Jorge Rodriguez - Técnicas de evasión y anti-análisis [rooted2018]

Técnicas de evasión y
an.-análisis
Jorge Rodríguez Barrios

JR0driguezB - Técnicas de evasión y an7-análisis 2
1.  Presentación
2.  Técnicas An;*
3.  Técnicas An;-Disassembly
4.  Técnicas An;-Debugger
5.  Técnicas An;-VM
6.  Caso prác;co

Contenido
Índice

4
u Análisis de malware
u Threat Intelligence
u hOps://twiOer.com/JR0driguezB
u hOps://www.linkedin.com/in/jorgerodriguezbarrios/
Presentación
JR:~ JR$ whoami
JR0driguezB - Técnicas de evasión y an7-análisis

5
@PreguntasFWR
Preguntas
Canal de preguntas

7
u Bien para diﬁcultar la tarea de ingeniería inversa al analista o bien para impedir que la
muestra pueda ser analizada por sandboxes o ejecutada en entornos virtuales, varias
familias de malware implementan técnicas en su código con tal propósito.
u Si bien no se trata métodos que puedan mantener a raya a un reverser con cierta
experiencia, un analista que nunca se haya enfrentado a esta situación si que puede
encontrar diﬁcultades para analizar la muestra y los sistemas automá;cos pueden ser
inú;les frente dichas técnicas.

Técnicas An7*

9
u Ofuscación más que An;-Disassembly.
u Modiﬁcaciones random a un registro.
u No afectan al ﬂujo del programa.
Técnicas An7-Disassembly
Junk instruc7ons

10
u Jump condicional.
u La condición siempre es la misma.
u Por tanto se trata de un Jump incondicional.
u Puede romper el desensamblado.
Instrucciones Jump con condiciones constantes

11
u Jumps con condiciones opuestas.
u Ambos apuntan a la misma dirección.
u Siempre se tomará el salto.
Jumps con el mismo des7no (I)

12
u Posible detección y solución:
v  Diferencia de 1 byte entre los opcodes de los Jumps.
v  Diferencia de 2|6 bytes en la dirección des;no.
v  Cambiar por Jump incondicional.
v  NOPear el resto de opcodes.
Jumps con el mismo des7no (II)

13
u MD5:
v  4a49135d2ecc07085a8b7c5925a36c0a
u Spyware también conocido bajo el nombre FinFisher.
u Supuestamente u;lizado por agencias gubernamentales para vigilancia y espionaje.
u Implementa varias técnicas An;-Disassembly así como de emulación de código.
FinSpy

15
u Se trata de una técnica básica de detección que chequea el PEB para ver si está ac;vado
el ﬂag BeingDebugged.
Técnicas An7-Debugger
IsDebuggerPresent()
; IsDebuggerPresent mediante llamada a la API
call [IsDebuggerPresent]
test eax, eax
jnz .debugger_detected
; Comprobando PEB.BeingDebugged directamente
mov eax, dword [fs:0x30] ; eax = TEB.ProcessEnviromentBlock
movzx eax, byte [eax+0x02] ; al = PEB.BeingDebugged
test eax, eax
jnz .debugger_found


16
u El PEB ;ene otro campo llamado NtGlobalFlag (en el oﬀset 0x68) para detectar si el
programa ha sido cargado por un debugger:
v  Si no está siendo debuggeado, el valor de este campo es 0x0.
v  Si está siendo debuggeado, con;ene el valor 0x70.
NtGlobalFlag
; ebx contendrá la dirección del PEB
mov ebx, [fs:0x30]
; Comprobar si PEB.NtGlobalFlag es dis;nto de 0
cmp dword [ebx+0x68], 0
jne .debbugger_detected

17
u CheckRemoteDebuggerPresent() es otra API que se puede usar para ver si un programa
está siendo debuggeado.
u Esta función se invoca con dos parámetros, un manejador al proceso y un boolean
donde se devolverá el resultado de si el proceso está siendo debuggeado o no.
CheckRemoteDebuggerPresent()

