Keynote at the security meeting NoConName 2012 (#ncn2k12)
Abraham Pasamar, CEO of INCIDE, gave a keynote called "Avoiding Antivirus: use of Crypters" on November 3rd at the NoConName, the security meeting took place in Barcelona.
NoCONName 2014 (Ncn2k14) Abraham Pasamar - Desmitificando el AntiVirusINCIDE
Charla Desmitificando el AntiVirus en NoCONName 2104 NcN2k14.
Técnicas de evasión de antivirus.
Creación de un Crypter en C
Demo:
* Pruebas crypter
* Ataque ingenieria social: email+word con macro (downloader de Malware protegido con crypter FUD)
Video 1/
http://youtu.be/wPPmRgQNF24
* Ataque 0day con Sandworm (powerpoint)
Video 2/
https://www.youtube.com/watch?v=5hJddep-y80
Video 3/
https://www.youtube.com/watch?v=gZAndZB0Jqk
NoCONName 2014 (Ncn2k14) Abraham Pasamar - Desmitificando el AntiVirusINCIDE
Charla Desmitificando el AntiVirus en NoCONName 2104 NcN2k14.
Técnicas de evasión de antivirus.
Creación de un Crypter en C
Demo:
* Pruebas crypter
* Ataque ingenieria social: email+word con macro (downloader de Malware protegido con crypter FUD)
Video 1/
http://youtu.be/wPPmRgQNF24
* Ataque 0day con Sandworm (powerpoint)
Video 2/
https://www.youtube.com/watch?v=5hJddep-y80
Video 3/
https://www.youtube.com/watch?v=gZAndZB0Jqk
Charla 'Desmitificando el AntiVirus' Abraham Pasamar, Navaja Negra 2014 #NN4ed CON
Demo:
* Pruebas crypter
* Ataque ingenieria social: email+word con macro (downloader de Malware protegido con crypter FUD)
Video 1/
http://youtu.be/wPPmRgQNF24
* Ataque 0day con Sandworm (powerpoint)
Video 2/
https://www.youtube.com/watch?v=5hJddep-y80
Video 3/
https://www.youtube.com/watch?v=gZAndZB0Jqk
programación a semana vista, con parte para las faltas, espacio para cosas importantes, zona para otras anotaciones, pestañas para dividir por horas o materias,...
www.AsteriskClub.org : Trucos muy interesantes imprescindibles para configurar y administrar un Asterisk para ahorrar tiempo y esfuerzo. Herramientas, técnicas y programación del Manager de Asterisk
3ra version del manual de Asterisk que se puede descargar desde:
http://www.2shared.com/file/7236643/38a46da2/Debian_Lenny-Asterisk.html
Espero que este pequeño aporte pueda ayudar a muchos que recien comienzan a investigar este universo de asterisk
Interchange How-To for Red Hat Linux ES4David Ramirez
Presentation of the INTERCHANGE Content Management System, which can be adapted as an e-commerce solution.
Instructions for deployment under RHEL 4.
Note: Version as of Feb. 2006
Abel Valero - VM + VFS = The Wooden Horse [rooted2018]RootedCON
Se mostrara como analizar malware altamente ofuscado con tecnicas avanzadas como es la implementacion de una maquina virtual para evitar mostrar el codigo real.
El objetivo es descifrar todos y cada uno de los componentes de este malware obteniendo el codigo original antes de pasar por su VM.
Para ello se ha creado distintas herramientas que facilitan esta tarea, veremos como fueron implementandose.
Por ultimo analizaremos el payload final y las tecnicas que utiliza para realizar sus implantes en distintos procesos del sistema, como es el uso de un sistema de archivos virtual (VFS), utilizado para ocultar los distintos componentes.
4. de qué va esto ...
• AV’s como funcionan
• Tipos de malware y detección AV’s
• Medidas de evasión
• Crypters
• tipos y funcionamiento
• stub
• stub FUD
• técnicas Modding
• Recursos
5. AV’s howto
• Los AntiVirus escanean binarios en disco
• NO analizan la memoria, sino los binarios
en disco que arrancan procesos
• Buscan firmas: cadenas binarias (BBDD)
• Buscan elementos/técnicas maliciosas
(Heurística)
11. Tipos de malvare y
detección AV’s
• Programas espía comerciales: (white list,
firmados)
• e-blaster
• 007
• perfect keylogger
12. Tipos de malvare y
detección AV’s
• Malware recien creado:
• detección baja (sin firmas)
• posible detección heurística
13. Tipos de malvare y
detección AV’s
• Malware existente: (muy conocidos,
firmas y heurística)
• troyanos
• downloaders
• stealers
• reverse shells
14. ¿Cómo se puede indetectar
el malware ya detectado ?
• C r y p t e r s:
• Software que permite encriptar el
malware para hacerlo indetectable a
los antivirus.
