Este documento presenta técnicas para desarrollar malware y evadir detección por antivirus y sandbox. Explica el uso de APIs de Windows como I/O y registro para implementar exploits como MS10-092 y MS10-046 que permiten escalar privilegios y propagación remota de código. También cubre temas como identificar entornos virtualizados, polimorfismo, cifrado de tráfico e inutilizar antivirus. Finalmente describe el funcionamiento básico de motores antivirus y sandbox.

1. T´ecnicas para el desarrollo de malware
funcionamiento de los antivirus y sandbox
Juan A. Salas Santillana
1Student of Computer Science
Universidad Cat´olica San Pablo
2SysAdmin
AQPHost.com
3Misticom.com
LimaHack, 2013

2. Disclaimer
La informaci´on, as´ı como las t´ecnicas y herramientas presentadas,
deber´an ser utilizadas con fines educativos, de investigaci´on, o para
la defensa de sus organizaciones.
Limahack, ni sus miembros y/o organizadores, no son responsables
por el uso que se de a este conocimiento.
.
El autor de la presentaci´on (ya sea que haya fabricado, dise˜nado,
desarrollado, facilitado, distribuido u obtiene para su utilizaci´on
uno o mas mecanismos, programas informativos, dispositivos,
contrase˜nas, c´odigos de acceso o cualquier otro dato inform´atico
no lo ha realizado para la comisi´on de los delitos previstos en la
Ley de delitos inform´aticos, tampoco ofrece ni presta servicio que
contribuya a dicho prop´osito.
.
Por lo cual se excluye de cualquier delito que sea cometido con lo
comentado en la presentaci´on.

3. Outline
Introducci´on
Api de Windows
I/O
Registro
Implementando exploits
An´alisis de vulnerabilidades
Enga˜nar a los antivirus y sandbox
Funcionamiento de un motor antivirus y sandbox
Tools a presentar

4. Introducci´on
Es un tipo de software que tiene como objetivo infiltrarse o
da˜nar una computadora o Sistema de informaci´on sin el
consentimiento de su propietario.

5. Introducci´on
Es un tipo de software que tiene como objetivo infiltrarse o
da˜nar una computadora o Sistema de informaci´on sin el
consentimiento de su propietario.
Desde 2003, la mayor parte de los virus y gusanos han sido
dise˜nados para tomar control de computadoras para su
explotaci´on en el mercado negro.

6. Outline
Introducci´on
Api de Windows
I/O
Registro
Implementando exploits
An´alisis de vulnerabilidades
Enga˜nar a los antivirus y sandbox
Funcionamiento de un motor antivirus y sandbox
Tools a presentar

7. I/O
CopyFile - CopyFile2.

8. I/O
CopyFile - CopyFile2.
CreateFile.

9. I/O
CopyFile - CopyFile2.
CreateFile.
SetFileAttributes.

10. I/O
CopyFile - CopyFile2.
CreateFile.
SetFileAttributes.
CancelIo

11. I/O
CopyFile - CopyFile2.
CreateFile.
SetFileAttributes.
CancelIo

12. Outline
Introducci´on
Api de Windows
I/O
Registro
Implementando exploits
An´alisis de vulnerabilidades
Enga˜nar a los antivirus y sandbox
Funcionamiento de un motor antivirus y sandbox
Tools a presentar

13. Registro
HKEY CURRENT ROOT

14. Registro
HKEY CURRENT ROOT
HKEY CURRENT USER

15. Registro
HKEY CURRENT ROOT
HKEY CURRENT USER
HKEY LOCAL MACHINE

16. Registro
HKEY CURRENT ROOT
HKEY CURRENT USER
HKEY LOCAL MACHINE
HKEY USERS

17. Registro
HKEY CURRENT ROOT
HKEY CURRENT USER
HKEY LOCAL MACHINE
HKEY USERS
HKEY CURRENT CONFIG

18. Registros importantes
HKCUSoftwareMicrosoftWindowsCurrentVersionRun

19. Registros importantes
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSOFTWARE Microsoft Windows CurrentVersion
RunServices

20. Registros importantes
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSOFTWARE Microsoft Windows CurrentVersion
RunServices
HKLMSOFTWAREMicrosoftWindows
NTCurrentVersionWinlogon

21. Registros importantes
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSOFTWARE Microsoft Windows CurrentVersion
RunServices
HKLMSOFTWAREMicrosoftWindows
NTCurrentVersionWinlogon
HKLMSYSTEMCurrentControlSetServicesSharedAccess

22. Outline
Introducci´on
Api de Windows
I/O
Registro
Implementando exploits
An´alisis de vulnerabilidades
Enga˜nar a los antivirus y sandbox
Funcionamiento de un motor antivirus y sandbox
Tools a presentar

23. Escalar privilegios
MS10-092
Segun Microsoft: Una vulnerabilidad del Programador de tareas
podr´ıa permitir la elevaci´on de privilegios.
Windows 7, 2008, Vista.

24. Escalar privilegios
MS10-092
Segun Microsoft: Una vulnerabilidad del Programador de tareas
podr´ıa permitir la elevaci´on de privilegios.
Windows 7, 2008, Vista.
Permite escalar privilegios.

25. Escalar privilegios
MS10-092
Segun Microsoft: Una vulnerabilidad del Programador de tareas
podr´ıa permitir la elevaci´on de privilegios.
Windows 7, 2008, Vista.
Permite escalar privilegios.
Colision de hashes (CRC32)

26. Escalar privilegios
MS10-092
Segun Microsoft: Una vulnerabilidad del Programador de tareas
podr´ıa permitir la elevaci´on de privilegios.
Windows 7, 2008, Vista.
Permite escalar privilegios.
Colision de hashes (CRC32)

27. Escalar privilegios
Demo y c´odigo.

28. Propagaci´on
MS10-046
Segun Microsoft: Una vulnerabilidad en el shell de Windows podr´ıa
permitir la ejecuci´on remota de c´odigo.
Windows 7, 2008, Vista, XP.

29. Propagaci´on
MS10-046
Segun Microsoft: Una vulnerabilidad en el shell de Windows podr´ıa
permitir la ejecuci´on remota de c´odigo.
Windows 7, 2008, Vista, XP.
Permite ejecuci´on arbitraria de c´odigo..

30. Propagaci´on
MS10-046
Segun Microsoft: Una vulnerabilidad en el shell de Windows podr´ıa
permitir la ejecuci´on remota de c´odigo.
Windows 7, 2008, Vista, XP.
Permite ejecuci´on arbitraria de c´odigo..
Enlaces directos.

31. Propagaci´on
MS10-046
Segun Microsoft: Una vulnerabilidad en el shell de Windows podr´ıa
permitir la ejecuci´on remota de c´odigo.
Windows 7, 2008, Vista, XP.
Permite ejecuci´on arbitraria de c´odigo..
Enlaces directos.

32. Propagaci´on
Demo y c´odigo.

33. Identificaci´on del entorno.
Identificar si nos encontramos en entronos de virtualizaci´on.
C´odigo y demo.

34. Poliformismo

35. Cifrado de trafico

36. Inutilizar al antivirus.
C´odigo y demo.

37. Antivirus
Aho-Corasick
Figure: Aho-Corasick

38. Sandbox
Virtualizaci´on, An´alisis de trafico y memoria, etc.

39. Sandbox
Aqu´ı se presentara mi Sandbox OpenSource