 Autor
|
Tema: Proyectos Malware (Leído 19,578 veces)
|
|
daryo
|
supongo que si hacen un software anti ingenieria inversa que tiene sus similitudes con un crypter habria gente interesada , la shell remota si le ponen una interfaz grafica de por medio con opciones predeterminadas lo pueden vender como software de administracion remota(por ejemplo algo estilo teamviewer o control de cafe internet)
es cuestion de adaptarlo un poco xD
|
|
|
|
« Última modificación: 10 Agosto 2014, 17:01 pm por daryo »
|
En línea
|
buenas
|
|
|
x64core
 Desconectado
Mensajes: 1.908
|
Bueno, de todas las cosas que tenia pensadas, probemos las mas facil, y quedo FUD.
Es muy sencillo como unas 20 lineas de ASM y un cifrado XOR como dije, por eso me sorpendio ya que gente utiliza el RC4, RC5, y aun asi tiene detecciones...
Apenas tuve que meter code "basura" en las islas del code...
El analisis lo hizo @Vaagish en una de esas paginas de escaneo que en teoria no distribuye nada, no se si el Kaspersky tendria todos sus modulos de proteccion activos, pero en teoria si, no?
En realidad el escaneo que hacen paginas como VirusTotal, etc. no realmente te dice que evades totalmente el Antivirus, es simplemente a la hora de escanear el archivo, Antivirus como Kaspersky hacen más que sólo escanear, ponen el archivo en entorno aislado y es ejecutado virtualmente analizado cada acción, etc. la única manera de saber si esta evadiendo por completo es ejecutándolo en un sistema con el Antivirus e incluso a la hora de escanear no recomiendo fiarse al 100% de los resultados de paginas de escaneo ya que podrían no mostrar el verdadero resultado, las razones son varias algunas paginas tiene un 'time out', desactualización de base de datos/versión, configuración del Antivirus y hay más, esto lo he comprobado incluso con VirusTotal. bastante currada no es como una cualquiera, si esta sin cifrar tenia por lo menos unas 10 - 15 detecciones creo, y luego con el suyo unas 5 y el mio que do FUD, significa que dejaria FUD cualquier cosa depende de lo complejo que sea el malware o payload no?
Un saludo.
En realidad esto debería de ser de esa manera si realmente estas evadiendo el Antivirus completamente, aunque también podría afectar un mal diseño del malware por ejemplo uno que escriba constanmente al disco, registro o creando procesos, hilos , etc. cualquier acción que sea interceptada por el Antivirus podría afectar al malware en tiempo de ejecución. Por eso un error muy común que la gente hace es cifrar algún programa dummy luego de que el RunPE es ejecutado y el Antivirus no lo detecta ya suponen que el cualquier malware será indetectable en tiempo de ejecución, eso es falso. Al final si encuentran un método que realmente funciona mi consejo es que olviden ir por el 'buen' camino, tendrían que estar realmente en el área de seguridad informática y tener algo 'grande' sino sucederá lo más probable simplemente obtendrán un feedback, la venta o servicio de ofuscación de programas contra prorgramas de seguridad no es un delito si saben hacerlo bien.
