elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: Doble factor de autenticación o verificación en dos pasos


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderadores: skapunky, r32)
| | |-+  Payloads ofuscados? Antivirus?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Payloads ofuscados? Antivirus?  (Leído 453 veces)
Schaiden

Desconectado Desconectado

Mensajes: 73



Ver Perfil
Payloads ofuscados? Antivirus?
« en: 26 Septiembre 2017, 22:45 »

Buenas, estaba leyendo éste artículo del Chema Alonso:

http://www.elladodelmal.com/2017/09/owasp-zsc-zeroday-cyber-research.html

que muestra una nueva herramienta para crear shellcodes ofuscados para insertarlos en los exploits. Mi duda es por qué un payload necesitaría ser ofuscado? Supuestamente el antivirus no es que solo analizaba el disco? Es decir, que es capaz de detectar archivos maliciosos? Pero en el caso de los exploits, consiguen tomar el control de la pc sin necesidad de ningún archivo, ya que utilizan al proceso vulnerable para ejecutar codigo, yendo directamente a memoria sin tocar el disco. Cómo es que un antivirus podría llegar a detectar una shellcode de un exploit si la misma no está ofuscada?

Gracias y saludos!


En línea

AlbertoBSD
💻🌎🌍🌏🌐 NWO📱
Colaborador
***
Desconectado Desconectado

Mensajes: 3.114


Libertad!!!!!


Ver Perfil WWW
Re: Payloads ofuscados? Antivirus?
« Respuesta #1 en: 26 Septiembre 2017, 22:50 »

Generalmente los exploits, atacan algun servicio vulnerable ya sea:

  • Localmente
  • Remotamente

Localmente

El exploit necesita llegar a la maquina a atacar en forma de (Ejecutable y/o archivo de datos) y el antivirus seria capas de detectar X o Y firma de shellcode entonces lo bloquearia

Remotamente.

El payload tiene que viajar de alguna forma para instalarse en la memoria del proceso a vulnerar, entonces si el Antivirus detecta el payload en memoria y/o en el trafico de RED entrante, tendría forma de bloquearlo.

El Ofuscar los payloads sirve para evitar esta detección.

Saludos!



En línea

Crackeame si puedes Wallet.dat
Schaiden

Desconectado Desconectado

Mensajes: 73



Ver Perfil
Re: Payloads ofuscados? Antivirus?
« Respuesta #2 en: 26 Septiembre 2017, 22:58 »

Muchas gracias AlbertoBSD!!! Entonces según lo que me decís aca:

Citar
El payload tiene que viajar de alguna forma para instalarse en la memoria del proceso a vulnerar, entonces si el Antivirus detecta el payload en memoria y/o en el trafico de RED entrante, tendría forma de bloquearlo.

el antivirus no solo se fija en disco, sino que también en la memoria y en el tráfico de red. Yo había leído un artículo que decía que el antivirus no analizaba la memoria, tal vez era un artículo muy viejo y los antivirus viejos no la analizaban y ahora si.

En cuanto a lo primero de los exploits del tipo local, tenes razón! No lo estaba teniendo en cuenta... Si por ejemplo se utilizan las ultimas vulnerabilidades de word o adobe reader pero con un payload ofuscado en un archivo .doc o .pdf, pensás que sería posible evadir el antivirus o igualmente sería detectado de algún otro modo?

Muchas gracias nuevamente!

Saludos!
En línea

AlbertoBSD
💻🌎🌍🌏🌐 NWO📱
Colaborador
***
Desconectado Desconectado

Mensajes: 3.114


Libertad!!!!!


Ver Perfil WWW
Re: Payloads ofuscados? Antivirus?
« Respuesta #3 en: 26 Septiembre 2017, 23:20 »

Lo del análisis de memoria al final depende de las capacidades de cada antivirus, desconozco a que grado realize esto.

El payload ofuscado es para que no se detecte en el transporte hacia la maquina y/o memoria de la misma. Pero al final el payload debe de-ofuscarse en tiempo de ejecución y si el antivirus detecta este código "maligno" podría detectarlo antes de que se ejecute, repito todo depende de las capacidades del antivirus.

Saludos!
En línea

Crackeame si puedes Wallet.dat
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Metasploit y payloads
Hacking Básico
jano_prospero 2 1,266 Último mensaje 29 Marzo 2008, 13:52
por NewLog
Payloads curiosos
Bugs y Exploits
Debci 8 3,785 Último mensaje 9 Abril 2010, 17:25
por [Zero]
Ejemplos de payloads
Hacking Básico
inquilin@19 0 8,234 Último mensaje 14 Noviembre 2011, 17:20
por inquilin@19
Payloads
Bugs y Exploits
shargon 1 1,054 Último mensaje 26 Diciembre 2014, 00:50
por MCKSys Argentina
Payloads de vigilancia - Ayuda
Seguridad
~[Manza]~ 3 606 Último mensaje 29 Abril 2017, 19:08
por Troy4no
Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines