Les traigo la última versión de mi herramienta de análisis de malware. ¡Qué la disfruten! 



Descarga: http://www.enelpc.com/p/4n4ldetector.html

 

• Arreglado un bug en la extracción de algunas versiones de UPX.
• Extracción de las SQL Queries contenidas en el binario.
• Se cuentan el número de bloques de 5 NOPs existentes, en busca de Code Caves.
• Se comprueban más códigos inusuales tras el Entry Point.
• Agregada la extracción de funciones Zw (Modo Kernel).
• Agregadas deteciones de polimorfismo. (PEScrambler)
• Agregada una rutina de recuento de caracteres Ascii y caracteres nulos.
• Agregado el botón "Show Options", donde se encuentran muchas de las funcionalidades.
• Agregado un módulo para la extracción de correos electrónicos.
• Agregado un módulo para la extracción de direcciones IP.
• Agregado un aviso al encontrar una firma digital.
• Agregado Drag&Drop a la caja de texto donde se muestra la información.
• Agregado un algoritmo de revision del DOS Header al módulo de Heurística.
• Mejorada la limpieza en la que se muestran las cadenas extraidas.
• Agregado un nuevo botón a la interfáz principal, con el objetivo de visualizar las cadenas que el binario contiene.
• Agregado un buscador de palabras.
• Agregados dos botones que se activan tras la utilización del botón "Strings", los cuales permiten navegar entre la información principal y la obtenida con dicho botón.

Algunos Ejemplos:







Saludos 4n4les!

Actualizo:

Antivirus K.O. Ordinal Numbers vs API Names
Modificación sobre el nombre de las APIs declaradas en un binario, utilizando en su defecto llamadas a las mismas mediante su número ordinal.
http://goo.gl/gpBiM5

Hola Und3r! Es una nueva versión de mi herramienta, he incorporado cosas como el análisis de la firma Rich de Microsoft como un usuario de este mismo foro me comentó anteriormente. Espero que les guste esta nueva actualización, ya que he incorporado bastantes cambios, los dejo a continuación:
 

• Arreglado un bug al mostrar versiones antiguas de UPX.
• Arreglado un bug que afectaba a la detección de algunos Entry Points.
• Agregada la palabra EOF, en la descripción de las detecciones Dropper.
• Aumentada la efectividad de la rutina de detección Shikata Ga Nai.
• Eliminados los ejecutables extraidos con asteriscos (*).
• Revisión de la integridad del formato PE.
• Revisión de la integridad de la firma Rich de Microsot.
• Revisión de la integridad del CheckSum.
• Agregado el campo TimeDateStamp y la fecha de compilación.
• Detección de migraciones del Entry Point a otras zonas de código ejecutable.
• Incorporado un visor de iconos.
• Agregada rutina de detección para aplicaciones en Visual Basic 5/6 con códigos inusuales tras su Entry Point.
• Ampliada la detección de Packers.
• Agregada rutina de detección de ejecutables incompletos (truncados).
• Agregada la creación de un archivo de registro "Add4n4lMenu.reg", para incluir los análisis de forma rápida al desplegable de explorer.
• Agregada la extracción de librerías.
• Agregada la detección de parámetros para el ejecutable 4n4lDetector.exe

          -> 4n4lDetector.exe Path\App.exe -GUI
          -> 4n4lDetector.exe Path\App.exe -TXT
          -> 4n4lDetector.exe Path\App.exe -GREMOVE (Borrado del binario tras su análisis)

Se aceptan ideas nuevas 

Se trata de una herramienta destinada a realizar un análisis rápido sobre binarios PE en busca de código malicioso, principalmente de forma estática, aunque también trabaja con ejecución de muestras y sobre sus “Memory Dumps”, aunque ésto último de forma opcional, para evitar comprometer la máquina utilizada en el análisis en el caso que no se desee poner en riesgo.

Detecta modificaciones en binarios mediante técnicas a bajo nivel de evasión antivirus, en busca de códigos y estructuras inusuales por parte de un compilador. Además, cuenta con la extracción y el análisis de las cadenas que el binario pueda contener. La siguiente imagen muestra de forma resumida la información que la herramienta comprueba antes de mostrar el resultado:



Más imágenes:









Descarga:
http://www.enelpc.com/p/4n4ldetector.html

Normalmente se tratan de binarios de ejemplo.

