elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Security Series.XSS. [Cross Site Scripting]


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Métodos de persistencia
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Métodos de persistencia  (Leído 3,282 veces)
lBoreal

Desconectado Desconectado

Mensajes: 17



Ver Perfil
Métodos de persistencia
« en: 6 Abril 2020, 05:15 am »

Buenas, alguna documentación sobre métodos o mecanismos de persistencia para malware? Logré desarrollar un módulo FUD pero cuando agrego la línea para editar el registro de Startup me lo detecta.

Tiene documentación? Algún mecanismo que pueda estudiar o algo similar?

agradezco la data!

Saludos
En línea

kub0x
Enlightenment Seeker
Colaborador
***
Desconectado Desconectado

Mensajes: 1.486


S3C M4NI4C


Ver Perfil
Re: Métodos de persistencia
« Respuesta #1 en: 6 Abril 2020, 13:38 pm »

Una idea es agregarte a la carpeta de Start Programs. Otra es hacer dll hijacking en directorios de aplicaciones muy utilizadas por el usuario y que te permitan escritura sin permisos de admin. Otra es infectar binarios legítimos para arrancar desde ahí (coges el binario lo vuelcas en memoria, mezclas con tu binario, dejas los iconos/recursos como estaban y listo).

Saludos.
En línea

Viejos siempre viejos,
Ellos tienen el poder,
Y la juventud,
¡En el ataúd! Criaturas Al poder.

Visita mi perfil en ResearchGate

lBoreal

Desconectado Desconectado

Mensajes: 17



Ver Perfil
Re: Métodos de persistencia
« Respuesta #2 en: 6 Abril 2020, 18:31 pm »

Bien, tengo una pregunta por método mencionado:

1. Lo de startup suena muy fácil, es más fácil de detectar cierto? Imagino que deben haber miles de malwares desarrollados por noobs como yo que agreguen un registro en /Run o usen schtasks.exe (Tareas programadas).

2.
Citar
Otra es infectar binarios legítimos para arrancar desde ahí (coges el binario lo vuelcas en memoria, mezclas con tu binario, dejas los iconos/recursos como estaban y listo).

Esto lo hago con OllyDbg? Agarro mi binario, abro el otro binario y le meto el mío? Imagino que luego tengo que cambiar de alguna forma el Entry Point para que salte a la posición de memoria donde está mi programa.

3. Voy a buscar por mi cuenta, si tenes alguna documentación de dllhijacking estaría agradecido.
En línea

kub0x
Enlightenment Seeker
Colaborador
***
Desconectado Desconectado

Mensajes: 1.486


S3C M4NI4C


Ver Perfil
Re: Métodos de persistencia
« Respuesta #3 en: 6 Abril 2020, 20:15 pm »

Sobre la segunda opción, has de escribir el binario original como recurso embebido Después, al ejecutar el binario infectado, tendrás que cargar el binario original mediante un loader PE (runPE). Hay tropecientos en internet. Es decir binario_infectado > realizas X acciones maliciosas > cargas la imagen PE original en runtime > se ejecuta el binario original.

3. Voy a buscar por mi cuenta, si tenes alguna documentación de dllhijacking estaría agradecido.

Esta técnica es conocida por el problema del árbol de dependencias. No es algo que yo haya estudiado a fondo pero si practicado. El problema es el siguiente, el OS Windows tiene una whitelist de las DLLs conocidas, por lo tanto si incluyo por ejemplo USER32.DLL en la carpeta del binario no va a llamar a esa DLL sino la que está en system32. En cambio, si la DLL no esta whitelisteada en el registro (regedit, clave KnownDLLs creo recordar) entonces TODO DEPENDE de como se haya programado la aplicación.

Si el binario tiene LoadLibrary("xxx.dll") y esa DLL está en otro directorio por ejemplo system32 si insterto una dll que se llame xxx.dll en el directorio del binario primero cargará la del WorkingDirectory, es decir la maliciosa. En cambio si hace LoadLibrary("C:\\Windows\\System32\\xxx.dll") va directamente al directorio system32 y escoge la .dll original.

Espero se entienda. Saludos.
« Última modificación: 6 Abril 2020, 20:22 pm por kub0x » En línea

Viejos siempre viejos,
Ellos tienen el poder,
Y la juventud,
¡En el ataúd! Criaturas Al poder.

Visita mi perfil en ResearchGate

lBoreal

Desconectado Desconectado

Mensajes: 17



Ver Perfil
Re: Métodos de persistencia
« Respuesta #4 en: 7 Abril 2020, 05:09 am »

Sobre la segunda opción, has de escribir el binario original como recurso embebido Después, al ejecutar el binario infectado, tendrás que cargar el binario original mediante un loader PE (runPE). Hay tropecientos en internet. Es decir binario_infectado > realizas X acciones maliciosas > cargas la imagen PE original en runtime > se ejecuta el binario original.

Esta técnica es conocida por el problema del árbol de dependencias. No es algo que yo haya estudiado a fondo pero si practicado. El problema es el siguiente, el OS Windows tiene una whitelist de las DLLs conocidas, por lo tanto si incluyo por ejemplo USER32.DLL en la carpeta del binario no va a llamar a esa DLL sino la que está en system32. En cambio, si la DLL no esta whitelisteada en el registro (regedit, clave KnownDLLs creo recordar) entonces TODO DEPENDE de como se haya programado la aplicación.

Si el binario tiene LoadLibrary("xxx.dll") y esa DLL está en otro directorio por ejemplo system32 si insterto una dll que se llame xxx.dll en el directorio del binario primero cargará la del WorkingDirectory, es decir la maliciosa. En cambio si hace LoadLibrary("C:\\Windows\\System32\\xxx.dll") va directamente al directorio system32 y escoge la .dll original.

Espero se entienda. Saludos.

Se entendió perfectamente y me iluminaste un poco más.

Muchas gracias!
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
sobrecarga de metodos, se puede aplicar en metodos abstract o interfaces?
Desarrollo Web
jhonatanAsm 0 3,218 Último mensaje 16 Agosto 2011, 00:22 am
por jhonatanAsm
Seriealizacion y persistencia
Java
ivanrodas 2 2,309 Último mensaje 17 Mayo 2014, 15:26 pm
por ivanrodas
metodos de persistencia metasploit
Hacking
xeroAG 2 7,255 Último mensaje 27 Junio 2016, 13:06 pm
por GreenArrow77
Persistencia Windows 10
Bugs y Exploits
coveñas1989 0 7,034 Último mensaje 3 Julio 2017, 21:52 pm
por coveñas1989
Persistencia en metasploit
Hacking
AngelCaidoxX 0 2,788 Último mensaje 19 Diciembre 2017, 17:32 pm
por AngelCaidoxX
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines