Hola qué tal? Sería mejor unificar ambos stages en uno y evitar así la descarga del segundo, de esa manera la única conexión saliente es la del payload y no la del downloader. Evitas un paso y multitud de rutinas de detección antivirus en memoria que sean genéricas. Probablemente debas de cambiar alguna llamada a las apis ya que en ejecución es fácil que te detecten. Por otro lado si vas a utilizar Meterpreter va a ser más difícil que utilizar una reverse shell convencional. Las shell reversas cifradas también son más indetectables

Durante los últimos años he estado realizando evasión de motores heurísticos y sistemas EDR de forma regular, encontrándome con la necesidad de tener que desarrollar mi propio malware para evadir este tipo de detecciones basadas en comportamiento. Este proyecto es una versión modificada realizando reversing al conocido troyano DarkComet, sus funcionalidades son las mismas que las del original, así como sus detecciones antivirus a nivel de firma deben ser similares. Sin embargo, se han realizado los siguientes cambios en su comportamiento, para ser lo más parecido a un software completamente nuevo a los ojos de un antivirus. Estos son los principales cambios que trae esta versión:

• Nombre de archivo/extensión/carpeta del sistema de registro de keylogger
• Nombre de las claves de registro creadas por el software
• Mensaje al inicio de las comunicaciones TCP
• Clave de cifrado de comunicación
• Número de versión del servidor
• Descripción del archivo del servidor
• Ruta de instalación y nombre del binario
• Ligero rediseño del estilo de la interfaz
• Patrón de aleatoriedad de mutex
• Identificación del servidor
• Puerto predeterminado para conexiones
• Archivos GeoIP.dat y UPX
• Se corrigió un error que bloqueaba la ejecución en las últimas versiones de Windows 10
• Se modificó el algoritmo RC4 (v0.3), ahora deberá invertir la muestra para identificar los cambios en el algoritmo.
• Huevos de Pascua… };)

Aclaraciones

• Los servidores generados por LarryLurexRAT no funcionan con DarkComet
• Los servidores generados por LarryLurexRAT v0.1 y v0.2 no funcionan con LarryLurexRAT v0.3.
• La versión de DarkComet RAT elegida para este proyecto ha sido la 5.2
• Gracias a DarkCoderSc (Jean-Pierre LESUEUR) por su magnífico trabajo
• Esta aplicación está diseñada exclusivamente con fines educativos y no soy responsable del mal uso que otras personas puedan dar al software LarryLurexRAT o la información aquí establecida

Descarga:
https://www.enelpc.com/p/larrylurexrat.html

Encontré esta herramienta en mi cajón de sastre, después de haberla desarrollado años antes. Es útil para simular procesos, junto con sus respectivos nombres de formulario, y también utiliza un cuadro de texto con caracteres comodín. Me ayudó a analizar varios malware bancarios, ya que logré hacerles creer que tenía mi navegador abierto y que estaba visitando páginas que se utilizan para hacer transferencias bancarias. De esta forma, el malware lanza las inyecciones para cada banco, también simula aplicaciones de Antivirus, Firewalls, Sandboxes, Máquinas Virtuales, Debuggers y Herramientas de Hacking (para obligar al malware a cambiar sus modos de ejecución en el entorno), todo esto es configurable por el usuario desde el botón de configuración. Simula aplicaciones MDI, aplicaciones con formularios estándar y también tiene un modo de consola para facilitar la ejecución automática en entornos de sandbox. Finalmente, la herramienta también tiene bibliotecas de funciones simuladas cargadas automáticamente por algunos navegadores y depuradores de Google Chrome, Opera, Firefox, Internet Explorer, Safari y Microsoft Edge a través de los siguientes nombres de proceso:

• chrome.exe
• opera.exe
• firefox.exe
• iexplore.exe
• safari.exe
• microsoftedge.exe

Descarga:
https://www.enelpc.com/p/process-simulator.html

Buenos días El_Andaluz!


La única versión BETA que saqué entre medias fue la previa a la 1.9, hice una reestructuración importante y la comunidad me ayudó a pulir algunos errores. Saco versiones nuevas de continuo porque no puedo luchar contra tanta creatividad jajaj


Exacto, esta herramienta no realiza ejecuciones de las muestras.. anteriormente sí tenía una opción en la que mediante un dump del proceso se analizaban las trazas y en algunos casos se extraían módulos de configuración de troyanos conocidos. Aunque esa funcionalidad no la eliminé de la aplicación, ya no se pueden ejecutar muestras desde la herramienta. Nunca lo hará, y tampoco tiene funcionalidad de antivirus, no realiza análisis de la memoria porque no es su función. Hay una gran cantidad de conclusiones que se pueden obtener de un análisis estático y esa es la parte que ocupa 4n4lDetector.


