: AM: 1.1.24090.11, NIS: 1.1.24090.11

Bin gespannt, wann *.a3x als Malware erkannt werden...

Als ich das erste mal Schnuffels exe-Lösung mit Virustotal angesehen habe, schlugen nur 13 von 72 Scannern an.
Wenn man den Test nun wiederholt sind auf einmal ganze 32 von 72 Scannern angesprungen.

Hat irgendwer eine Erklärung warum Schnuffels Variante auf einmal so dermaßen auf dem Index gelandet sein könnte?
Auch die x86-UPX-Variante wird nun von 21 Scannern als schlecht erkannt.
Da gab es also auch einen Anstieg.

Könnte das mit dem derzeitig grasierenden Keylogger zusammenhängen, der derzeit im Umlauf ist?

Am Ende hat sich der Keylogger-Entwickler umgeschaut wie er das Ding am besten verstecken kann und ist ausgerechnet bei Dir fündig geworden.

Zitat von Schnuffel

da wäre ich nicht stolz drauf 😞

Aber dagegen könntest du nichtmal was machen (außer es nicht öffentlich verfügbar zu machen).