Bien, en primer lugar me gusta como redactas asi que me alegro que hayas publicado algo esta rama de bug hunting y exploit writing es fascinante es una de las que manejo y mas me gustan.

De todas maneras, tu paper es mas bien un manual de debugging con gdb ya que en realidad no estas mostrando como buffer overflodear, sobreescribir el EIP, insertar un shellcode, etc. que esta mas relacionado a los exploits.

Muy bueno,

Saludos.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Me gusta bastante este tipo de artículos, resulta que no se trata de un tutorial ni de una herramienta, sino de una investigación que da muchas luces para quienes están interesados en el tema. Yo también suelo hacer este tipo de pesquisas pero nunca termino publicándolas por el hecho de que a simple vista no se aplican a nada.

Si bien es algo que ya conocía, coincido con el hecho de que hay que empezar a innovar en la forma de indetectar malware. Así como Themida tuvo sus tiempos mozos y luego murió, lo mismo sucederá con los crypters y hay que adelantarse a ese suceso.

¡Saludos!

Gracias Azav! no dudes en publicar tus investigaciones si aportan a mejorar algún aspecto.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
El sistema de firmas sigue funcionando a la perfeccion y puede detectar malware empaquetado por crypters generericos, es decir, esas porquerias en vb6 que regalan en cualquier foro.
Como funciona si el codigo fue totalmente empaquetado?
Veamos primero como funciona un crypter generico de esos que hacen en vb6:
Crean un proceso legitimo suspendido y cambian la imagen de ese proceso por la imagen del archivo que fue "encriptado" y luego ejecutan el proceso.
Esto funcionaba a la perfeccion el año 2008, lo que pasa es que ahora, cualquier antivirus mas o menos bueno hookea las APIs WriteProcessMemory en ring0 y por mas bajo nivel que se llame a esta api en ring3, el antivirus va a obtener el codigo completo del ejecutable "encriptado" y lo analiza como si nunca ubiera sido empaquetado. Otro metodo es el analisis de la memoria buscando modulos, entonces lo que fue empaquetado se encuentra facilmente en memoria.
Cualquier antivirus decente puede hacer esto.

Ajam, por eso justamente esta publicación. 

Hola

Wo, hace mucho no escribo algo para un foro, pero bueno, acá vamos.....

Dentro de las ramas de seguridad informatica en las que estoy, el analisis de malware es como mi hobbie, en realidad, mi hobbie es bypassear antivirus xD no porque use malware, no estoy a favor del uso de los mismos, pero me divierte hacer una especie de "reversing" a las soluciones antimalware y lograr evadir sus protecciones. Así lo he logrado con diferentes malware, payloads de metasploit, etc.

Respecto a esto quiero compartirles algunas cosas que son parte de mis investigaciones, el motivo esta vez es que veo mucha gente que postea crypters que los programa o modifica, arduo trabajo que recuerdo haber hecho en mis inicios xD, pero hoy en día hay cosas que cambiaron y debemos saber....

Antes los antivirus contaban con una sola proteccion, basada en firmas, conocida como reactiva. Que en muy resumidas cuentas (ya que no tengo ganas de escribir tanta teoria): una muestra de cada malware llega a los laboratorios de los antivirus, los analistas buscan una pequeña parte de ese malware que sea sencible dentro de su codigo, es decir, que si se llegara a modificar el malware deje de funcionar (al menos deberia ser asi aunque a veces no pasa :p) y entonces marcan esa parte como firma para ese malware. A partir de ahí, cuando la base de datos de firmas de los usuarios se actualiza, el AV comienza a detectar ese codigo malicioso.

Entonces, existen numerosos métodos para acorralar esa firma, modificarla, evitar que el .exe se rompa, etc etc. Uno de los métodos mas sencillos de todos (si no es el mas sencillo xD) es cifrar el malware utilizando un crypter. ¿Que pasa cuando se cifra? todo el código cambia incluyendo la firma, entonces el antivirus deja de detectar ese malware.

Estas técnicas siguen funcionando para evadir la proteccion reactiva, ya que la misma no cambió su funcionamiento, peeero, las compañías de AV no son TAN estúpidas xD por lo tanto implementaron otra protección para complementar a la reactiva, que se llama: Proactiva.

Esta "nueva" protección hace que indetectar un malware ya no sea tan facil como simplemente utilizar un crypter fud. ¿Porqué? veamos cómo funciona...