18
u Esta técnica se basa en el hecho de que el debugger va a ser el encargado de manejar las
excepciones que se eleven en el programa, en lugar de ser el manejador de excepciones
quien se encargue de ellas.
u De esta manera, si se generan excepciones de forma premeditada y en el manejador de
excepciones se da un valor a un flag para confirmar que ha sido él el que ha tratado la
excepción, se puede deducir si un programa está siendo debuggeado al pasarse al
usuario el control del programa y no al manejador de excepciones y por tanto, si asignar
determinado valor al mencionado flag.
Debugger excep7ons

19
u Cuando se debuggea un proceso, se emplean ciclos de CPU tanto por el código del
debugger como por el reverser traceando el programa.
u Analizando el ;empo de ejecución entre diversos puntos del programa, se puede
deducir si se está corriendo bajo un debugger.
u Las siguientes llamadas permiten calcular estos ;empos:
v  Rdtsc (Read Time-Stamp Counter)
v  GetTickCount()
Timing checks

20
u Generalemente, un proceso ;ene como padre a explorer.exe, pues es el encargado de
lanzarlo cuando se realiza un doble-click sobre un ejecutable.
u Se puede iterar sobre los procesos en ejecución en un sistema y si el PID del proceso
padre del proceso que interese saber si está corriendo bajo un debugger no es el PID de
explorer.exe, es posible que esté siendo debuggeado.
Proceso padre

21
u Otra forma de ver si hay un debugger corriendo en el sistema es listar todos los
procesos y buscar si alguno de los nombres se corresponden a debuggers:
v  Ollydbg.exe
v  x32dbg.exe y x64dbg.exe
v  Idaq.exe
v  Windbg.exe
Procesos asociados a debuggers

22
u Cuando se establece un BP en el código, se reemplaza el opcode original por un 0xCC (int3).
u Un ejecutable puede implementar una ru;na que escanee el código en busca de este opcode y
detectar de esta manera que está siendo debuggeado.
u No sólo los BP en sosware pueden ser detectados, los basados en hardware también.
Detección de BPs

23
u The art of unpacking:
v  hOps://www.blackhat.com/presenta;ons/bh-usa-07/Yason/Presenta;on/bh-usa-07-
yason.pdf
Referencias

25
u HARDWAREDEVICEMAPScsiScsi Port 0Scsi Bus 0Target Id 0Logical Unit Id 0 (Iden;fier) (VBOX)
u HARDWAREDEVICEMAPScsiScsi Port 0Scsi Bus 0Target Id 0Logical Unit Id 0 (Iden;fier) (QEMU)
u HARDWAREDescrip;onSystem (SystemBiosVersion) (VBOX)
u HARDWAREDescrip;onSystem (SystemBiosVersion) (QEMU)
u HARDWAREDescrip;onSystem (VideoBiosVersion) (VIRTUALBOX)
u HARDWAREDEVICEMAPScsiScsi Port 0Scsi Bus 0Target Id 0Logical Unit Id 0 (Iden;fier) (VMWARE)
Técnicas An7-VM
Claves de registro

26
u "system32driversVBoxMouse.sys"
u "system32driversVBoxGuest.sys"
u "system32driversVBoxSF.sys"
u "system32driversVBoxVideo.sys"
u "system32vboxdisp.dll"
u "system32vboxhook.dll"
u "system32vboxmrxnp.dll"
u "system32vboxogl.dll"
u "system32vboxoglarrayspu.dll"
u "system32vboxoglcru;l.dll”
Técnicas An7-VM
Ficheros de sistema
u "system32vboxoglerrorspu.dll"
u "system32vboxoglfeedbackspu.dll"
u "system32vboxoglpackspu.dll"
u "system32vboxoglpassthroughspu.dl
l"
u "system32vboxservice.exe"
u "system32vboxtray.exe"
u "system32VBoxControl.exe"
u "system32driversvmmouse.sys"
u "system32driversvmhgfs.sys"

