Random IRC quote :      <nullsuf> oh no <nullsuf> radareeee

The race to zero

Por medio de un sexyosito ( thx 😉 ) me he enterado de que este año en la DefCon va a haber un concurso que va a llenar de alegría y felicidad a muchas empresas antivirus, se trata de «The race to zero», la ideaRaze to zero es proveer a los concursantes de una serie de muestras de malware en cada ronda, el primer equipo en evadir la detección de estas muestras mediante su modificación, pero sin que exista perdida alguna de funcionalidad, gana la ronda. A medida que avancen las rondas las muestras de malware se irán volviendo más complejas, de modo que irá aumentando la dificultad de análisis y modificación de las mismas.

Las muestras de malware modificadas no serán puestas a disposición pública, por lo que se trata de un mero experimento de laboratorio en el que los concursantes tendran que demostrar su capacidad de engañar a los que hicieron las firmas en los antivirus.

Los objetivos que persigue demostrar el concurso son los siguientes :

1. Reverse engineering and code analysis is fun.

2. Not all antivirus is equal, some products are far easier to circumvent than others. Poorly performing antivirus vendors should be called out.

3. The majority of the signature-based antivirus products can be easily circumvented with a minimal amount of effort.

4. The time taken to modify a piece of known malware to circumvent a good proportion of scanners is disproportionate to the costs of antivirus protection and the losses resulting from the trust placed in it.

5. Signature-based antivirus is dead, people need to look to heuristic, statistical and behaviour based techniques to identify emerging threats

6. Antivirus is just part of the larger picture, you need to look at controlling your endpoint devcies with patching, firewalling and sound security policies to remain virus free.

Me parece una idea muy interesante y creo que puede demostrar la ineficacia de las reglas de este tipo que se utilizan actualmente en la mayor parte de los antivirus, las cuales aparte de generar un enorme problema, dado que su mantenimiento al igual que su comprobación en tiempo real son costosos, no acaban de aportar una solución del todo eficaz en la defensa contra las infecciones.

Creo que los tiros pueden andar por pasar definitivamente a una solución mixta, cosa que algunas compañías ya están haciendo mejorando o preparando sus motores para realizar análisis de comportamiento en tiempo de ejecución, así como por la mejora de los motores de emulacion, desempaquetado y heurísticos en lo que se refiere a análisis estático.

Sobre el concurso en sí, comentándolo con algunos amigos, nos han surgido algunas dudas :

– ¿Se podrá utilizar un packer creado por tí mismo o uno modificado para evitar la detección de las muestras?
– ¿Van a realizar un análisis exclusivamente con motores estáticos o van a ejecutar las muestras en algun tipo de entorno virtualizado probando de esta manera también los motores de análisis de comportamiento?

Sobre la primera de las cuestiones, no sé como van a regular este tipo de cosas, porque está claro que si los antivirus no conocen el packer y este tiene algunos cuantos truquitos antiemulación :)) …

Sobre la segunda cuestión supongo que utilizarán algo del estilo a VirusTotal

De cualquier manera, para estar seguros, les he mandado un mail a las direcciones de contacto a ver si nos pueden dar más información sobre el concurso y para proponerles una idea … que inviten a gente de las compañías antivirus!, para ver quien hace las mejores firmas en directo!! ;-)))

En fin, este año si pasamos por la DefCon ( go, sexypandas, go!! ) prometo pasarme a curiosear un rato y quién sabe, igual a participar 🙂

Un saludo!,

Mario

P.D : Si recibo respuesta al mail postearé una actualización en este mismo post.

Actualizado (1)

Algunos enlaces sobre la noticia en otros blogs y prensa electrónica :

http://erratasec.blogspot.com/2008/04/racing-to-zero.html
http://www.beskerming.com/commentary/2008/04/28/356/DefCon_Competition_has_Antivirus_Vendors_Complaining
http://arstechnica.com/news.ars/post/20080427-antivirus-vendors-pan-free-research-from-defcon-contest.html
http://www.pcworld.com/businesscenter/article/145148/security_vendors_slam_defcon_virus_contest.html

6 Comentarios para “The race to zero”

  1. Comment por infi | 04/29/08 at 3:38 pm

    Una iniciativa realmente interesante. Es otra forma interesante de competir, en vez del CTF donde van todos contra todos, un todos contra el codigo. Si alguno piensa acudir que cuelge algun footage o fotos o algo 🙂

  2. Comment por atarasco | 04/29/08 at 8:11 pm

    este año pandas, contad conmigo 😉

  3. Comment por Tora | 04/30/08 at 4:47 am

    Ostras Mario, pues no es mala idea lo del concurso de firmas. Porque como en este dejen utilizar packers… o como alguien inyecte exploits para la VM, el concurso debería llamarse «own the host».

    Atar: ¿Pandas? ¿ya has pasado los castings? x’DDD

  4. Comment por atarasco | 04/30/08 at 6:01 am

    Lo he intentado con los castings de operación triunfo pero no me han seleccionado 🙁

    x-DDD

  5. Comment por Mario Ballano | 04/30/08 at 11:13 pm

    Ya te digo Tora X-DDD, no sé, la cosa promete y seguro que va a dar que hablar, si vamos este año habrá que pasarse por allí a ver que se cuece :-). Estos no han contestado todavía al mail que les envié con las preguntillas, si responden os lo haré saber. Btw,,, Andrés, ten cuidado en el casting xDDD

  6. Comment por SoloJ | 05/04/08 at 5:55 pm

    Y si infectas sus virus con uno que te lleves tu en un taperware de casa?

Se han cerrado los comentarios