Киберпугало (Scarecrow)- средство защиты от вредоносного ПО

[Dragokas]

Киберпугало отпугивает хакеров! В чем секрет?

В мире киберугроз происходит нечто удивительное: хакеры сами стали жертвами своих собственных уловок! Как это возможно? Давайте разберёмся.

Современные вредоносные программы очень хитрые: они проверяют, установлены ли на компьютере средства анализа, такие как отладчики или виртуализация. Если такие инструменты обнаружены, вредоносное ПО просто останавливается, думая что его уже обнаружили или что оно работает в песочнице для анализа.

И на сцену выходит Киберпугало — ваш защитник в мире киберугроз! Эта программа работает в фоновом режиме, «подделывая» индикаторы работы защитных средств. Вредоносные программы начинают думать, что ваш компьютер не подходит для атаки и не запускаются.

• Киберпугало запускает поддельные процессы, которые выглядят как инструменты для анализа безопасности, но на самом деле ничего не делают.
• Киберпугало создает фиктивные записи в реестре Windows, создавая иллюзию, что на вашем компьютере установлены средства защиты.

Это только начало! Уже сейчас Scarecrow демонстрирует потрясающие результаты.

В мире кибербезопасности важно быть на шаг впереди. Киберпугало — ваш надежный союзник в борьбе с вредоносными программами.

По информации: из телеграмм-канала Топ кибербезопасности Батранкова​

 

[HotBeer]

И кто-то лично проверял и тесты проводил эмпирическим путём из состава пользователей форума?

 

[akok]

Боюсь это просто маркетинговый ход.... на первый взгляд.

После каждого перезапуска, список меняется.

 

[Galaxy]

Интересно,насколько эффективно такое "пугало".

 

[akok]

Теоретически, любой вредонос который имеет самозащиту от анализа, посчитает, что его запускают в специальной среде и откажется запускаться.....

 

[Arkalik]

Для тех кто занимается разработкой вируса не составляет труда добавить в свой продукт пару строчек кода который проверяет сперва установлен ли в системе Scarecrow или нет, после этого запускать вирус. Точно также как вирус проверяет установлен ли в системе программы виртуализации (песочница).

 

[akok]

@Arkalik, это будет работать в обе стороны.

 

[regist]

Для тех кто занимается разработкой вируса не составляет труда добавить в свой продукт пару строчек кода который проверяет сперва установлен ли в системе Scarecrow или нет, после этого запускать вирус. Точно также как вирус проверяет установлен ли в системе программы виртуализации (песочница).

Вирус проверяет установлен ли он в среде виртуализации по характерным меткам. Именно этим метки как понимаю и добавляет в систему Scarecrow. Так что если они грамотно сделали, то отличить реальную систему анализа от фейковой будет сложно.

Насчёт эффективности не проверял (и не собираюсь), но теоретически из бытового - популярный майнер "Джон" не запустится на такой системе, а если он её уже заразил до установки, то работать перестанет (переодически просто будет выкидывать там ошибки, но мешать не будет).

 

[Arkalik]

Вирус проверяет установлен ли он в среде виртуализации по характерным меткам.

До проверки меток виртуализации, вирус первостепенно может проверить установлено ли в системе "Scarecrow". Если установлен "Scarecrow" тогда запускать вирус в любом случай, если не установлен тогда запустить уже второй этап, проверить систему в какой среде он запущен. Таким образом легко можно обойти защиту.

 

[regist]

До проверки меток виртуализации, вирус первостепенно может проверить установлено ли в системе "Scarecrow". Если установлен "Scarecrow" тогда запускать вирус в любом случай, если не установлен тогда запустить уже второй этап, проверить систему в какой среде он запущен. Таким образом легко можно обойти защиту.

А что тогда мешает для анализа вируса добавить ключ, что в списке установленных есть "Scarecrow" и спокойно не заморачиваться с маскировкой признаков отладки? Так что вирусу будет проще не запуститься и там и там, чем рисковать что его запуститься на отладочной. А вообще кому надо обходят все эти защиты для анализа вируса )))).