elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Tutorial básico de Quickjs


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Malware que descarga instrucciones?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 [2] 3 Ir Abajo Respuesta Imprimir
Autor Tema: Malware que descarga instrucciones?  (Leído 9,469 veces)
Vaagish


Desconectado Desconectado

Mensajes: 875



Ver Perfil
Re: Malware que descarga instrucciones?
« Respuesta #10 en: 23 Junio 2014, 21:43 pm »

Citar
El Payload simplemente son instrucciones "funciones" pasadas a opcode, los payloads normalmente son utilizados en los exploits, este se encarga de explotar el bug y cargar el payload para que ejecute las instrucciones "funciones" que desees. Los polimorfismos de los payloads suelen ser mas simples que los del malware, pero el metedo es casi el mismo.
Bien,, pero el exploit también son opcodes, no? Son muy parecidos.. en si el payload es la función especifica que explota la vulnerabilidad..

Citar
Y esta es una pregunta abierta, eso de la VM de VB6, solamente es interpretado si el sistema tiene VB6 en el, no? Esta crea un opcode que la VM de VB6 puede interpretar, si es así desde mi punto de vista no vale mucho.
Mas que tener el VB6 instalado lo que necesita es la misma VM, como dijo MCKSys, mas específicamente se necesita la libreria msvbvm60.dll, como funciona exactamente "por dentro", lo desconozco, pero básicamente es una VM..

Citar
La verdad yo no le veo el sentido a esas cosas, no es mejor buen polimorfismo?
La idea es que el motor pregunte a un servidor que hacer.. estas tareas podrían cambiar en cualquier momento, ya sea la acción como la forma de realizarla.. supongamos que algún AV detecta la acción maligna, (pero no el metodo).. la acción podría hacerse con diferentes opcodes modificandola desde el servidor..

Saludos!
En línea

xv0


Desconectado Desconectado

Mensajes: 1.027



Ver Perfil
Re: Malware que descarga instrucciones?
« Respuesta #11 en: 23 Junio 2014, 22:07 pm »

No, el exploit es el que se encarga de explotar la vulnerabilidad, el payload es el que se encarga de ejecutar las ordenes "funciones" que dicta su opcode, "es el transportista".

Y bueno sobre si el exploit son opcodes, pues te diría de que los dos pueden se representados en opcode. Si haces un antivirus potente puedes declarar el exploit y el payload juntos en un puntero, y que tu virus los llame.

En el link que te pase, ves la shellcode pasada en opcode en "formato" C, eso es el payload con su decrypt, siempre puedes poner el exploit en primer lugar y llamarlos, como dije anteriormente.

Y sobre la VM, pues si el user no elimina VB6 y su maquina pues este método si es valido.

Si te decides con los métodos del polimorfismo y ASM, cuanta con mi ayuda, ya que estos temas me parecen interesantes y no hay ninguno.

Un saludo.
« Última modificación: 23 Junio 2014, 22:09 pm por cpu2 » En línea

Vaagish


Desconectado Desconectado

Mensajes: 875



Ver Perfil
Re: Malware que descarga instrucciones?
« Respuesta #12 en: 24 Junio 2014, 00:21 am »

Citar
Y sobre la VM, pues si el user no elimina VB6 y su maquina pues este método si es valido.

Si te decides con los métodos del polimorfismo y ASM, cuanta con mi ayuda, ya que estos temas me parecen interesantes y no hay ninguno.

Naa,, pero mi idea no es usar la VM de VB6  :xD

Citar
Si te decides con los métodos del polimorfismo y ASM, cuanta con mi ayuda, ya que estos temas me parecen interesantes y no hay ninguno.

Ya estoy haciendo unas pruebas en ASM.. y claro que si! Toda participacion es bienvenida.. (ademas puede ser un proyecto largo si asi se quiere) a lo mejor sale algo bueno  :P
En línea

daryo


Desconectado Desconectado

Mensajes: 1.070



Ver Perfil WWW
Re: Malware que descarga instrucciones?
« Respuesta #13 en: 24 Junio 2014, 00:37 am »

Citar
Creo que un buen ejemplo de una VM NO polimorfica es la VM de VB6 (la libreria msvbvm60.dll).
Cuando haces un EXE compilado en P-CODE, lo que obtienes es un exe que tiene opcodes que son interpretados por la maquina virtual de Visual Basic. No hay codigo x86 en el ejecutable.
muy interesante con que de esa forma es como funciona,

edito:
me imagino  que una VM polimorfica es completamente indetectable , claro lo digo sin conocer demasiado del tema
« Última modificación: 24 Junio 2014, 00:41 am por daryo » En línea

buenas
Vaagish


Desconectado Desconectado

Mensajes: 875



Ver Perfil
Re: Malware que descarga instrucciones?
« Respuesta #14 en: 24 Junio 2014, 00:49 am »

Citar
me imagino  que una VM polimorfica es completamente indetectable , claro lo digo sin conocer demasiado del tema
Mmm... no necesariamente.. yo creo que completamente indetectable no hay nada.. (quizás sea indetectada por un tiempo..) pero a la hora de la heuristica o abuso del malware,, siempre termina detectado...
En línea

x64core


Desconectado Desconectado

Mensajes: 1.908


Ver Perfil
Re: Malware que descarga instrucciones?
« Respuesta #15 en: 24 Junio 2014, 04:15 am »

En realidad eso es lo que hace y a hecho malware durante años la descarga de payload desde la algún servidor y ejecutarlo.
Pero sí, hablando especificamente acerca de 'descargar instructiones' y ejecutarlas es posible , el código debe ser especialmente
diseñado para ser ejecutado de tal manera me refiero a PIC Pero igual se puede implementar una función que resuelva las direcciones de memoria de igual manera que lo hace Windows.

