Reventando

MalwareBytes
Poniendo a prueba la seguridad de los
antivirus
Alejandro Torres Ramirez - torrescrack
22/10/2013

@TorresCrack248

Reventando MalwareBytes
INTRODUCCION

Bien como lo promet durante el evento, para los que asistieron al Festival Iberoamericano
de Seguridad Informtica (FISI), me toco explicar lo simple que puede ser romper la
seguridad de algunos de nuestros protectores (antivirus) como lo es protecciones anticracking, las cosas que dejan pasar por alto y que ponen en riesgo su integridad, por
ejemplo evitar ser infectado por algn malware. Aqu tenemos el escrito detallado donde
explico los riesgos que corren los antivirus y como podran ser aprovechados. Intentare
explicar manualmente como lo hara un malware
En esta ocasin empezaremos con nuestro anti-malware MalwareBytes para no
aburrirlos vamos por l.

Pgina 1

Reventando MalwareBytes

HERRAMIENTAS:

Las herramientas usadas para este escrito son:

Debugger:
http://tuts4you.com/request.php?3479

Topo :
http://ricardonarvaja.info/WEB/OTROS/HERRAMIENTAS/Q-R-S-TU/topo12corregido.rar

LordPE:
http://ricardonarvaja.info/WEB/OTROS/HERRAMIENTAS/L-M-N-O-P/lordpedelux1.4.zip

Un poco de Cerebro

Pgina 2

Reventando MalwareBytes

INICIANDO:

Corremos nuestro anti-malware y veamos que nos ofrece y ver por donde podramos
empezar a analizar este software

Bueno primero al parecer todas sus funcionalidades estn disponibles solo por unos das.
Podramos adelantar la fecha en nuestro ordenador y Ahora veamos las limitantes..

Pgina 3

Reventando MalwareBytes

(Cambiando la fecha de nuestro ordenador)

(la seccin proteccin no me dejan usarlo en modo completo)

Pgina 4

Reventando MalwareBytes

(el anlisis memoria flash esta desactivo y solo disponible en la versin completa)

Ahora abrimos nuestro debugger y podremos ver en el punto de entrada que se trata de
un Visual Basic 5

(El software est limpio sin cifrar)

Bien podemos usar el MessageBox para encontrar la zona donde nos muestra el error.
Bien podemos presionar dentro de nuestro debugger CTRL+G y buscar lo que sera la Api
MessageBox de VisualBasic (rtcMsgBox)y ubicarnos en ese offset.

Pgina 5

Reventando MalwareBytes

Seleccionamos y con F2 ponemos un BreakPoint (punto de ruptura)

Ahora presionamos de nuevo analizar en la casilla de flash para que este intente
mostrar el mensaje y pare su ejecucin en ese momento.

En el stack o pila tenemos la direccin de retorno 0x42C66B, podemos seguirla (click

derecho- Follow in disassembler)

Pgina 6

Reventando MalwareBytes

Una vez que estamos ubicados en la zona podemos rpidamente ubicar que en el offset
0x42C5EB, existe una comparacin entre el contenido del buffer [4671D8], con el
contenido de del registro DI , y abajo un salto condicional, si es igual al registro toma el
salto y nos muestra el mensaje que no hemos comprado el software. Podramos hacer
algo sper sencillo y es cambiar el salto condicional y forzarlo para que no me muestre ese
mensaje molesto, pero quiero hacerlo algo ms ahmm.. PRO y ver de dnde nace el
problema. Aqu es de imaginarse que ese buffer lo utiliza en otras comprobaciones, ya que
en esta zona solo lo est utilizando para saber si est registrado el software y no mostrar
el mensaje, en la instruccin podemos seleccionarla instruccin , hacer click derecho ( Find
references to- Address Constant) y tenemos la lista donde es usado ese mismo buffer en
otros lugares, veamos:

Pgina 7

Reventando MalwareBytes

Ponemos un BreakPoint a todas esa lista:

Pgina 8

Reventando MalwareBytes

Reiniciamos y corremos de nuevo nuestro debugger y sabremos de donde empieza a

hacer comprobaciones o movimientos dentro de ese buffer y quizs veamos de donde
nace el problema y que bytes deben ir dentro de ese buffer.

Estamos ubicados en la primer ubicacin donde ha parado la ejecucin, aqu hay algo
importante como vemos est metiendo el contenido de eax , en los punteros indicados
y como el registro eax esta valiendo 0, esta limpindolos y recordando que ese buffer
debe ser distinto de 0 entonces aqu nace el problema y adems estoy seguro que esos

Pgina 9

Reventando MalwareBytes
buffers que est limpiando tambin se ocupan para comprobaciones que tienen que ver
con la licencia, abajo veremos un llamada si entramos con f7 podemos ver:

Esta parte es muy sencilla de explicar y es donde ubique el BreakPoint para que se
ubiquen mueve al registro eax 0FFFFFFFF despus hacer un OR eax, FFFFFFFF
quedando eax valiendo FFFF0000, si seguimos avanzando con F8, al retornar veremos
una comprobacin test ax, ax, recordemos el registro EAX es de 32 bits por lo tanto esta
comprobando nicamente 16 sea est comprobando si el contenido de ax que en ese
caso es 0 y entonces ya no guarda 0xFFFF en el buffer, veamos:

Lo que sigue es de lgica, el buffer donde quiere guardar 0xFFFF es uno de los que acabo
de limpiar arriba, por lo tanto estoy casi 100% seguro que todos los buffer que puso a 0
hace un momento son donde harn comprobaciones de licencia y que el valor 0xFFFF es el
correcto para que detecte que est registrado, pues si recuerdan el valor deba ser

Pgina 10

Reventando MalwareBytes
diferente de 0, para no mostrar el mensaje, y cuando retrocedimos vemos que en una
ejecucin normal el buffer se queda en 0, y en base a una comprobacin decide si mete
los bytes 0xFFFF al buffer. Creo que no hay mucho que pensar, si recordamos la zona
anterior:

Primero con el xor eax,eax pone eax a 0 y asi limpia todo entonces podemos hacerlo
muy fcil, primero probemos en el offset 0x451CFC ponemos un BreakPoint y reiniciemos
y que pare su ejecucin ah mismo para colocar en eax el valor adecuado y ver cmo
funciona todo:

Ahora ejecutamos todo F9

Pgina 11

Reventando MalwareBytes

Listo la seccin de proteccio en tiempo real se activ , ahora en el ttulo de la ventana

nos marca que es una versin (PRO) y el anlisis FLASH

Todo Funciona como si acabara de comprar mi licencia, y bueno todo est corriendo en
memoria, pero con un simple parche resolvera el problema, pero yo aprovechar un error
que quiero mostrarles y es algo muy importante que este antivirus no s porque dejo
pasar por alto y es que no detecta cambios en su propio cdigo y es algo grave.

Pgina 12

Reventando MalwareBytes
Por ejemplo vamos a crear una seccin de ms dentro del software como lo hubiera
hecho comnmente algn malware, para saber de lo que hablo leamos una parte en mi
escrito de anlisis malware polica federal.
http://www.hackingmexico.mx/analisis-malware-policia-federal/

En mi anlisis, desde la pgina 32, explico como el malware crea una seccin nueva para
posteriormente cambiar el punto de entrada del binario re direccionndolo a donde
inyecto cdigo para despus seguir su ejecucin normal.

Les cuento que no detecte cambios es un error grave en un antivirus ya que podra ser
vctima de algn ataque malware, mostrare como hacerlo manualmente y para ello
utilizamos la herramienta Topo abrimos seleccionamos nuestro binario, metemos los
bytes que queremos agregar, yo coloque 1000 bytes y presionamos Do IT! haber que
sucede:

la herramienta LordPE es en dado caso que a alguien le de error al ejecutar el binario,

eso podra deberse a que muchas veces se desacomoda la cabecera, en ese caso la
abrimos en el men de la derecha seleccionamos RebuildPe seleccionamos nuestro
binario y listo.

Pgina 13

Reventando MalwareBytes

Abrimos nuestro debugger y veamos que si se agreg correctamente la seccin:

En el offset 0x4DD000, entonces hagamos lo que hara el bicho antes mencionado pero
manualmente, redirijamos en algn momento la ejecucin a la zona creada y metamos
cdigo, que este caso aprovechare para meter el parche que no hice hace un momento,
pero antes recordemos los buffers donde debamos meter el 0xFFFF :

0x4671D4
0x4671D6
0x4671D8

Pgina 14

Reventando MalwareBytes
Podemos usar el offset 0x451CF0 antes de que guarde dentro del primer buffer el 0, para
hacer nuestra propia rutina metiendo los datos correctos:

Primero guardamos los cambios, seleccionamos, click derecho edit- copy to executable,
nos saldr una ventana, le damos cerrar a la nueva ventana y nos lanzara un Mesnaje
pereguntado si deseo guardar:

Digmosle que s y seleccionamos el binario, sobrescribindolo, entonces reiniciamos y

ahora as quedara el parche y una prueba de concepto simulando una inyeccin
malware:

Pgina 15

Reventando MalwareBytes

Como vemos hay coloque la primer instruccin que hace es un PUSHAD, que lo que hace
es salvar todos los registros y podemos hacer los movimientos que queramos para
despus usar POPAD y seguir como si nunca hubiese pasado nada, seguimos y colocamos
el parche para que meta el contenido 0xFFFF a los buffer antes mencionados.

Solo faltara agregar un push 0x451D02 y un ret y listo, estara perfecto un parche
funcional de MalwareBytes.
Lo siguiente es una muestra para mostrar como seria si agregramos un mensaje de
Infectado que se ejecutara cada que intenta verificar la licencia.

(PODEMOS OMITIR LO SIGUIENTE QUE SOLO UNA PRUEBA DE CONCEPTO DE UN MSGBOX

QUE APAREZCA CADA QUE SE QUIERE VERIFICAR LA LICENCIA)
Ahora meter un poco de cdigo para mostrar el Msgbox, simulando que es una infeccin
por malware:

Pgina 16

Reventando MalwareBytes
Antes de retornar debe meter a la pila la direccin donde regresara que es en la prxima
intruccion debajo de las instrucciones que no usaremos, que es el offset 0x451D02
Guardamos los cambios como mencione anteriormente y ahora lo que hara este es que
cada que pase a corroborar la licencia mandara un Mensaje que est infectado

Probemos!

Listo creo que fue todo, si tienen alguna duda o algo no quedo muy claro abajo estn los
lugares donde pueden contactarme.

E: tora_248@hotmail.com
T:@torrescrack248
B: www.torrescrack.blogspot.com

Pgina 17