|
152
|
Seguridad Informática / Análisis y Diseño de Malware / Re: que botnet es el mas popular
|
en: 14 Marzo 2011, 11:44 am
|
Una pequeña duda. ¿Porque no se permite descargar algo? Ej: por que no puedo poner el link de el NetCat ? O explicarme mejor eso.
Att N30h}
Porque en el subforo se puden publicar temas sobre estudio o análisis de malware, no del simple uso del mismo. De todas formas sí se pueden poner enlaces a binarios, como el netcat por ejemplo, pero siempre si es el link oficial (no vamos a estar analizando cada binario que cada user sube) o va acompañado del source. Saludos
|
|
|
153
|
Seguridad Informática / Análisis y Diseño de Malware / Re: [Taller] Así funcionan los crypters: cifrando malware a mano
|
en: 14 Marzo 2011, 11:42 am
|
Saludos, me encanta el metodo. Felicidades además sirve para aprender mucho, en vez de ya tener el Stub indectable. Yo también he encontrado metodos parecidos. Una última cosa, se que va a ser difícil. Pero se podría hacer un pequeño scrip para que hiciese todo eso dando un solo click ?
Gracias !
Att N20h}
Si, obviamente, si el título del post es "Así funcionan los crypters" xD. No sería complicado hacer algo que lo automatizase, de echo el Metamorph Beta que sacamos hace tiempo por Abril negro hacía algo muy parecido. Saludos
|
|
|
154
|
Seguridad Informática / Análisis y Diseño de Malware / Re: Cambiar firmas detectadas.
|
en: 14 Marzo 2011, 11:41 am
|
Saludos Aprovecho para preguntar algo, ya que este hilo es muy parecido. Alguien podría hacer o darme un manual de detectar firmas (que las detectan) Porque yo sé, pero de un metodo creado por mí. Abrir mi virus )ej( y cambiar media parte del programa a NOP´s. Guardarla en otroa carpeta y mirar si lo detecta el antivirus. Así cada vez con trozos más pequeños. Pero vuelvo apreguntar: ¿No hay otro metodo más fiable y rápido?
Mira el link que puse más arriba. Saludos
|
|
|
155
|
Seguridad Informática / Análisis y Diseño de Malware / Re: [PROYECTO]Desarrollo de un cifrador indetectable
|
en: 5 Marzo 2011, 22:45 pm
|
Gracias entonces, me acabas de aclarar que no vale la pena utilizar un troyano ya hecho, seria mejor dedicar el tiempo a la creacion de un troyano desconocido, para evitar la encriptacion incluso, pues al ser desconocido no haria falta ocultarlo, por lo que habria que dedicarse mejor a mejorar que la actividad del troyano no sea monitoreada ni supervisada. Aunque la idea de que cualquier troyano CONOCIDO pueda ser ejecutado sin que lo reconozcan los AV, para muchos sería una buena herramienta. Un saludo. Si, y aunque no sirvise sería un buen ejercicio, aunque solo sea por el ego xD. Saludos
|
|
|
157
|
Seguridad Informática / Análisis y Diseño de Malware / Re: [PROYECTO]Desarrollo de un cifrador indetectable
|
en: 5 Marzo 2011, 21:54 pm
|
ok vamos por partes, cogemos el archivo de test, lo invertimos por ejemplo, lo ciframos con xor 170 y si quieres podemos añadir un SHR a la derecha y el acarreo que provoque lo colocamos como primer bit de cada byte, ya no tiene la forma original ni de lejos, ahora nos vamos a un programa que lo lee por ejemplo de un archivo donde lo tenemos ya transformado, o no, mejor no lo lee de ningun sitio, el archivo lo tenemos integrado en modo binario dentro del propio programa, y este programa coge el codigo del archivo de test cifrado y dentro de una variable o de una zona de la memoria lo desciframos, para despues ejecutarlo y lo ejecutamos desde este mismo programa, y los AV no lo detectan. ¿estas realmente seguro?, me da la impresion que los AV BUENOS, lo detectaran. ¿no crees? Si lo haces bien no lo detectan xD. En este caso si lo detectarían, porque un xor y un shr sigue sin ser suficiente para la heurística, pero metes una cifrado mejor y el AV no debería chillar. Saludos
|
|
|
158
|
Seguridad Informática / Análisis y Diseño de Malware / Re: [PROYECTO]Desarrollo de un cifrador indetectable
|
en: 5 Marzo 2011, 16:21 pm
|
Actualmente se pueden diferenciar los Crypters (Cifradores) en dos ramas. Los scantime, que cuando son ejecutados sencillamente descifran en el ejecutable,lo guardan en el disco duro y lo ejecutan... O runtime, que descifran el ejecutable y lo ejecutan desde la memoria... El scantime seria detectado ya que esta dejando en el disco duro el ejecutable descifrado, por lo que el antivirus lo detectara sin problema, en cambio el runtime no sera detectado, porque ningun AV analiza todo la memoria de todos los procesos en busca de codigo malicioso. Los runtime a veces son detectados por la defensa proactiva o heuristica.
Quitando el polimorfismo, cual seria la ventaja de ejecutar instruccion por instruccion? Me da la sensacion de que seria realmente inestable... ya que es muy dificil abarcar todas las posibles acciones que podria hacer el ejecutable...
Supongo que la heurística hace precisamente eso, ejecuta el archivo "en su mundo", para que le de tiempo a desencriptarse, y luego analiza el archivo descifrado en memoria. Osea, si el antivirus echa un ojo a la memoria lo detectaría, de esta forma no, o le costaría mucho más. El caso es que es tremendamente complicado hacerlo, pero para eso tenemos tiempo libre xD. Saludos
|
|
|
|
|
|
|