27
u "%PROGRAMFILES%oraclevirtualbox guest addi;ons"
u "%PROGRAMFILES%VMware”
Técnicas An7-VM
Directorios

28
u "x08x00x27” (VBOX)
u "x00x05x69” (VMWARE)
u "x00x0Cx29” (VMWARE)
u "x00x1Cx14” (VMWARE)
u "x00x50x56” (VMWARE)
Técnicas An7-VM
Direcciones MAC

29
u vboxservice.exe (VBOX)
u vboxtray.exe (VBOX)
u vmtoolsd.exe (VMWARE)
u vmwaretray.exe (VMWARE)
u Vmwareuser (VMWARE)
u vmsrvc.exe (VirtualPC)
u vmusrvc.exe (VirtualPC)
u prl_cc.exe (Parallels)
u prl_tools.exe (Parallels)
u xenservice.exe (Citrix Xen)
Técnicas An7-VM
Procesos

30
u Presencia del Hypervisor haciendo uso de (EAX = 0x1)
u Hypervisor vendor haciendo uso de (EAX = 0x40000000)
Técnicas An7-VM
CPUID (I)

31
#include <stdio.h>
int main() {
__asm__("xor %eax, %eaxnt"
"inc %eaxnt"
"cpuidnt"
"shr $31, %ecxnt");
register int i asm("ecx");
if(i == 1){
prin•("CPUID found VM behaviour.nnVM detected!nn");
}else if(i == 0){
prin•("CPUID check passed.nn");
}else{
prin•("Unexpected value in CPUID check.nn");}
Técnicas An7-VM
CPUID (II)
prin•("Hypervisor brand:n");
"mov $1073741824, %eaxnt" //40000000
"cpuidnt");
register char EAX[4] asm("eax");
register char ECX[4] asm("ecx");
register char EDX[4] asm("edx");
prin•("%s%s%snnn",EAX,ECX,EDX);
system("pause");
}


32
u Técnica implementada por Joanna Rutkowska.
u Store Interrupt Descriptor Table (SIDT).
u Si la dirección devuelta es:
v  Mayor que 0xD0 -> Máquina virtual
v  Menor o igual -> Máquina real
u Detecta máquinas que corran con un único
procesador.
Técnicas An7-VM
Red Pill (I)

33
#include <stdio.h>
int main(){
"sidt 8 (%ebp)nt"
"mov 8 (%ebp), %eaxnt"
"shr $24, %eaxnt");
register int EAX asm("eax");
int IDT_address = EAX;
prin•("IDT address: %xn",IDT_address);
if (IDT_address > 0xD0){
prin•("VM detected.nn");
} else {
prin•("Host system.nn");
}
system("pause");}
Técnicas An7-VM
Red Pill (II)

34
u CPUID
u SIDT
u SGDT
u SLDT
u SMSW
u STR
u IN
Técnicas An7-VM
Instrucciones x86 An7-VM

35
from idau;ls import *
from idc import *
#Enum, list and color An;-VM instruc;ons - orange
heads = Heads(SegStart(ScreenEA()), SegEnd(ScreenEA()))
an;VM = []
for i in heads:
if (GetMnem(i) == "sidt" or GetMnem(i) == "sgdt" or GetMnem(i) == "sldt" or GetMnem(i) == "smsw“ or GetMnem(i) == "str" or GetMnem(i) == "in" or
GetMnem(i) == "cpuid"):
an;VM.append(i)
print "[+] Number of poten;al An;-VM instruc;ons: %d" % (len(an;VM))
for i in an;VM:
print "[+] An;-VM poten;al at %x" % i
SetColor(i, CIC_ITEM, 0x3a9df6)
Técnicas An7-VM
Detección instrucciones An7-VM (I)

36
u Ejemplo de output del script para la
detección de instrucciones de
entornos virtuales.
Técnicas An7-VM
Detección instrucciones An7-VM (II)