Quería dejar una pequeña lista que recolectase los métodos genéricos de evasión de firmas antivirus, los cuales he estado escribiendo hasta la fecha. Me gustaría seguir aumentando esta lista, con lo que seguiré actualizando este post con los escritos que vaya realizando en mi blog.

Si tienen ideas para nuevas metodologías con el fin de lograr la evasión de motores antivirus, hablen conmigo y trataré de probarlas y redactarlas. Un saludo y muchas gracias amigos

Método RIT
Con este método de evasión antivirus aprenderás a cómo realizar migraciones de funciones a otros huecos en ensamblador.
http://goo.gl/CDgIYI

Método DAFE
Este método de evasión antivirus consiste en llevar a cabo la copia de las librerías del sistema operativo, para modificar el nombre real de las mismas por otro nombre para que el malware se comunique con ellas.
http://goo.gl/d3ogMh

Método DAFE-GUI
Esta se trata de dos herramientas desarrolladas por Osnaraus y Metal_Kingdom, encargadas de llevar a cabo el método DAFE de manera automatizada.
http://goo.gl/G6yTnb

Método Papelera
Un método muy utilizado por el malware USB, en el cual se explica como una simple carpeta es capaz de adoptar la apariencia de una papelera de reciclaje del sistema.
http://goo.gl/36u1XI

Método Mmove
El siguiente método explica cómo realizar migraciones de los nombres de las librerías y APIs que contiene la Import Table, a otros huecos dentro de un ejecutable.
http://goo.gl/cQ7OMs

Cifrar malware a mano
Este método te enseñará a insertar una rutina de cifrado para modificar el aspecto de las secciones ejecutables de un binario. Puede ser utilizado de forma sencilla con los métodos XOR y ROR/ROL, o de forma más compleja como se explica en el blog.
http://goo.gl/GMfw9o

Evasión de motores heurísticos
En la siguiente entrada se muestra un método muy similar al método RIT, pero enfocado a la migración de funciones de una API o APIs completas.
http://goo.gl/B1NVYV

Mover el Entry Point
El siguiente POST explica como realizar debidamente una migración del punto de entrada de un ejecutable.
http://goo.gl/7ktXd9

Evasión de firmas condicionales
La siguiente entrada explica de forma detallada, cómo los antivirus utilizan ciertas formas genéricas para detectar familias de malware. Estas firmas exigen un número de condiciones para dar por válida la detección de un binario, con lo que modificando su lógica será posible realizar la evasión.
http://goo.gl/V7er6G

Evasión de antivirus desde código fuente
La siguiente entrada muestra la creación de un Crypter en Visual Basic 6, utilizando una de las shellcodes más conocidas como RunPE y teniendo en cuenta la detección por parte de los diferentes motores antivirus.
http://goo.gl/4x1Xo6

 

Mover la herramienta, creo que vale la pena que la prueben. infinito10 vos quien sos? 

Por cierto x64Core, ya incluí una rutina de detección para anomalías en el Rich Signature... estará en las próximas versiones. Muchas gracias.

Sí tienes razón OnTheCore, realmente tenía algunos hashes apuntados para detectar con ese algoritmo los Call API By Hash, y realmente es algo que terminé desechando. Tengo que borrarlo del help. Sorry!

FUnciona en todos los sistemas... vas a tener que revisar tus máquinas de pruebas 

Gracias nuevamente por las ideas! voy poco a poco cuando saco ratos libres... Seguiré centrándome en el formato PE, a ver si saco cosas interesantes, más que nada para transformar la información obtenida del PE en algún tipo de detección.

Aunque me gustaría que quedase claro que ni esta herramienta es un antivirus, ni tampoco un editor PE... tan solo extrae información que puede resultar util a la hora de identificar si un binario es malintencionado o no.

Por cierto... ¿Te gustó la herramienta?  Me mosquea que no te funcione en el 8.1... jajaja a mi me va perfecta