Quizá me piense poner la opción algún día, doy por hecho que todo el mundo que la utiliza la puede entender y quizá no sea así.


Nada jeje tu piensa que aunque el cometido sea analizar malware, son herramientas muy diferentes.. esta ayuda al analista de malware y no al usuario. Un día preparo una demo con algunas muestras y lo comento.



Hola reymosquito, vamos a por más cuestiones!

No lo voy a discutir, pueden sobrar el resto con tres líneas.. es cuestión de gustos, yo prefiero ver un poco más del contexto inicial.

Esto lo pensé en su momento. Pero según tengo el desarrollo y encontrándole la utilidad real, pienso que no es necesario, cuando vas a buscar una cadena a un editor hexadecimal no sueles buscarla por la dirección estática sino que buscas la cadena directamente. Terminé por desestimar la idea en su momento.

En el modo vista Web actualmente solo tengo puesta la opción de colores, es algo así como un informe que puedes exportar para pegarlo en un documento.. la realidad es que cuando lo pegas allí, el analista tiene que ajustar el tamaño y la fuente para que se ajuste con el estilo de su documentación.

Sí como le contesté a El_Andaluz quizá plantee ponerla al español, aunque traducir algunas opciones será de risa jeje

Hola El_Andaluz! llevo desarrollando esta herramienta desde 2015, ya podemos decir que es bastante estable jeje no puedo hacer nada porque la gente comente aquí, pero vengo a solventar tus dudas.

Funciona perfectamente en Windows 7, 8, 10 y 11. La forma de utilizarlo es tan sencillo como ejecutarlo y arrastrar en su interior los archivos a analizar, ya que podemos definir a esta herramienta como el paso previo antes de realizar un reversing a un ejecutable para Windows (Está orientada para el análisis de malware). La mejor definición que he escrito sobre la misma es la siguiente:


Puedes ejecutar un archivo de registro tras la primera ejecución en el sistema para incluirlo en el desplegable del botón derecho de tu escritorio, el cual se crea en la raíz de la aplicación automáticamente para poder mandar las muestras de forma rápida a analizar. También podrás configurar la información que te gustaría obtener de las muestras a analizar desde el botón Show Options, podrás incluir la API de Virustotal para verificar si la muestra ya está subida, crear reglas personalizadas para la detección con firmas entre otras cosas. Puedes estar tranquilo ya que el malware que analices, jamás se ejecutará desde esta herramienta.. ya que toda la información obtenida se realiza en estático, puede ser muy útil para los analistas de malware.

Es una herramienta única en su género, ya que agrupa detección de métodos de evasión antivirus, detección de packers, extracción de información que pueda ser de interés para un analista de malware, así como la lectura de la estructura PE, obtiene las primeras instrucciones en ensamblador tras el Entry Point para ser analizado automáticamente e incluso ideas propias para la detección de anomalías en los ejecutables.

No viene a ser una herramienta de detección de malware activa como malwarebytes, pero sé de buena mano que las compañías antivirus la están utilizando activamente para catalogar las muestras en sus productos de forma manual.

En esta entrada de mi blog tienes capturas de la ventana con alguna información obtenida en pruebas reales con malware resaltada:

https://www.enelpc.com/p/4n4ldetector.html
Cualquier duda házmela saber! 

Qué pasa hackers! todo bien? guárdense este regalo navideño! 💝 espero que lo disfruten! 

 v2.2

 

• Corrección de defectos visuales leves en la interfaz.
• Corrección en el módulo de extracción de URLs.
• Incluida la detección de APIs referentes a los siguientes puntos dentro del archivo de reglas:
[-] "4n4l.rules"
      [-] Networking
      [-] Persistence
      [-] Encryption
      [-] Anti-Analysis VM
      [-] Stealth
      [-] Execution
      [-] Antivirus
      [-] Privileges
      [-] Keyboard Keys
      [-] WMI executions
 
• Reorganización de archivos:
[-] Configuración:
      [-] "cnf" y "vtapi" (Virustotal) en la carpeta
      [-] Diccionarios en la carpeta ".\db\rules".
 