|
|
|
|
|
En línea
|
|
|
|
xv0
Desconectado
Mensajes: 1.026
|
En realidad el escaneo que hacen paginas como VirusTotal, etc. no realmente te dice que evades totalmente el Antivirus, es simplemente a la hora de
escanear el archivo, Antivirus como Kaspersky hacen más que sólo escanear, ponen el archivo en entorno aislado y es ejecutado virtualmente
analizado cada acción, etc. la única manera de saber si esta evadiendo por completo es ejecutándolo en un sistema con el Antivirus e incluso a la hora
de escanear no recomiendo fiarse al 100% de los resultados de paginas de escaneo ya que podrían no mostrar el verdadero resultado, las razones son
varias algunas paginas tiene un 'time out', desactualización de base de datos/versión, configuración del Antivirus y hay más, esto lo he comprobado
incluso con VirusTotal. Bueno pues tocara instalar Kaspersky. En realidad esto debería de ser de esa manera si realmente estas evadiendo el Antivirus completamente, aunque también podría afectar un mal diseño
del malware por ejemplo uno que escriba constanmente al disco, registro o creando procesos, hilos , etc. cualquier acción que sea interceptada por
el Antivirus podría afectar al malware en tiempo de ejecución. Por eso un error muy común que la gente hace es cifrar algún programa dummy
luego de que el RunPE es ejecutado y el Antivirus no lo detecta ya suponen que el cualquier malware será indetectable en tiempo de ejecución, eso
es falso. No es por tirarnos flores, pero la RS creo que esta bien diseñada. El crypter es "Runtime" asi es como lo llaman. Al final si encuentran un método que realmente funciona mi consejo es que olviden ir por el 'buen' camino, tendrían que estar realmente en el
área de seguridad informática y tener algo 'grande' sino sucederá lo más probable simplemente obtendrán un feedback, la venta o servicio de
ofuscación de programas contra prorgramas de seguridad no es un delito si saben hacerlo bien. Bueno en principio yo no soy programador de Malware ni mucho menos, simplemente me gusta la criptografia, ya lo sabes, como bien dije al principio ayude desinteresadamente al usuario @Vaagish en su RS, salio este problema y le dije que a lo mejor podria ayudarle, y para mi sorpresa sucedio que se quedo FUD, con una simple rutina para el stud (desde mi punto de vista) y un simple XOR, por eso abri esto hilo, no es mi idea abrirme camino por el mundo de la seguridad y AV´s, simplemente dije lo de las empresas por si cae algo y para ser legales, ni mucho menos hacernos famosos xD. A medida de que estudio ASM, no solo las instrucciones si no la aquitectura de la CPU, tengo mas ideas sobre esto, bueno y en todo en general, se instalara Kaspersky, si resulta detectado no me importa, tengo muchas mas ideas, y en realidad este no es mi campo, tengo cosas en mente pero esto de los crypters no. Un saludo.
|
|
|
|
|
En línea
|
|
|
|
Vaagish
Desconectado
Mensajes: 875
|
Hi! La heuristica y sandbox del avast y el avg se las salteo,, hoy voy a hacer mas pruebas a ver que pasa.. Saludos! EDIT: Entonces un crypter en si, no es ilegal? EDIT2: Kaspersky no detecta nada.. Podríamos afirmar al 100% que es FUD?  Saludos! |
|
|
|
« Última modificación: 11 Agosto 2014, 21:10 pm por Vaagish »
|
En línea
|
|
|
|
xv0
Desconectado
Mensajes: 1.026
|
Bien, como dijimos instalariamos el Kaspersky y hariamos las pruebas, segun el usuario @Vaagish es totalmente FUD, instalo la ultima version de el AV activando todos sus modulos de proteccion y la ultima base de firmas.
Con esas condiciones es posible que interese alguna empresa, o compañia todo legal claro.
Un saludo.
|
|
|
|
|
En línea
|
|
|
|
x64core
Desconectado
Mensajes: 1.908
|
Bien, como dijimos instalariamos el Kaspersky y hariamos las pruebas, segun el usuario @Vaagish es totalmente FUD, instalo la ultima version de el AV activando todos sus modulos de proteccion y la ultima base de firmas.
Con esas condiciones es posible que interese alguna empresa, o compañia todo legal claro.
Un saludo.
Bien, ¿Qué realmente hace el ejecutable que probaron? ¿Han considerado en probar un simple malware? Yo ejemplo un simple downloader: Inyectarse en explorer o zombificar algún otro ejecutable de confianza luego conectarse a algún servidor para descargar un playload y cargarlo desde memoria. si pasa la prueba eso seria un buen inicio.
|
|
|
|
|
En línea
|
|
|
|
Vaagish
Desconectado
Mensajes: 875
|
Hii! La primera prueba fue con una Shell remota como decía @cpu2, yo tengo un downloader empezado, curiosamente fue lo segundo que se intento y es también tu opinión que tiene que pasar esa prueba  También tengo algo de inyección, pero tendría que adaptarlas a esta forma nueva.. En cuanto termine el downloader y la inyección habrá noticias nuevas.. A lo mejor, inyectar un downloader? Seria una buena prueba? Saludos! Gracias por el interés! Me falto esto: ¿Qué realmente hace el ejecutable que probaron? Bueno,, sin entrar en todos los detalles.. hace lo que cualquier RS tiene que hacer.. una conexion, puedo aclarar que es reverse, y que hasta que no hay conexion se queda en estado de reconnect.. o sea que se deberia de conseguir la shell siempre Abre un puerto y redirecciona la consola..  |
|
|
|
« Última modificación: 11 Agosto 2014, 23:36 pm por Vaagish »
|
En línea
|
|
|
|
x64core
Desconectado
Mensajes: 1.908
|
Inyección y luego descarga del payload estaría bien no olviden que el Antivirus puede enviar las pruebas a los servidores
si son descuidados todo el esfuerzo seria para nada.
|
|
|
|
|
En línea
|
|
|
|
xv0
Desconectado
Mensajes: 1.026
|
Inyección y luego descarga del payload estaría bien no olviden que el Antivirus puede enviar las pruebas a los servidores
si son descuidados todo el esfuerzo seria para nada.
Vaya, no sabia eso de los servers, gracias por el interes, ya informaremos. Un saludo.
|
|
|
|
|
En línea
|
|
|
|
Barugasu
Desconectado
Mensajes: 23
|
Quiero dar mi opinión, pero sólo lo haré con respecto al primer post, pues fueron las preguntas principales y quiero pensar que son las más importantes igual. Qué pueden hacer legalmente con todas esas cosas? El crypter pueden venderlo, no es ilegal; como dijo engel lex, es bastante útil para quitar "falsos" en programas realmente útiles y limpios. La mejor forma de hacerlo, yo creo que es proporcionando un nombre de usuario y contraseña a la persona que lo compre e incorporar ese sistema a su software, sin embargo, si quieren venderlo ya como un producto como tal, para lucrar con el y todo eso, van a tener que estarlo reprogramando -creo yo- diario. Mucha gente paga por crypters solo para cifrar malware y eso les puede representar una desventaja grande, pues empezarían a detectarlos. Además de que al ser un programa de paga y no tener código abierto, la gente lo crackeará y así ustedes dejarán de tener ganancias. En cuanto al RS, yo ni haría el esfuerzo de "promocionarlo". Porqué? Porque si ya vimos que gente que sabe de informática como aquí (ya sea en uno u otro campo pero lo saben) no sabían qué significa RS (me incluyo).. creen que un dueño de una empresa o un alto cargo que tuviese el poder para contratarlos o comprarle su producto lo haría? Yo creo que no. Una cosa más, sé que están orgullosos de su trabajo y eso, sobretodo cpu2, pero no hablen de su proyecto como si fuese la gran cosa, que hay personas que logran lo que ustedes sin rebuscar tanto en sus métodos como ustedes lo hacen. No digo que esté mal, sólo que es algo que hay que tomar más relajadamente. Tienen muchas ideas y demás? Si saben que no las van a usar de momento, compártanlas, obviamente si no quieren, pues no, pero recuerden que ustedes han aprendido gracias a gente que no se ha guardado su conocimiento a pesar de que le pudieron sacar mucho dinero  Emmm.. si lo que están buscando es dinero, yo recomiendo que metan un currículum con cosas que saben hacer a una empresa o negocio, puede resultar mejor porque así ustedes ofrecen sus habilidades, no productos que un empresario no sabe para qué sirven. Espero que les haya servido de algo mi opinión. Saludos y sigan aprendiendo, eso los hace cada vez más humanos :3 |
|
|
|
|
En línea
|
|
|
|
|
 |
