Buenos días,

Primeras aclaraciones:
  No vengo a preguntar cómo hacer un troyano, ni a pedir un source code de uno de ellos, ni a preguntar como funciona un troyano ya desarrollado.

Segundas aclaraciones. Conocimientos:
  Avanzados en programación en distintos lenguajes. Utilizaré para este proyecto C++ y ASM.
  Básicos de criptografía (Diferenciación entre distintos tipos de criptografía, como por ejemplo simetrica y asimetrica, y conocimientos básicos del funcionamiento de éstos).
  En seguridad, tanto de redes como de aplicaciones (He realizado varias pruebas de concepto. Considero básicas para éste proyecto: Reversing, DLL Injection, API Hooking, Social Engineering - Phising, MiTM, ...)
  Y seguro que alguna cosa más me dejo que necesite para llevar a cabo este proyecto.

Terceras y últimas aclaraciones:
  El proyecto del que voy a haceros unas preguntas trata del desarrollo de un troyano medianamente avanzado. Incluiría rootkit, sistemas de propagación, sistemas de espionaje y sistemas de control. Algo que si en un futuro se pusiera en marcha y tuviera éxito, se pudiera considerar algo como una botnet.

Una vez hechas éstas tan necesarias aclaraciones, voy al grano;
  Quiero empezar a desarrollar malware por cuenta propia (inicialmente para sistemas windows), y tengo una serie de dudas al respecto:
    1. Localización del malware: ¿Cual es la mejor localización de un malware dentro de un sistema? ¿Sistema de arranque, drivers, archivos temporales, ...? ¿Porque?
    2. Antivirus: ¿Cómo un antivirus identifica un proceso malicioso? ¿Que reglas siguen los antivirus más modernos?
    3. ¿Que "estructura o diseño" consideráis la mejor para este tipo de malware? ¿Porque?

He de decir que me he estado mirando las preguntas más frecuentes y sí que es verdad que algunas responderían a mis dudas, pero los posts o se han eliminado o están incompletos y no me dan la información que necesito.

Muchas gracias por leeros el tostón y espero que alguien pueda responderme
Un saludo!

100% de acuerdo. Al rato de escribir el post me acordé que C++ no es un buen lenguaje para trabajar a bajo nivel (Ultimamente estoy trabajando más en diseño de páginas e-commerce y estaba un poco despistado )

En cuanto a lo de Ring0, algo había leído pero no me atrevía a ponerlo por si era una locura trabajar a nivel de drivers. Según tengo entendido los antivirus no pueden acceder a Ring0, lo que me hace pensar ¿cómo los antivirus finalmente detectan el malware que trabaja a ese nivel? Ya que en algún momento u otro tendré que hacer modificaciones de memoria, y eso creo que si es detectable.

Saludos y gracias

Al utilizar malloc estás utilizando C sin darte cuenta, ya que pertenece a la librería estándar de C.

Piensa que una clase en C++ es una estructura en C la cual contiene punteros a funciones o a miembros internos. Si te fijas en C++ las clases tienen una Virtual Table (vt) el cual es un array de pointers a functions.

Podría elaborar una respuesta gigantesca, pero mejor indico cuales son los mejores procedimientos a seguir en base a tus cuestiones.


La mejor localización es infectar el arranque del OS para que cargue nuestro Kernel Boot Driver antes de que cargue los drivers del sistema, entre los que se incluyen los del AV. Otras opciones serían modificar un driver legítimo, pero su firma digital cambiaría por lo que "Code Integrity" no podría verificar de manera satisfactoria el módulo, por lo que tendrías que patchear Code Integrity y el módulo que carga Code Integrity en el Boot, es decir, patchear CI, Winload y BootMgr.

Con secure boot habilitado BootMgr es verificado por la UEFI gracias a la clave pública embebida en el code del firmware de UEFI (en mi caso ASRock (placa base manufacturer)). Si arrancas antes del AV ganas, así de facil.