• La rutina de desencriptado tiene que
poder ejecutarse (no se cifra)
16. Crypter / stub
• Crypter:
• Encargado de crear el ejecutable
compuesto por el STUB y el
MALWARE CIFRADO
• Stub:
• Encargado de desencriptar el
MALWARE CIFRADO y ejecutarlo
33. RunPE o Dynamic Forking
CreateProcess (CREATE_SUSPENDED)
PROCESO
1
34. RunPE o Dynamic Forking
CreateProcess (CREATE_SUSPENDED)
PROCESO
GetThreadContext
1
EBX
35. RunPE o Dynamic Forking
CreateProcess (CREATE_SUSPENDED)
PROCESO
GetThreadContext
1
PEB EBX
36. RunPE o Dynamic Forking
CreateProcess (CREATE_SUSPENDED)
PROCESO
GetThreadContext
1
BaseAddress 1
+8
PEB EBX
37. RunPE o Dynamic Forking
CreateProcess (CREATE_SUSPENDED)
PROCESO
GetThreadContext
1
EP I
BaseAddress 1
+8
PEB EBX
EAX
38. RunPE o Dynamic Forking
CreateProcess (CREATE_SUSPENDED)
PROCESO
GetThreadContext
1
EP I
ReadFile
PROCESO
2
BaseAddress 1
+8
PEB EBX
EAX
39. RunPE o Dynamic Forking
CreateProcess (CREATE_SUSPENDED)
PROCESO
GetThreadContext
1
EP I
ReadFile WriteProcessMemory
PROCESO
2
BaseAddress 1
+8
PEB EBX
EAX
40. RunPE o Dynamic Forking
CreateProcess (CREATE_SUSPENDED)
PROCESO
GetThreadContext
2
1
EP I
WriteProcessMemory
BaseAddress 1
+8
PEB EBX
EAX
41. RunPE o Dynamic Forking
CreateProcess (CREATE_SUSPENDED)
PROCESO
GetThreadContext
2
1
EP I
WriteProcessMemory
+8
PEB EBX
EAX
42. RunPE o Dynamic Forking
CreateProcess (CREATE_SUSPENDED)
PROCESO
GetThreadContext
2
1
EP I
WriteProcessMemory
BaseAddress 2
+8
PEB EBX
EAX
43. RunPE o Dynamic Forking
CreateProcess (CREATE_SUSPENDED)
PROCESO
GetThreadContext
2
1
EP I
EP 2 WriteProcessMemory
BaseAddress 2
+8
PEB EBX
EAX
44. RunPE o Dynamic Forking
CreateProcess (CREATE_SUSPENDED)
PROCESO
GetThreadContext
2
1
EP I
EP 2 WriteProcessMemory
SetThreadContext
BaseAddress 2
+8
PEB EBX
EAX
45. RunPE o Dynamic Forking
CreateProcess (CREATE_SUSPENDED)
PROCESO
GetThreadContext
2
1
EP I
EP 2 WriteProcessMemory
ResumeThread SetThreadContext
BaseAddress 2
+8
PEB EBX
EAX
46. RunPE o Dynamic Forking
CreateProcess (CREATE_SUSPENDED)
PROCESO
PROCESO
GetThreadContext
2
1
EP I
EP 2 WriteProcessMemory
ResumeThread SetThreadContext
BaseAddress 2
+8
PEB EBX
EAX
47. FUD
• Objetivo: Stub FUD (Full UnDetectable)
• Indetección desde Fuente (Source)
• Indetección desde Binario
• ¿Cómo?
• MODDING
48. Modding Source
• A mano o con ofuscadores:
• Reemplazar funciones (SPLIT,..)
• Reemplazar y/o ofuscar funciones/strings/variables y Encriptar
con rot13 o Hex
• Encriptaciones: RC4 y XOR quemadas
• Alternativas: TEA, DES, etc
• RunPE alternativos
• APIs Falsas
• TLB (Tab Library File)
• Trash code
49. Modding Binario
• Indetección desde Binario:
• Se utilizan diferentes técnicas como:
• Dsplit/AvFucker
• SignatureFucker
• Hexing
• RIT
• XOR y variantes
• Tips
50. Modding Binario
• Se modea el STUB, el Crypter no es parte del
malware in the wild
• Se buscan las FIRMAS o puntos de detección
• Firmas sencillas
• Firmas Múltiples
• Heurística
64. Modding Binario
• Técnica RIT
• localizar firma
• si son instrucciones partir flujo
• saltar a otro punto (hueco)
• finalizar las instrucciones
• retornar al punto posterior
65. Modding Binario
• Técnica XOR
• localizar firma/s
• aplicar XOR con un valor p.e. 33
• Modificar EP o saltar a un hueco
• aplicar XOR 33
• retornar al punto posterior
67. ¿ P R E G U NTA S ?
Passeig Sant Gervasi, 10 ent. 3ª
08021 Barcelona
info@incide.es
http://www.incide.es
http://www.twitter.com/1NC1D3
http://www.atrapadosporlosbits.com
http://www.youtube.com/incidetube
Companies > INCIDE - Investigación Digital
Tel./Fax. +34 932 546 277 / +34 932 546 314