Un lugar donde puedes encontrar VMs polimorficas es este. Pero ojo con lo que ejecutas! :)
Mostranos al menos una 'VM polimorfica' que se encuentre en ese sitio.

En línea

Vaagish


Desconectado Desconectado

Mensajes: 875



Ver Perfil
Re: Malware que descarga instrucciones?
« Respuesta #16 en: 24 Junio 2014, 05:21 am »

Citar
Pero igual se puede implementar una función que resuelva las direcciones de memoria de igual manera que lo hace Windows.

Te referis a por ejemplo las funciones de las apis? Yo tenia pensado (en un principio), leer desde el servidor una cadena por ejemplo asi:

Citar
Modulo:Kernel32.dll;Funcion:CopyFile;FileName:X.exe;....

Con eso el motor ya sabría que hacer con X cosa.. cargaría con LoadLibrary el modulo, llamaría a la función con GetProcAddress, etc, etc... luego surgió lo de los opcodes y una maquina virtual mas compleja.. es todo cuestión de probar, solo así se podrá saber la eficiencia..

Citar
Cita de: MCKSys Argentina en Ayer a las 20:12
Citar
Un lugar donde puedes encontrar VMs polimorficas es este. Pero ojo con lo que ejecutas! :)
Mostranos al menos una 'VM polimorfica' que se encuentre en ese sitio.

VM polimorfica no vi, (tampoco busque a fondo) pero hay buena información referente al tema.. la otra información que puso MCK también es muy buena, la VM esta creada en C#, pero no deja de ser buen material..

Saludos!
En línea

MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.518


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: Malware que descarga instrucciones?
« Respuesta #17 en: 24 Junio 2014, 06:04 am »

Mostranos al menos una 'VM polimorfica' que se encuentre en ese sitio.

La verdad, hace ya un tiempo que vengo leyendo tus posts y me resultan cada vez más irritantes (más allá de quien tenga la razón o no). Es evidente tu necesidad de "demostrar" y "desafiar" y, la verdad, no dedicaré más tiempo que el que estoy empleando para informarte sobre esta cuestión.

VM polimorfica no vi, (tampoco busque a fondo) pero hay buena información referente al tema.. la otra información que puso MCK también es muy buena, la VM esta creada en C#, pero no deja de ser buen material..
Saludos!

Ese sitio contiene muchos sources con info para crear código polimórfico. En los otros links, hay info sobre cómo crear una VM.

Uniendo uno con lo otro tienes casi todo lo necesario para empezar.

Saludos!
En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

x64core


Desconectado Desconectado

Mensajes: 1.908


Ver Perfil
Re: Malware que descarga instrucciones?
« Respuesta #18 en: 24 Junio 2014, 06:19 am »

Te referis a por ejemplo las funciones de las apis? Yo tenia pensado (en un principio), leer desde el servidor una cadena por ejemplo asi:


Con eso el motor ya sabría que hacer con X cosa.. cargaría con LoadLibrary el modulo, llamaría a la función con GetProcAddress, etc, etc... luego surgió lo de los opcodes y una maquina virtual mas compleja.. es todo cuestión de probar, solo así se podrá saber la eficiencia..
Mostranos al menos una 'VM polimorfica' que se encuentre en ese sitio.
No, eso vendria a relacionarse si en el código se necesitase que las importaciones se resuelvan, yo realmente lo veo feo una implementación de
esa manera mejor resolver las funciones a usar durante la inicialización, me refiero a implementar GetModuleHandle, GetProcAddress , salvar la
direcciónes de memoria para luego usarlas.

Y lo que me refiero es a sresolver las direcciónes de memoria: http://en.wikipedia.org/wiki/Relocation_(computing)

VM polimorfica no vi, (tampoco busque a fondo) pero hay buena información referente al tema.. la otra información que puso MCK también es muy buena, la VM esta creada en C#, pero no deja de ser buen material..

Saludos!
En primer lugar como siempre la gente confunde este tipo de terminos lo que en realidad se habla en los enlaces es acerca de emulación de
código y no una maquina virtual, para realmente decir que es una maquina virtual allí debe haber virtualización, una maquina virtual
emula incluso el hardware incluyendo la BIOS.
Noten la enorme diferencia que hay entre emulación de código y una maquina virtual. Un ejemplo claro es Bochs este es más que un
respetable emulador. Y no se extrañen, es comun mirar norteamericanos en CodeProject programando algo que nisiquiera ellos mismos
saben que es.

La verdad, hace ya un tiempo que vengo leyendo tus posts y me resultan cada vez más irritantes (más allá de quien tenga la razón o no). Es evidente tu necesidad de "demostrar" y "desafiar" y, la verdad, no dedicaré más tiempo que el que estoy empleando para informarte sobre esta cuestión.
No sé a que viene esto, supongo que alguien esta teniendo un mal día.
« Última modificación: 24 Junio 2014, 06:22 am por x64Core » En línea

engel lex
Moderador Global
***
Desconectado Desconectado

Mensajes: 15.514



Ver Perfil
Re: Malware que descarga instrucciones?
« Respuesta #19 en: 24 Junio 2014, 06:39 am »

En primer lugar como siempre la gente confunde este tipo de terminos lo que en realidad se habla en los enlaces es acerca de emulación de
código y no una maquina virtual, para realmente decir que es una maquina virtual allí debe haber virtualización, una maquina virtual
emula incluso el hardware incluyendo la BIOS.

entonces java no es una maquina virtual debido que nunca emula hardware sino que hace la conversión de opcode java a opcode SOhost?
En línea

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
Páginas: 1 [2] 3 Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines