Bueno, ya terminé la nueva versión 0.3 y última!

Aquí vuelve ||MadAntrax|| con otra de sus aplicaciones...


Foto Ventana Principal



Listado de funcionalidades 0.3

[ + ] Modificar TimeDateStamp Permite modificar las fechas de creación, acceso y modificación del fichero final
[ + ] vMap: Offset Pointer (Muestra de forma gráfica que zonas del código se han modificado)
[ + ] Sistema de Log's (Genera y guarda un log con los cambios realizados al fichero, junto con TODOS sus offset's modificados)
[ + ] Virtual EOF (añade hasta 25 Kbytes de código adicional, altera el tamaño)
[ + ] Clonación de Código: Permite modificar el ejecutable con partes del código de otro ejecutable inofensivo
[ + ] Diccionario Estático: Selecciona de forma aleatoria un carácter hexadecimal para modificar el fichero
[ + ] Botón 'Detener': para finalizar el proceso de Metamorph en cualquier momento
[ + ] Ayuda Dinámica: Pulsar los botones '?' para ver la ayuda
[ + ] Mejoras en la GUI: Barra de título animada.
[ + ] Mejoras en la GUI: Añadida ventana de "About" con efecto petardos xD
[ + ] Mejoradas las estadísticas, ahora son más eficientes
[ + ] Mejoras en el código interno, los bucles y condiciones son ahora más estables y rápidos
[ + ] Se han cambiado los valores hexadecimales de los diccionarios
[ + ] Aumentados y mejorados los niveles de Ofuscación


Descripción

Este sencillo programa permite modificar un archivo ejecutable compilado (binario) para alterar su estructura interna sin modificar el tamaño original (ni aumentan ni disminuyen los bytes finales). No añade ningún Stub ni descomprime código en tiempo de ejecución. Si modificas 2 veces un mismo archivo obtendrás 2 ficheros distintos, nunca obtendrás 2 copias idénticas de un mismo fichero. Ahora como novedad podrás aumentar el tamaño del fichero modificado, añadiendo hasta 25 Kbytes de datos adicionales. También podrás usar partes del código de otra aplicación inofensiva para modificar tu ejecutable, de esta forma tu 'malware' tendrá partes de código de otra aplicación 'normal' y podrás despistar algo mejor a los Antivirus. Se ha añadido el módulo vMap que muestra en pequeñas celdas las zonas de código que se han modificado, permite también generar y guardar un archivo .log con todos los datos y modificaciones hechas al ejecutable, junto con el listado COMPLETO de los offset's modificados. De esta forma podrás utilizar el listado de offset's para modificar manualmente el mismo ejecutable sin necesidad de lanzar el proceso de nuevo o para integrarlo con otras tools.

Se ha añadido un nuevo modulo llamado 'Modificar TimeDateStamp'. Esto nos permite generar una fecha aleatória y establecerla como fecha de creación, acceso y modificación del fichero. De esta forma la víctima no sospechara si ve un fichero en su sistema con una fecha antigua. Además hay AntiVirus que no escanean ficheros con fechas muy inferiores. A parte permite dejar más modificado el ejecutable.

Para que sirve?

Los AntiVirus detectan un archivo malicioso si encuentran en su interior un patrón de datos que los identifican como tal. Un simple ejemplo:

fichero1

Los AntiVirus almacenan en su fichero de firmas un patrón que les ayuda ha identificar un archivo malicioso (firma), en este ejemplo diremos que es 01110. Bien, si yo consigo detectar cual es el patrón que delata a mi fichero malicioso y consigo cambiarlo un poco obtendré un fichero inocuo al AntiVirus, por ejemplo:

fichero2

Al realizar está técnica pueden ocurrir 3 cosas:

• El fichero final se ha modificado perdiendo su funcionalidad
• El fichero final se ha modificado manteniendo su funcionalidad, pero los AV lo siguen detectando
• El fichero final se ha modificado manteniendo su funcionalidad, y los AV NO lo siguen detectando

Está claro que nosotros queremos llegar al 3º punto, pero no es una tarea sencilla: Hay que ir modificando los Offset's del fichero hasta dejarlo ligeramente modificado, sin "romper" el ejecutable y que el AV no lo detecte. Bien, pues Cactus Metamorph realiza esta tarea de forma automatizada y en pocos segundos.

