Executando verificação de segurança...
1

JeielLimaMiranda, você consegue reverter qualquer arquivo com conteúdo suspeito? E se o pacote zip está encriptado com senha?

Assim como você, já tive acesso a uma ou outra dessas ameaças quando procurei entender o funcionamento de payloads de algumas CVEs. Para determinadas vulnerabilidades, publicam todo pacote junto com a análise construída (Prova de Conceito). As formas mais incomuns para esconder esses exploits de antivirus são, por exemplo:

  • pacotes em Base64/Base32 (ou outra base) codificado várias vezes com reversão da sequência de bytes;
  • "soma" (XOR) de resultados de uma função determinística aos valores inteiros de bytes, misturando-os;
  • espalhamento de bits em posições específicas numa imagem;
  • vetores de bytes hardcoded como tabelas de constantes para tradução;
  • e a lista de criatividades segue...

Hoje, como as evidências para investigação ainda importam, os atacantes criam apenas um loader não malicioso para diminuir os rastros. Assim que esse loader certifica-se de seus poderes, baixa o payload de um local remoto (de algum site legítimo já infectado). Cara, e esse local pode ser qualquer um que não limita conteúdo ou o descaracteriza (marcas dagua, por exemplo). Se usou AES para encriptar o pacote, baixa a chave de algum lugar e é praticamente impossível, nesta época, quebrar o AES. Isso dificulta, em parte, reproduzir o ataque por completo para entender o funcionamento caso esses "depósitos distribuidos" na nuvem desapareçam. Se o loader for "genérico", permite carregar diferentes tipos de ameaças. É muita criatividade para um fim nada bom.

Carregando publicação patrocinada...
1

E se o pacote zip está encriptado com senha?

Há ferramentas de quebrar a senha. Além disso, o que é esperado por um malware é seu comportamento seja no código ou por conexão de rede.

1

JeielLimaMiranda, você consegue reverter qualquer arquivo com conteúdo suspeito?

Não. Dependendo do arquivo suspeito. Especialmente quem é da área de SOC (Centro de Operações de Segurança). Pois arquivos maliciosos não tem como esconder sem se manifestar o seu comportamento.