comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

[SOLUCIONADO] RAT es detectado despues de la conexion - Ayuda

  • 5 Respuestas
  • 1898 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Andro1de

  • *
  • Underc0der
  • Mensajes: 6
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« en: Enero 03, 2014, 04:16:01 pm »
Hola a todos, primero, debo decir que del malware no soy muy conocedor y a continuacion, explicarles mi problema:

Bien, estoy utilizando el Darkcomet(5.3.1) contra Win7(server y client), lo cifro con un crypter que he modificado desde codigo y binario, y aunque no es FUD, se ha hecho indetectable para el Microsoft Forefront Endpoint 2010 y es ese con el que estoy trabajando. Sin proteccion todo funciona bien, se conecta, no se rompe. Sin embargo, cuando activo la proteccion, sigue sin detectarlo y hasta lo ejecuto y se logra ver en el panel del darkcomet pero pasan no mas de 5 segundos y se pierde la conexion porque el AV lo detecto. Se que el AV esta detectando alguna accion maliciosa,seguramente, de un proceso(el RAT) y lo elimina pero quisiera saber: ¿que mas puedo hacer si en el analisis estatico del AV aparece indetectable? Ideas!

Gracias!
« Última modificación: Agosto 23, 2014, 09:17:35 am por Expermicid »

Conectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5395
  • Actividad:
    36.67%
  • Reputación 31
  • ANTRAX
    • Ver Perfil
    • Underc0de
    • Email
  • Skype: underc0de.org
  • Twitter: @Underc0de
« Respuesta #1 en: Enero 03, 2014, 04:42:37 pm »
Eso es por que el Crypter es Scantime y no Runtime. Es por eso que al ejecutarlo, salta el AV

Saludos!
ANTRAX


Desconectado Kodeinfect

  • *
  • Underc0der
  • Mensajes: 325
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Kodeinfect's Blog
« Respuesta #2 en: Enero 03, 2014, 04:49:08 pm »
No tienes permisos para ver links. Registrate o Entra con tu cuenta
Eso es por que el Crypter es Scantime y no Runtime. Es por eso que al ejecutarlo, salta el AV

Saludos!
ANTRAX
Exactamente, como dijo ANTRAX.
Usaste un crypter como su nombre lo dice SCANTIME, que a la hora de escanear es indetectable mas a la hora de ejecutarse no..
Runtime, vendría siendo el opuesto, es indetectable a la hora de correrlo, la mayoría de RUNTIME viene junto con SCANTIME. Un saludo ~

Desconectado Andro1de

  • *
  • Underc0der
  • Mensajes: 6
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #3 en: Enero 03, 2014, 04:53:47 pm »
Debo utilizar uno y despues el otro o puedo programarlo en el de scantime que ya tengo? , Viendolo desde el lado programatico yo podria podria decir que si, si van a ser tareas diferentes(primero descifro y luego lo "oculto" en el runtime) pero quiero saber tu opinion.

Gracias Antrax!

PD: Seguro andare molestandote si no me ubico bien con la info de los scantime

Saludos,

Desconectado Andro1de

  • *
  • Underc0der
  • Mensajes: 6
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #4 en: Enero 03, 2014, 04:56:28 pm »
No tienes permisos para ver links. Registrate o Entra con tu cuenta
No tienes permisos para ver links. Registrate o Entra con tu cuenta
Eso es por que el Crypter es Scantime y no Runtime. Es por eso que al ejecutarlo, salta el AV

Saludos!
ANTRAX
Exactamente, como dijo ANTRAX.
Usaste un crypter como su nombre lo dice SCANTIME, que a la hora de escanear es indetectable mas a la hora de ejecutarse no..
Runtime, vendría siendo el opuesto, es indetectable a la hora de correrlo, la mayoría de RUNTIME viene junto con SCANTIME. Un saludo ~

Bueno, creo que Kodeinfect ya respondio sobre mi segunda duda. Seguire dandole!

Gracias Kodeinfect!

Saludos,


Desconectado OnTheCore

  • *
  • Underc0der
  • Mensajes: 58
  • Actividad:
    0%
  • Reputación 1
    • Ver Perfil
« Respuesta #5 en: Enero 03, 2014, 05:25:38 pm »
No tienes permisos para ver links. Registrate o Entra con tu cuenta
No tienes permisos para ver links. Registrate o Entra con tu cuenta
Eso es por que el Crypter es Scantime y no Runtime. Es por eso que al ejecutarlo, salta el AV

Saludos!
ANTRAX
Exactamente, como dijo ANTRAX.
Usaste un crypter como su nombre lo dice SCANTIME, que a la hora de escanear es indetectable mas a la hora de ejecutarse no..
Runtime, vendría siendo el opuesto, es indetectable a la hora de correrlo, la mayoría de RUNTIME viene junto con SCANTIME. Un saludo ~
Los crypters scantime (los comunes, el clasico RunPE), hoy en dia, son como los scantime. Que pasa?
Se ejecuta el crypter, desencripta el fichero en memoria y lo ejecuta y Ahi es cuando lo deteca, cuando queda descifrado en memoria.
Ademas el metodo esta quemadisimo, si no lo detectan de esta manera hookean las funciones que mas se utilizan y asi muchisimas maneras de detección.

 

¿Te gustó el post? COMPARTILO!



[SOLUCIONADO] ¿Kali Linux o Kali Linux Ligth ?

Iniciado por worq

Respuestas: 2
Vistas: 7003
Último mensaje Noviembre 21, 2017, 12:28:54 pm
por Codig0Bit
[SOLUCIONADO] Multiuploader de imagenes con mysql, hosting de imagenes con mysql

Iniciado por graphixx

Respuestas: 4
Vistas: 2182
Último mensaje Marzo 26, 2013, 05:42:58 pm
por Xt3mP
[SOLUCIONADO] ¿Como publicar un software como software libre?

Iniciado por FuriosoJack

Respuestas: 2
Vistas: 1588
Último mensaje Mayo 23, 2017, 07:24:22 am
por HATI
[SOLUCIONADO] Linux Mint, errores, errores y mas errores...

Iniciado por n1sendev

Respuestas: 12
Vistas: 2839
Último mensaje Noviembre 22, 2017, 06:50:55 am
por RuidosoBSD
[SOLUCIONADO] Problem al instalar Windows "cualquier windows"

Iniciado por Made

Respuestas: 7
Vistas: 2935
Último mensaje Septiembre 03, 2012, 04:53:08 pm
por Made