4. Check Point на максимум. Проверяем Anti-Virus с помощью Kali Linux

[apilichev]

Пошел проверять свой Sophos…

[zCooler]

Интересный момент.
В файлике с подсказками написана команда

sha256sum <file>

На видео вычисляется md5sum файла, и делается поиск md5 хэша по базе sha256 хешей. Логично что не найдено :)
youtu.be/-i3uWfkh6WM?t=651 вот тут видно, что вирустотал считает sha256

[cooper051]

Согласен, зашпарился. Но я надеюсь, что вы поверите мне, что по хэшу sha256 тоже не будет совпадений :)

[zCooler]

Логично. Хеш от рандомного файла + малвар пейлоада будет отличный от хеша самого пейлоада, и с изменением файла хеш будет различный. По этому в данном случае проверка по хешу бессмысленна.

[cooper051]

В этом и была мысль, показать на сколько просто создать вирус, который не детектится по хэшу. А именно этот способ чаще всего используется для потоковых антивирусов на шлюзах безопасности.

[zCooler]

Поправьте если не прав, но ЕМНИП используется сигнатурный способ детекта в основном.
Детектирование по хешу безсмысленное по определению.

[cooper051]

В том то и дело, что по дефолту на подавляющем большинстве шлюзов проверка hash-based. Она не бессмысленна конечно, но не так эффективна. И на чекпоинте это меняется путем включения deep inspection.
Более того, я проверил еще несколько серьезных вендоров (Cisco, Fortinet, PaloAlto) и там ровно такая же ситуация. Сгенерированный на коленке вирус проходит без проблем с дефолтными настройками анти-вируса. Правда при этом должен быть выключен IPS, иначе именно он успешно ловит эти простенькие вирусы, как раз на уровне сигнатур, но уже в потоке, еще до того, как файл попадет на анализ в AV.