elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Como proteger una cartera - billetera de Bitcoin


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Noticias (Moderadores: wolfbcn, El_Andaluz)
| | | |-+  Cinco sencillos pasos para eludir el antivirus utilizando MIME manipulado		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Cinco sencillos pasos para eludir el antivirus utilizando MIME manipulado  (Leído 1,193 veces)
r32
Ex-Staff
*
Desconectado Desconectado

Mensajes: 1.297



Ver Perfil WWW
Cinco sencillos pasos para eludir el antivirus utilizando MIME manipulado
« en: 9 Julio 2018, 21:46 pm »
Introducción
Tradicionalmente, los correos electrónicos son solo ASCII y están limitados a 1000 caracteres por línea. El estándar MIME define una forma de tener un correo estructurado (varias partes, incluidos los archivos adjuntos) y para transportar datos que no sean ASCII. Desafortunadamente, el estándar es innecesariamente complejo y flexible, hace que las definiciones contradictorias sean posibles y no define el manejo real de errores.

El resultado de esto es que las diferentes implementaciones interpretan casos extremos de MIME válido o MIME inválido a propósito de diferentes maneras. Esto incluye la interpretación en sistemas de análisis como filtros de correo, IDS / IPS, gateways de correo o antivirus, que a menudo interpretan los correos preparados específicamente de forma diferente al sistema del usuario final.

Esta publicación muestra lo fácil que es modificar un correo con un archivo adjunto malicioso en unos simples pasos, para que al final ningún antivirus de Virustotal pueda extraer correctamente el archivo adjunto del correo y detectar el malware. Después de toda esta modificación, aún es posible abrir el correo en Thunderbird y acceder a la carga maliciosa sin problemas.

Nada de esto es en realidad realmente nuevo. Publiqué problemas similares antes en 11/2014 y varias publicaciones en 07/2015 y también mostré cómo se puede utilizar para eludir el control adecuado de las firmas DKIM. Y también hay investigaciones mucho más antiguas como esta desde 2008.

Sin embargo, los sistemas de análisis todavía están rotos y los proveedores o bien no están al tanto de estos problemas o no hablan de estos problemas. Por lo tanto, podría ser útil volver a mostrar cuán trivial puede hacerse ese desvío de análisis, con la esperanza de que al menos algunos proveedores despierten y arreglen sus productos. A continuación, se muestra cómo ocultar un archivo adjunto malicioso del análisis adecuado en unos pocos pasos simples y fáciles de seguir.

Paso 1: MIME normal
Comenzamos con un correo que contiene el inocente virus de prueba EICAR dentro de un archivo ZIP. El correo consta de dos partes MIME, la primera es un texto y la segunda el archivo adjunto, codificado con Base64 para traducir el archivo adjunto binario en ASCII para el transporte. A partir de hoy (2018/07/05) 36 (de 59) productos en Virustotal son capaces de detectar la carga maliciosa. El resto probablemente no pueda o no esté configurado para tratar con archivos de correo electrónico o malware en archivos ZIP.

Más información: https://noxxi.de/research/mime-5-easy-steps-to-bypass-av.html

Saludos.
En línea
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Optimiza la velocidad de tu conexión con estos sencillos pasos
Noticias 		wolfbcn 0 1,936 Último mensaje 19 Febrero 2012, 18:43 pm
por wolfbcn
virus policia en tres sencillos pasos, ayuda
Seguridad 		davidrrjj 1 12,023 Último mensaje 25 Febrero 2012, 19:07 pm
por r32
RAR: buen archivo para eludir antivirus?
Seguridad 		g4t0n3gr0 2 2,765 Último mensaje 24 Noviembre 2012, 20:16 pm
por g4t0n3gr0
!!!Aprende a programar en java en pasos sencillos!!
Java 		deivi963 1 1,568 Último mensaje 1 Octubre 2016, 20:14 pm
por engel lex
Reinstala Windows 10 en seis pasos sencillos
Noticias 		wolfbcn 0 1,292 Último mensaje 12 Febrero 2018, 14:54 pm
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines