Buenas, estaba leyendo éste artículo del Chema Alonso:

http://www.elladodelmal.com/2017/09/owasp-zsc-zeroday-cyber-research.html

que muestra una nueva herramienta para crear shellcodes ofuscados para insertarlos en los exploits. Mi duda es por qué un payload necesitaría ser ofuscado? Supuestamente el antivirus no es que solo analizaba el disco? Es decir, que es capaz de detectar archivos maliciosos? Pero en el caso de los exploits, consiguen tomar el control de la pc sin necesidad de ningún archivo, ya que utilizan al proceso vulnerable para ejecutar codigo, yendo directamente a memoria sin tocar el disco. Cómo es que un antivirus podría llegar a detectar una shellcode de un exploit si la misma no está ofuscada?

Gracias y saludos!

Muchas gracias AlbertoBSD!!! Entonces según lo que me decís aca:


el antivirus no solo se fija en disco, sino que también en la memoria y en el tráfico de red. Yo había leído un artículo que decía que el antivirus no analizaba la memoria, tal vez era un artículo muy viejo y los antivirus viejos no la analizaban y ahora si.

En cuanto a lo primero de los exploits del tipo local, tenes razón! No lo estaba teniendo en cuenta... Si por ejemplo se utilizan las ultimas vulnerabilidades de word o adobe reader pero con un payload ofuscado en un archivo .doc o .pdf, pensás que sería posible evadir el antivirus o igualmente sería detectado de algún otro modo?

Muchas gracias nuevamente!

Saludos!