Se basa en heuristica, tiene algoritmos heuristicos que son en resumidas cuentas aquellos comportamientos que convierten a un ejecutable en potencial sospechoso de malware. Así es, la proactiva no tiene firmas, sino que analiza el comportamiento del .exe.

Existen tres tipos de heuristicas: genérica, pasiva y activa. La primera busca similitudes entre un malware que ya ha pasado por el laboratorio de la compañía y el ejecutable a analizar, si hay demasiadas coincidencias saltará el alerta. La pasiva explora el código del .exe tratando de determinar que acciones realizará y con ello darse cuenta si se trata de un malware o no. La activa, es el sandbox, una caja de arena que viene a ser un entorno virtualizado donde se ejecuta el malware y el AV puede realmente saber todo lo que el mismo va a hacer.

Obviamente esa última heuristica es la mas difícil de evadir, y la tienen implementada todos los AV mas populares.

Entonces, a lo que vamos con todo esto, es que hoy en día por mas que cifremos un malware y logremos evadir la proteccion reactiva, el mismo ejecutará igualmente las acciones tipicas de un malware y será detectado por la segunda protección del AV: la proactiva.

Para respaldar un poco tanta teoría, me arme un mini laboratorio y utilize el último crypter fud posteado en el foro.

En el mismo post podemos ver el resultado del scan online y efectivamente es un crypter que evade la reactiva de los antivirus. Los escaners online muestran el resultado de la protección reactiva y es lógico que sea así ya que para mostrar el resultado de la proteccion en tiempo real se deberia contar con una maquina para cada AV con todas sus funciones activas y ejecutar ahi mismo el malware, pero eso no pasa xD.

Bien, en mi lab instale AVG Free con la configuracion por default (que cualquier usuario dejaría xD) donde vemos activa la protección en tiempo real (proactiva). Aquí dejo una captura:



Tome mi carpeta de malware  y cree servers funcionales con la configuracion MINIMA (para reducir comportamientos sospechosos) utilizando los siguientes troyanos: DarkComet, SpyNet 2.6 y uno mas que no me acuerdo xDD

Por supuesto el server asi nomas es archi mega ultra detectado hasta por aquellos AVs que no los conoce ni DIOS. Pero bueno, lo fuddie con el crypter y le hice un escaneo manual al .exe que es el mismo que hacen los AV onlines, el resultado fue este:



pero, al ejecutar el malware con el antivirus instalado y con sus funcionalidades a pleno, el resultado cambia:



Con otro troyano:



y bueno finalmente no se logro infectar con ninguno de los troyanos. Resultado esperado, al menos para mi, esto lo he probado junto a otros analistas hace como 2 años, solo que recien ahora me digne a escribir algo al respecto ya que no veo alguien que lo haya hecho, y de paso hice unos labs mas actuales.

¿Que podemos concluir? Al menos a mi me gustaría concluir que hay que innovar en nuevos códigos, en nuevas técnicas de evasión teniendo en cuenta como funciona esta nueva protección. Los crypter es algo que se utiliza hace mucho y los AV ya los tienen muy cocinados, de hecho, el que el exe este todo cifrado hace que el AV ya lo mire con sospechas 

Me gustaría que compartan su opinión sobre esto, si creen que me equivoco diganme en qué y porqué. Compartan su pelea contra la proactiva, sus técnicas yo tengo las mías, que de momento me las guardo para un futuro post.

Un abrazo
Turka

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Gracias,ahora lo miraré,la cosa es que según tengo entendido en redes privadas no puedes controlar otros sistemas que no estén en tu misma red wifi

ajam pero trata de hacerlo andar primero en tu red para descartar problemas Despues ya seria hacer lo mismo pero cambiando por tu ip publica o no-ip.

si malno recuerdo si generas el APK desde el codigo fuente te olvidas del build (que evita la compilacion). Ya te pase el cliente por MP, lo unico que tienes que hacer es descargarte el soruce que publique en comentarios anteriores y compilas modificando la IP, (ayudate de los videos ahi se muestra bien) y listo.

Sino, prueba el build solo tambien deberia funcionar mas facil, evitandote la compilacion. Prueba poniendo uan ip privada de tu red, una que empieze con 192.168.X.X, lo revisas con el comando ipconfig en tu pc, en la terminal de windows.

saludos

Hola Kramer,

Mira yo no use el AndroidRAT binder/build, pero lo conozco y se que ya no funciona bien la inyeccion de un APK en otro. Pero aun asi, en ese mismo programita tienes donde dice Build solo, y puedes poner tu ip publica o una privada de tu misma red y ya te genera el APK, es la forma facil. Sino, te bajas el source que publique yo, editar y pones ahi tu ip y lo compilas y ahi tienes el APK "malicioso".

