elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía actualizada para evitar que un ransomware ataque tu empresa


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Cifrar malware
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Cifrar malware  (Leído 2,511 veces)
Ethicalsk

Desconectado Desconectado

Mensajes: 113



Ver Perfil
Cifrar malware
« en: 31 Julio 2018, 13:55 pm »

Muy buenas! Quería saber de forma general, como se puede cifrar malware que se ejecuta en el arranque del sistema. Lo que me hace ruido en éste tema, es que si yo cifro el malware que quiero que se ejecute en el arranque, en el arranque se debería descifrar, y sin que yo le introduzca la clave necesaria para descifrar, es decir, debería descrifrarse automáticamente, lo cuál me hace pensar que la clave para descifrarlo debería estar almacenada en el mismo ordenador infectado y que entonces un forense podría descifrar facilmente el malware, ya que la clave para descrifrarlo está en el mismo ordenador.

Me gustaría que me corrijan si me estoy equivocando en éste pensamiento, y saber si existe alguna forma para que un malware se descifre y corra automáticamente en el arranque, evitando que la clave de descifrado sea facil de acceder, ya que sino el hecho de cifrar no serviría de nada...

Gracias desde ya. Saludos


En línea

Machacador


Desconectado Desconectado

Mensajes: 5.018


El original...


Ver Perfil WWW
Re: Cifrar malware
« Respuesta #1 en: 31 Julio 2018, 15:50 pm »

Interesante tema, que un cifrado de auto-descifre sin necesidad de la clave del cifrado... tal vez sea posible con las habilidades del un buen hacker...

 :rolleyes: :o :rolleyes:

Saludos


En línea

"Solo tu perro puede admirarte mas de lo que tu te admiras a ti mismo"
Serapis
Colaborador
***
Desconectado Desconectado

Mensajes: 3.348


Ver Perfil
Re: Cifrar malware
« Respuesta #2 en: 1 Agosto 2018, 01:45 am »

El único modo posible es infectar la BIOS.
Luego interactuando convenientemente con las llamadas  al BIOS (con funciones ya dopadas), se puede descubrir si lo inicias 'tú', o el usuario doméstico (el auténtico),por ejemplo detectando alguna combianción de teclas durante el proceso.

...y eso (infectar la BIOS) es algo bastante más complicado, ni todas son iguales ni diferentes versiones tienen por qué funcionar igual y además debes ser capaz de no eliminar funcionalidad de la BIOS, al tiempo que añades o modificas (en el mismo espacio, o el residual si sobrará algo), que ocupan las funciones actuales. Igualmente  los vectores de llamadas de cada función deberían mantenerse intactas... y... lo más complicado tendrías que desemsamblar y empaparte de la BIOS, (al menos) del equipo de tu interés...

Dicho se otro modo, si tienes las dudas que presentas, asumo, que esto antedicho queda fuera de tu alcance.
En línea

Ethicalsk

Desconectado Desconectado

Mensajes: 113



Ver Perfil
Re: Cifrar malware
« Respuesta #3 en: 1 Agosto 2018, 02:09 am »

Hola! Gracias por el aporte. La técnica que me contás se llamaría BIOS rootkit? Una vez había leído algo, pero muy superficialmente, que se podía hacer aprovechando ACPI, pero no me metí de lleno a investigar ese tema. Tal vez si me ponga a leer y experimentar un buen rato pueda llegar a algo, de todas formas ahora quería tener una idea general de cómo se lograba lo que proponía.

Saludos!
En línea

engel lex
Moderador Global
***
Desconectado Desconectado

Mensajes: 15.514



Ver Perfil
Re: Cifrar malware
« Respuesta #4 en: 1 Agosto 2018, 02:15 am »

en resumen, no podrás tener un cifrado sin clave que se autoresuelva... sin embargo con conocimiento de asm, puedes "revolver" tu codigo con saltos condicionales que solo se den en situaciones donde una variable tenga la dirección de destino correcta, tal que el analisis sea tan tedioso que evite a los menos experto intentarlo... algo así (no me guinden por comparar XD es un ejemplo) es lo que hacen los packer como themida...
En línea

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
Ethicalsk

Desconectado Desconectado

Mensajes: 113



Ver Perfil
Re: Cifrar malware
« Respuesta #5 en: 1 Agosto 2018, 02:43 am »

Gracias engel lex por el aporte! Ambos aportes, tanto el tuyo como el de NEBIRE son interesantes para entender como dificultar la detección. Actualmente me encuentro investigando y trabajando con un LKM rootkit, que por ahora puede ocultar archivos, procesos y tráfico, pero justamente el mayor punto débil es que los archivos que utilizo quedan expuestos de ser vistos mediante otro SO. Además utilizo un backdoor que es un bash script que corre al inicio y me devuelve una shell remota cada X segundos, y tanto el proceso como los archivos y el tráfico están ocultos por el rootkit, pero me estoy dando cuenta que no es una buena forma de hacerlo ya que ese script de bash queda expuesto como dije antes, de ser visto por otro SO, tal vez lo mejor sea integrar la funcionalidad de backdoor en el mismo kernel y no en el bash script. Bueno, gracias nuevamente a ambos, y también a Machacador por interesarse en el tema!
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Cifrar
Programación Visual Basic
Archreg 8 4,175 Último mensaje 8 Enero 2011, 14:41 pm
por Archreg
cifrar bat
Scripting
ELVJop 5 10,054 Último mensaje 1 Mayo 2012, 16:43 pm
por ELVJop
Detekt — Free Anti-Malware Tool To Detect Govt. Surveillance Malware
Noticias
r32 0 2,397 Último mensaje 23 Noviembre 2014, 02:40 am
por r32
se puede cifrar malware tu solo?
Análisis y Diseño de Malware
str0nghack 4 6,225 Último mensaje 22 Marzo 2017, 17:37 pm
por TheIllusionist
software cifrar o cifrar
Criptografía
ambrayas 7 7,383 Último mensaje 21 Septiembre 2017, 04:41 am
por AlbertoBSD
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines