[SOLUCIONADO] RAT es detectado despues de la conexion - Ayuda

Iniciado por Andro1de, Enero 03, 2014, 04:16:01 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Enero 03, 2014, 04:16:01 PM Ultima modificación: Agosto 23, 2014, 09:17:35 AM por Expermicid
Hola a todos, primero, debo decir que del malware no soy muy conocedor y a continuacion, explicarles mi problema:

Bien, estoy utilizando el Darkcomet(5.3.1) contra Win7(server y client), lo cifro con un crypter que he modificado desde codigo y binario, y aunque no es FUD, se ha hecho indetectable para el Microsoft Forefront Endpoint 2010 y es ese con el que estoy trabajando. Sin proteccion todo funciona bien, se conecta, no se rompe. Sin embargo, cuando activo la proteccion, sigue sin detectarlo y hasta lo ejecuto y se logra ver en el panel del darkcomet pero pasan no mas de 5 segundos y se pierde la conexion porque el AV lo detecto. Se que el AV esta detectando alguna accion maliciosa,seguramente, de un proceso(el RAT) y lo elimina pero quisiera saber: ¿que mas puedo hacer si en el analisis estatico del AV aparece indetectable? Ideas!

Gracias!
Enero 03, 2014, 04:42:37 PM #1
Eso es por que el Crypter es Scantime y no Runtime. Es por eso que al ejecutarlo, salta el AV

Saludos!
ANTRAX

Enero 03, 2014, 04:49:08 PM #2
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Eso es por que el Crypter es Scantime y no Runtime. Es por eso que al ejecutarlo, salta el AV

Saludos!
ANTRAX
Exactamente, como dijo ANTRAX.
Usaste un crypter como su nombre lo dice SCANTIME, que a la hora de escanear es indetectable mas a la hora de ejecutarse no..
Runtime, vendría siendo el opuesto, es indetectable a la hora de correrlo, la mayoría de RUNTIME viene junto con SCANTIME. Un saludo ~
Enero 03, 2014, 04:53:47 PM #3
Debo utilizar uno y despues el otro o puedo programarlo en el de scantime que ya tengo? , Viendolo desde el lado programatico yo podria podria decir que si, si van a ser tareas diferentes(primero descifro y luego lo "oculto" en el runtime) pero quiero saber tu opinion.

Gracias Antrax!

PD: Seguro andare molestandote si no me ubico bien con la info de los scantime

Saludos,
Enero 03, 2014, 04:56:28 PM #4
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Eso es por que el Crypter es Scantime y no Runtime. Es por eso que al ejecutarlo, salta el AV

Saludos!
ANTRAX
Exactamente, como dijo ANTRAX.
Usaste un crypter como su nombre lo dice SCANTIME, que a la hora de escanear es indetectable mas a la hora de ejecutarse no..
Runtime, vendría siendo el opuesto, es indetectable a la hora de correrlo, la mayoría de RUNTIME viene junto con SCANTIME. Un saludo ~

Bueno, creo que Kodeinfect ya respondio sobre mi segunda duda. Seguire dandole!

Gracias Kodeinfect!

Saludos,

Enero 03, 2014, 05:25:38 PM #5
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Eso es por que el Crypter es Scantime y no Runtime. Es por eso que al ejecutarlo, salta el AV

Saludos!
ANTRAX
Exactamente, como dijo ANTRAX.
Usaste un crypter como su nombre lo dice SCANTIME, que a la hora de escanear es indetectable mas a la hora de ejecutarse no..
Runtime, vendría siendo el opuesto, es indetectable a la hora de correrlo, la mayoría de RUNTIME viene junto con SCANTIME. Un saludo ~
Los crypters scantime (los comunes, el clasico RunPE), hoy en dia, son como los scantime. Que pasa?
Se ejecuta el crypter, desencripta el fichero en memoria y lo ejecuta y Ahi es cuando lo deteca, cuando queda descifrado en memoria.
Ademas el metodo esta quemadisimo, si no lo detectan de esta manera hookean las funciones que mas se utilizan y asi muchisimas maneras de detección.
Imprimir
Ir Arriba Páginas1
Acciones del Usuario