Mediante firmas, módulos y llamadas a APIs utilizadas, heurística, detección en tiempo de ejecucción. Un AntiVirus piensa que apenas hace nada, suelen incluir módulos adicionales para lograr lo que he dicho, en mi caso cuento con un AV, FW y un HIPS, siendo el HIPS el módulo que protege los cambios sobre mi sistema (abrir claves del registro, copia de archivos, hookeo de funcs, apertura de handles, elevación ... cualquier cosa que haga un ejecutable).


Sobre programación en Win$ utiliza la DDK (Driver Development Kit) de Win 8.1, pues podrás desarrollar user-mode y kernel-mode drivers para WinVista, Win7 y Win8/8.1. La DDK utiliza su propia implementación para el desarrollo de drivers basado en diseño y uso de interfaces ya definidas.

Sobre las características a incluir, bueno, esto ya es subjetivo, a mi apenas me gusta hacer ruido. Dependiendo del rootkit, éste hará ruido o no. No todos los rootkits son tan potentes como los pintan ahí fuera, lo que hay es un miedo extremo a este tipo de amenazas. Pero su detección si que es algo más tediosa, pero si la amenaza no es gran cosa sigue siendo trivial su eliminación.

Si tienes dudas con los temas de criptografía simplemente postea en el foro correcto y te ayudaré encantado.

Saludos.

A partir de Windows Vista se introdujo la Driver Signature Enforcement Policy la cual hace uso de la Kernel Mode Code Signing Policy.

Te dejo una breve explicación: tanto en x86 y x64 si Secure Boot está activo tu driver debe de estar firmado por una CA perteneciente al programa de certificación de Microsoft. Obviamente si Secure Boot está activo lo tendrás díficil para bypassearlo, a no ser que exista una vulnerabilidad que te permita deshabilitarlo vía UEFI (alterando la Platform Key).

Si Secure Boot está desactivado, en x86 podrás cargar drivers unsigned o sin firmar, es decir, no necesitan firma digital ni certificado alguno. En x64 sin Secure Boot el driver puede ir firmado por cualquier entidad certificadora (CA) en la que confíe el módulo CI (Code Integrity). La lista es la siguiente -> https://msdn.microsoft.com/en-us/library/windows/hardware/dn170454%28v=vs.85%29.aspx

Info útil:

Como firmar un driver para testeo en nuestro equipo (paso a paso): https://msdn.microsoft.com/en-us/library/windows/hardware/dn653569%28v=vs.85%29.aspx
Política de firmado de drivers en Windows Vista y superior: https://msdn.microsoft.com/en-us/library/windows/hardware/ff548231%28v=vs.85%29.aspx


Para abstraerte de GNUPG debes de saber como funciona la criptografía asimétrica. Cuando envías un archivo cifrado por RSA, lo que haces es generar una clave simétrica (AES) aleatoria, cifras el mensaje con dicha clave y cifras el mensaje y la clave con la clave pública del destinatario. Además, hasheas el mensaje cifrado y la clave y lo cifras con tu clave privada, de esta forma incluyes tu clave pública en el mensaje para que el destinatario pueda verificar la integridad de los digest o hashes.

El destinatario hará las siguientes operaciones:

- Descifras el contenido con la clave privada una vez llegue el mensaje. Computas el hash del descifrado y descifras con la pública del emisor la firma digital. Si ambos hashes coincides el mensaje viene del emisor y no ha sido modificado, por lo tanto confiamos en la clave simétrica y procedemos a descifrar el mensaje.

OJO, hay varias variantes, pero a mí es la que más me tira.

¿Qué operaciones matemáticas? Usando RSA:

Cifrar: m^e (mod N) o m^d (mod N) para firmas digitales.
Descifrar: m^d (mod N) o m^e (mod N) para firmas digitales.

Lo suyo es que si estas en Win$ utilices el la API de RSA o bien utilices las librerías OpenSSL o NSS. También puedes hacerlo tú mismo a mano, no es tedioso una vez sabes el proceso.

Saludos.