2. Whoami
ncd:~ apasamar$ whoami
apasamar
apasamar@incide.es
@apasamar
a.k.a brajan
ncd:~ apasamar$ cat apasamar.cv
Ingeniero superior y Máster en
seguridad de la información
Socio fundador de INCIDE:
Expertos en prueba electrónica
Forensics / Periciales
Respuesta a incidentes
Consultoría/Auditoría de Seguridad
!
ncd:~ apasamar$ rm apasamar.cv
3. de qué va esto...
• Introducción
• AV’s como funcionan
• Tipos de malware y detección AV’s
• Medidas de evasión
• Auto-cifrado, Polimorfismo, Ofuscación, Compresión
• Crypters
• tipos y funcionamiento
• stub
• stub FUD
• técnicas Modding
• Recursos
8. AV’s howto
• Los AntiVirus escanean binarios EN DISCO
• NO analizan la memoria, sino los binarios
en disco que arrancan procesos
• Buscan firmas: cadenas binarias (BBDD)
• Buscan elementos/técnicas maliciosas
(Heurística):APIS, funciones, XOR, etc
• Sandbox (ejecución parcial): búsqueda de
técnicas de descifrado, etc
11. AV’s howto
• Recomendado:
“Abusing File Processing in Malware
Detectors for Fun and Profit” (2012)
Suman Jana and Vitaly Shmatikov
The University of Texas at Austin
13. tipos de malware y
detección AV’s
• Programas espía comerciales: (white list,
firmados)
• e-blaster
• 007
• perfect keylogger
14. • Malware recién creado:
• detección baja (sin firmas)
• posible detección heurística
tipos de malware y
detección AV’s
15. • Malware existente: (muy conocidos,
firmas y heurística)
• troyanos
• downloaders
• stealers
• reverse shells
• ...
tipos de malware y
detección AV’s
16. ¿cómo se puede indetectar
el malware ya detectado ?
• C r y p t e r s:
• Software que permite cifrar
CUALQUIER MALWARE para
hacerlo indetectable a los antivirus.
• La rutina de descifrado tiene que
poder ejecutarse (no se cifra)
18. builder / stub
• Builder:
• Encargado de crear el ejecutable
compuesto por el STUB y el
MALWARE CIFRADO
• Stub:
• Encargado de descifrar el MALWARE
CIFRADO y ejecutarlo
25. RunPE o Dynamic Forking
CreateProcess
PROCESO
1 (CREATE_SUSPENDED)
GetThreadContext
PEB EBX
EAX
BaseAddress 1
EP I
+8
PROCESO
2
ReadFile WriteProcessMemoryEP 2
BaseAddress 2
SetThreadContextResumeThread
26. FUD
• Objetivo: Stub FUD (Full UnDetectable)
• Indetección desde Fuente (Source)
• Indetección desde Binario
• ¿Cómo?
• MODDING
27. modding source
• A mano o con ofuscadores:
• Reemplazar funciones (SPLIT,..)
• Reemplazar y/o ofuscar funciones/strings/variables y Cifrar con
rot13 o Hex
• Cifrados: RC4 y XOR quemadas
• Alternativas:TEA, DES, etc
• RunPE alternativos
• APIs Falsas
• TLB (Tab Library File)
• Trash code
28. modding binario
• Indetección desde Binario:
• Se utilizan diferentes técnicas como:
• Dsplit/AvFucker
• SignatureFucker
• Hexing
• RIT
• XOR y variantes
• Tips
29. • Se modea el STUB, el BUILDER no es parte del
malware in the wild
• Se buscan las FIRMAS o puntos de detección
• Firmas sencillas
• Firmas Múltiples
• Heurística
modding binario
40. • Técnica RIT
• localizar firma
• si son instrucciones partir flujo
• saltar a otro punto (hueco)
• finalizar las instrucciones
• retornar al punto posterior
!
modding binario
41. • Técnica XOR
• localizar firma/s
• aplicar XOR con un valor p.e. 22
• Modificar EP o saltar a un hueco
• aplicar XOR 22
• retornar al punto posterior
!
modding binario
42. Detectado (EP):
XOR de los bytes detectados:
Nuevo EP ( Instruccione XOR reverso):
modding binario
43. otras técnicas
• Añadir APIs Falsas
• Edición Hexadecimal de cadenas
• Mover/cambiar direcciones de llamadas
a las funciones
• Cambiar llamadas por nombre/offeset
• Introducir en STUB la función de la DLL
detectada
!
45. Avda. Diagonal, 640 6ª Planta
08017 Barcelona
info@incide.es
http://www.incide.es
http://www.twitter.com/1NC1D3
http://www.atrapadosporlosbits.com
http://www.youtube.com/incidetube
Companies > INCIDE - Investigación Digital
Tel./Fax. +34 932 546 277 / +34 932 546 314
¿ P R E G U N T A S ?