Como funciona realmente?

Cactus Metamorph coge un fichero compilado (*.exe) y examina TODOS Y CADA UNO de los Offset's del fichero, intentando modificar aquellos que no comprometen la estabilidad ni el funcionamiento del fichero, dejándolo intacto en cuanto a funcionalidad, pero modificado en cuanto a su estructura.

Cabe destacar que Cactus Metamorph no utiliza Stub's, no añade código adicional al ejecutable final, no comprime su estructura ni la expande. No altera su tamaño, deja y respeta hasta el último byte del fichero original (en la versión 0.2 puedes añadir código, modificando los últimos bytes). Después de la metamorfosis, el fichero final cambia por completo, modificando su MD5, CRC32, etc...

Entonces... ¿este programa deja indetectable cualquier fichero o troyano?

No, y lo repito 100 veces más: NO. Cactus Metamorph no asegura que el fichero final vaya a quedar indetectable, es más, si intentas usar este programa con ficheros famosos (Poison Ivy, Bifrost, etc...) no conseguirás nada, pues estos ficheros tienen las firmas en los Offset's vitales del fichero, si se intentan modificar se vuelven inestables y no funcionan.

Este programa te permitirá modificar de forma masiva aquellos Offset's que no son vitales de un ejecutable y dependiendo de cada caso obtendrás:

• Un fichero funciona indetectable
• Un fichero funcional detectado
• Un fichero no funcional (roto)

Dependiendo del nivel de Ofuscación y del Tamaño del Diccionario obtendrás un fichero más o menos modificado. En el cuadro de estadísticas obtendrás un valor llamado Total Offsets que indica cuantos Offset's se han modificado. Cuanto mayor es ese número mejor. Cada vez que uses este programa generará un fichero completamente distinto al anterior con un MD5 distinto. Disfrútalo



Bueno, dejo ya de escribir, espero que haya quedado claro más o menos cómo funciona el programa. Os recomiendo que lo probéis, modifica un fichero y lo subes a virustotal.com para ver si has conseguido "burlar" algún Antivirus.

LINK DE DESCARGA: http://cactus-software.elhacker.net/Cactus_Metamorph_0.3.zip

---

Necesito la ayuda de algún usuario para traducir el programa completo al inglés. Mandar privados los interesados

magnifique

No le puedo agregar más cosas... el programa está completamente completo. Lo único que falta es que algún usuario me ayude a traducir el programa en Inglés.

Si por casualidad se te ocurre algún módulo/método para modificar un ejecutable sin encryptar con stub ni inyecciones... me avisas!

La funcion se llama SetFileTime

Pues otro método seria el que esta desarrollando Hacker_Zero, lo de canbiar los offset por equivalentes sin llegar a alterar el flujo

Saludos

Si, bien conseguida.
Lo que ocurre es que en este tipo de programas la GUI es lo de menos. Se le suele dar mas importancia a la funcionalidad que a la interface, ya que es una herramienta. Por que sera que los martillos apenas han cambiado.

Si, creo saber un nuevo método. Creo saber también que es lo que hace el metemorph con los exes (analizando los resultados). El nuevo método lo estamos desarrollando Mrscript y yo en asm y karcrack en vb (se complementan ambas partes). Con éste método puedes cambiar datos de la sección code, de la data, incluso cambiar la iat y reestructurar el pe completamente. Mira unos temas más abajo, si te interesa ya sabes  .

Saludos

No tengo inconveniente en publicar el source. Pero si lo hago tendré que eliminar el algoritmo casero que encuentra los offsets "no vitales" y los modifica. Sé que ese algoritmo es la parte principal del programa, pero no quiero publicarlo y ver como empiezan a salir herramientas iguales al Metamorph.

Hasta donde yo se, no hay otra herramienta parecida, las demás inyectan código, usan Stub's o similares, por eso quiero mantener la privacidad.

Mañana publico el source incompleto (sin el algoritmo principal), más vale eso que nada, no? Saludos!!