• Mejorada la integración de la pestaña "Strings" junto a las funciones de "Export Table" e "Import Table".
• Incluido en la pestaña de análisis el ratio de detección de Virustotal si la muestra es detectada por algún antivirus.
• Interfaz en movimiento con mágicas sorpresas.

Github: https://github.com/4n0nym0us/4n4lDetector/releases/tag/v2.2

¿Cómo están mis 4n4listas preferidos? Sigo como Daniel San, dando cera y puliendo cera en esta herramienta.. ahora también cuenta con una pequeña extracción de bytes directamente de los recursos del binario analizado. Por defecto la herramienta buscará ejecutables incluidos en esta zona, y opcionalmente es posible listar el contenido de todos los recursos existentes. Qué la disfruten!  

  

• Ahora se convertirán a entidades HTML los tag mostrados en el apartado de informe que puedan venir de la pestaña de análisis.
• Incluidas a la lista interna de 4n4lDetector nuevas palabras de interés.
• Se agregó la extracción de nuevas sentencias de ejecución de los binarios analizados.
• Se eliminaron las detecciones nulas (PE: 0) por parte de DIE.
• Reorganización de las detecciones de Packer/Compiler/Entropy.
• El cálculo de la entropía se realiza actualmente desde el apartado de DIE junto a la opción de Entropy/recount activado.
• Incluida la revisión de todos recursos en busca de ejecutables maliciosos.

Github: https://github.com/4n0nym0us/4n4lDetector/releases/tag/v2.1

Vengo cargadito de regalos.. esta última actualización es canela en rama 

 

• Desde línea de comandos por defecto y sin necesidad de utilizar parámetro alguno, se analizarán los archivos abriendo la interfaz gráfica como si se utilizase "-GUI".
• Se incluye la base de datos actualizada de la aplicación Detect It Easy "DIE" funcional para todo tipo de archivos.
• Incluido el análisis de entropía del archivo analizado en el apartado de "Extra 4n4lysis".
• Ahora se bloquean las opciones de arrastrar y añadir archivos mientras se realiza un análisis
• Incluido el cálculo del impHash (x86/x64).
• Se analiza el código ensamblador para los binarios x64 con Capstone Disassembler.
• Se amplía la extracción a 40 bytes del Entry Point perfeccionando las detecciones con "EPRules" (x86/x64).
• El campo TimeDateStamp ahora se muestra por defecto en hexadecimal.
• Solucionado un bug en la conversión Epoch que fallaba para algunos TimeDateStamp.
• Detección del Entry Point raw para todos los binarios x64.
• Mejorada la extracción de información del recurso XML para el nivel de ejecución UAC.
• Mejorada la lectura del campo características en binarios x64 para identificar EXE/DLL.

Github: https://github.com/4n0nym0us/4n4lDetector

Ya tienen disponible la versión 1.9, después de un par de betas públicas se han incluido los siguientes puntos en esta versión estable:

• Incluido un diccionario modificable de reglas con comodines para los primeros 25 bytes del Entry Point, con más de 3.700 líneas de detección de packers y compiladores. 
• Detalles y ajustes en la interfaz.
• El formulario se abre en el centro de la pantalla para mejorar la visión en resoluciones inusuales.
• Agregada la lista de agradecimientos 
• Solucionado un bug en la apertura de ejecutables bloqueados por el sistema observado en Windows 11.
• Solucionado el bloqueo de la carpeta actual al arrastrar manualmente una muestra para su análisis.
• Mejorada la estabilidad del formulario de la aplicación.
• Agregados dos botones que se activarán automáticamente al identificar funciones en las tablas de importación/exportación.
• Se han corregido varios bugs relacionados con la extracción de opcodes en algunos Entry Points.
• Solucionado un bug que podría cerrar la aplicación inesperadamente tras el análisis de ciertos archivos UPX.
• Se incluye un aviso para cuando un usuario ejecuta 4n4lDetector.exe sin los archivos necesarios para su correcto funcionamiento.
• Actualizado el detector de versiones de compresión UPX.
• El módulo de "Emails" se incluye como (opcional desactivado) por defecto, debido a la demora que podía causar en algunos binarios poco comunes.

Blog: http://www.enelpc.com/p/4n4ldetector.html
Github: https://github.com/4n0nym0us/4n4lDetector
  

No te culpo... somos débiles seres.