37
u Puede darse la posibilidad de que sea muy
complejo lidiar con las técnicas implementadas
para la detección de entornos virtuales.
u Una posible solución es desplegar máquinas …sicas
para el análisis de estas muestras.
u Uso de sosware que ayude a devolver la máquina
a un estado limpio:
v  Deep Freeze
Técnicas An7-VM
Máquinas sicas

38
u Paﬁsh:
v  hOps://github.com/a0rtega/paﬁsh
u Al-khaser:
v  hOps://github.com/LordNoteworthy/al-khaser
u Hardening VirtualBox:
v  hOp://byte-atlas.blogspot.com.es/2017/02/hardening-vbox-win7x64.html
Técnicas An7-VM
Referencias

40
u Las técnicas empleadas en el malware actual pueden no ser tan “ideales” como las
mencionadas en la charla.
u Detección de entornos en el lado del C2.
Caso prác7co
An7-Análisis en malware

41
u MD5:
v  6cdf562e79a733a1e0d096a5324c7d77
u  Troyano bancario también conocido bajo el nombre ZeusPanda.
u  Variante del conocido troyano bancario Zeus.
u  Uno de los bancarios más ac;vos junto con TrickBot y Dridex.
u  Vectores de infección:
v  Campañas de MalSpam.
v  Downloaders como Hancitor o Emotet.
Caso prác7co
PandaBanker (I)

42
u Función encargada del chequeo del entorno.
u Si el resultado es desfavorable, se auto-elimina.
u Si es favorable, se instala en el equipo.
Caso prác7co
PandaBanker (II)

43
u Comprobación del ﬁchero de debug.
u Pruebas durante el desarrollo.
Caso prác7co
PandaBanker (III)

44
u Lenguaje.
Caso prác7co
PandaBanker (IV)

45
u Búsqueda de procesos y artefactos rela;vos a herramientas y entornos de análisis.
Caso prác7co
PandaBanker (V)

46
u Ficheros asociados a
entornos de análisis.
Caso prác7co
PandaBanker (VI)

47
u Ficheros asociados a entornos de análisis.
Caso prác7co
PandaBanker (VII)

48
u Detección de SandBoxie.
Caso prác7co
PandaBanker (VII)

49
u Detección de Deep Freeze.
Caso prác7co
PandaBanker (VIII)

50
u Detección de WireShark.
Caso prác7co
PandaBanker (IX)

51
u Detección de Wine.
Caso prác7co
PandaBanker (X)

52
u Procesos asociados a herramientas
de análisis.
Caso prác7co
PandaBanker (XI)

53
Caso prác7co
PandaBanker (XII)
de análisis.

54
Caso prác7co
PandaBanker (XIII)
de análisis.

55
u Artefactos aosciados a debuggers y sosware de monitorización:
v  .REGVXG - RegMon
v  .FILEVXG - FileMon
v  .REGSYS - RegMon
v  .FILEM - FileMon
v  .TRW - Debugger de Windows 9X
Caso prác7co
PandaBanker (XIV)

56
u Loop.
Caso prác7co
PandaBanker (XV)

57
u Si se pasan todos los checks:
v  Se instala en el equipo.
v  Se lanza desde la nueva carpeta.
Caso prác7co
PandaBanker (XVI)

58
@PreguntasFWR
Preguntas
Canal de preguntas

¡Gracias!
Jorge Rodríguez Barrios - @JR0driguezB

Jorge Rodriguez - Técnicas de evasión y anti-análisis [rooted2018]

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (18)

Similar a Jorge Rodriguez - Técnicas de evasión y anti-análisis [rooted2018]

Similar a Jorge Rodriguez - Técnicas de evasión y anti-análisis [rooted2018] (20)

Más de RootedCON

Más de RootedCON (20)

Último

Último (20)

Jorge Rodriguez - Técnicas de evasión y anti-análisis [rooted2018]