elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Arreglado, de nuevo, el registro del warzone (wargame) de EHN


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Payloads ofuscados? Antivirus?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Payloads ofuscados? Antivirus?  (Leído 2,880 veces)
Schaiden

Desconectado Desconectado

Mensajes: 97



Ver Perfil
Payloads ofuscados? Antivirus?
« en: 26 Septiembre 2017, 22:45 pm »

Buenas, estaba leyendo éste artículo del Chema Alonso:

http://www.elladodelmal.com/2017/09/owasp-zsc-zeroday-cyber-research.html

que muestra una nueva herramienta para crear shellcodes ofuscados para insertarlos en los exploits. Mi duda es por qué un payload necesitaría ser ofuscado? Supuestamente el antivirus no es que solo analizaba el disco? Es decir, que es capaz de detectar archivos maliciosos? Pero en el caso de los exploits, consiguen tomar el control de la pc sin necesidad de ningún archivo, ya que utilizan al proceso vulnerable para ejecutar codigo, yendo directamente a memoria sin tocar el disco. Cómo es que un antivirus podría llegar a detectar una shellcode de un exploit si la misma no está ofuscada?

Gracias y saludos!


En línea

AlbertoBSD
Programador y
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.705


🏴 Libertad!!!!!


Ver Perfil WWW
Re: Payloads ofuscados? Antivirus?
« Respuesta #1 en: 26 Septiembre 2017, 22:50 pm »

Generalmente los exploits, atacan algun servicio vulnerable ya sea:

  • Localmente
  • Remotamente

Localmente

El exploit necesita llegar a la maquina a atacar en forma de (Ejecutable y/o archivo de datos) y el antivirus seria capas de detectar X o Y firma de shellcode entonces lo bloquearia

Remotamente.

El payload tiene que viajar de alguna forma para instalarse en la memoria del proceso a vulnerar, entonces si el Antivirus detecta el payload en memoria y/o en el trafico de RED entrante, tendría forma de bloquearlo.

El Ofuscar los payloads sirve para evitar esta detección.

Saludos!



En línea

Schaiden

Desconectado Desconectado

Mensajes: 97



Ver Perfil
Re: Payloads ofuscados? Antivirus?
« Respuesta #2 en: 26 Septiembre 2017, 22:58 pm »

Muchas gracias AlbertoBSD!!! Entonces según lo que me decís aca:

Citar
El payload tiene que viajar de alguna forma para instalarse en la memoria del proceso a vulnerar, entonces si el Antivirus detecta el payload en memoria y/o en el trafico de RED entrante, tendría forma de bloquearlo.

el antivirus no solo se fija en disco, sino que también en la memoria y en el tráfico de red. Yo había leído un artículo que decía que el antivirus no analizaba la memoria, tal vez era un artículo muy viejo y los antivirus viejos no la analizaban y ahora si.

En cuanto a lo primero de los exploits del tipo local, tenes razón! No lo estaba teniendo en cuenta... Si por ejemplo se utilizan las ultimas vulnerabilidades de word o adobe reader pero con un payload ofuscado en un archivo .doc o .pdf, pensás que sería posible evadir el antivirus o igualmente sería detectado de algún otro modo?

Muchas gracias nuevamente!

Saludos!
En línea

AlbertoBSD
Programador y
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.705


🏴 Libertad!!!!!


Ver Perfil WWW
Re: Payloads ofuscados? Antivirus?
« Respuesta #3 en: 26 Septiembre 2017, 23:20 pm »

Lo del análisis de memoria al final depende de las capacidades de cada antivirus, desconozco a que grado realize esto.

El payload ofuscado es para que no se detecte en el transporte hacia la maquina y/o memoria de la misma. Pero al final el payload debe de-ofuscarse en tiempo de ejecución y si el antivirus detecta este código "maligno" podría detectarlo antes de que se ejecute, repito todo depende de las capacidades del antivirus.

Saludos!
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Payloads para worms
Scripting
aaronduran2 6 3,949 Último mensaje 27 Junio 2008, 16:11 pm
por Novlucker
Duda con dos payloads de metasploit.
Bugs y Exploits
NINGUNA1212 0 2,428 Último mensaje 1 Noviembre 2010, 16:13 pm
por NINGUNA1212
Ejemplos de payloads
Hacking
inquilin@19 0 13,237 Último mensaje 14 Noviembre 2011, 17:20 pm
por inquilin@19
Payloads
Bugs y Exploits
shargon 1 3,877 Último mensaje 26 Diciembre 2014, 00:50 am
por MCKSys Argentina
Modulos y payloads de metasploit
Bugs y Exploits
janaccensi 3 13,772 Último mensaje 4 Abril 2017, 01:39 am
por danroot_mx
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines