Сканирование на наличие вредоносного ПО / обход антивирусов без предоставления образцов и устаревших инструментов.

Я хотел бы проверить, что мой полезный груз не будет обнаружен никакими антивирусами и, предпочтительно, EDR. Один из способов сделать это, конечно, загрузить его на VirusTotal и проверить / просканировать с помощью популярных антивирусных движков.

Конечно, риск в том, что отправка образца в VT может выдать вас и ваш образец окажется в этих самых антивирусных базах данных. Большинство инструментов уклонения, таких как veil evasion или hyperion, не рекомендуют отправлять в VT.

Один из вариантов — приобрести подписку на каждый антивирус, который вас интересует, установить их на виртуальной машине и просканировать свой образец с отключенным сетевым соединением. Я предполагаю, что кто-то разработал инструмент для этого, и мне не нужно делать это самому.

Я искал, и оба Malice и MalwareMultiScan — это инструменты для этого. Однако оба больше не поддерживаются. На самом деле, MalwareMultiScan упоминает в своем сообщении, что он был создан, потому что Malice больше не функционален.

VirusTotal, кажется, предлагает частное сканирование, но, очевидно, это на самом деле не дает вам вердиктов антивирусов:

Обратите внимание, что частный анализ не будет содержать вердиктов антивирусов, он будет содержать только вывод всех других инструментов характеристики и контекстуализации, которые мы запускаем, включая песочницы.

Так что это полезно, но не совсем то, что мы ищем. Я был бы даже доволен, если бы образец был отправлен через несколько дней. В конце концов, я не собираюсь разрабатывать вредоносное ПО, которое остается незамеченным бесконечно (хотя было бы неплохо, если бы так и было), и я принимаю, что это, безусловно, игра в кошки-мышки.

Есть подобный вопрос здесь, но многие из предложенных инструментов также не поддерживаются. Я подозреваю, что это может быть связано с тем, что ими злоупотребляют настоящие злодеи? Или, может быть, просто так, что специалисты по безопасности не очень заинтересованы в длительном обслуживании таких инструментов. Определенно, существует этический вопрос о том, помогает ли предоставление такой возможности кому-либо «плохим парням» больше, чем «хорошим парням», но я думаю, этот вопрос можно задать о большинстве инструментов, которые использует красная команда. Есть ли что-то этически иное в поддержании антивирусного сканера, чем в поддержании инструмента для уклонения от антивирусов? В любом случае:

Как это делают легитимные красные команды или пентестеры? Как это делают злоумышленники? Конечно, их методы не могут слишком сильно отличаться. Является ли запуск виртуальных машин с выбранным вами антивирусом правильным решением? Это, кажется, самый надежный и долговечный метод проверки обнаружения полезного груза.