De todas maneras tienen sus vueltas los rats para androids, si no puedes esperate a que me haga un tiempo y escribo un tutorial para este y dendroid.

Saludos

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hola,he intentado descargar dicho androrat,de varios sitios ya,pero me saltan los antivirus siempre,alguna forma de hacerlo sin que mi pc lo vea como una amenaza?

El cliente te detecta el antivirus? desactivale la proteccion en tiempo real.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hola, buenas tardes!
Y en el caso del propietario del smartphone, que opciones tiene para detectarlo tiene ?

Al final y al cabo es como una App con derechos a eso, no?

(Casi cualquier app hoy en día te pide accesos a cualquier cosa)

Saludos y no seáis tan malditos jijij!

En particular ESTE troyano para android ya es bloqueado por todos los AV que hay para android y por el propio instalador de APK. Pero hay otros que no lo son aún, como DenDroid. o el APK de meterpreter. En cuanto a los permisos, si, todos piden los permisos necesarios para acceder a todo lo que necesitan. Igualmente e ironicamente, piden menos permisos que las APK antivirus.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Alguien me explica lo de: Metodos de pago y que luego sea gratis?

jaja tal cual, igual hay aun mas cosas cuestionables de este worm. A no ser que sea muy viejo y recien ahora se publicó, algo en VB6 ya no es indetectable..... y a mayoria de las funciones que pone son detectadas por la HEUR de los AV. Por eso quiero suponer que es viejo.

De nada por el TIP

Excelente paper 

Saludos
Turka

Muy bueno!

Un comando que a mi me sirve y es rápido a la hora de detectar que archivo exe esta haciendo una conexión afuera es netstat con el parametro -b (que indica el nombre del exe, de modo que lo puedas rastrear rapido) y no es necesario usar programas.

netstat -b



Saludos!

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Pones filtros demasiado sencillos, bypassea este que acabo de improvisar a ver si puedes:

$extension = end(explode(".", $nombre));
$extensiones = array("jpg", "png", "gif", "jpeg", "bmp");
if(in_array($extension, $extensiones)){
$nombrefinal = $id.".".$extension;  //$id es un numero aleatorio.
//se sube el archivo
} else {
echo "No se puede subir un archivo que no tenga extensión jpg, png, gif, jpeg, o bmp";
}

Buenas! me ha tocado bypassear un filtro como el que pones, donde se revisa la ultima extension con la funcion end().
La forma de bypassear depende un factor mas esta vez.

Lo primero que tenes que hacer es inyectar dentro de una imagen real imagen.jpg un pequeño script PHP como <?php system($_GET['cmd'] ?> inyectas ese pequeño codigo en cualquier parte de la imagen asegurandote de no romperla, es algo simple pero delicado.

Despues de esto subes la imagen inyectada mediante el upload y aqui viene el segundo factor que es que para poder ejecutar comandos en el servidor mediante el script que inyectamos en la imagen es necesario que la web sea vulnerable a LFI y se pueda hacer una inclusion local de archivos. Las funciones require() e include() interpretan todo como PHP por tanto si a un LFI le pasamos de parametro la imagen inyectada, se ejecutara correctamente el PHP de la misma.

Ejemplo: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Con &cmd= terminas logrando ejecutar comandos en el servidor por ende apoderarte del mismo.

Saludos
Turka.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Muy bueno! Reportaste para el bug bounty??

jaja hielasangre es como drupy, esta en todos lados xD

Saludos!
ex bandida

Posta que es cierto, me agregaron a la conver XD

jaja

Hola!

Perdon por revivir un post viejo, pero esta bueno el RAT para pruebas de concepto.
Dejo otra fuente para descargarlo porque la que puso antrax da muchos errores al compilar

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Si alguien quiere el cliente compilado me lo puede pedir por MP.

Saludos
Turka

Buen tuto friend

Es un ataque que se puede llegar a dar, pero es muy ruidoso, no pasa desapercibido para nada.

Es decir, en un XSS normal podemos insertar un iframe o hacer una petición desde un tag de imagen, que haga pasar desapercibido el ataque. En este caso se hace un ruido extremo al envíar todas las inyecciones, por lo que el adminitrador será conciente que sufrió un ataque y tomará los recaudos, es la única contra que tiene.

Saludos!.

Kali, la continuación de Backtrack. Trabajé con esa distro y es muy buena, recomendable.

jaja gracias

buf, cierro el tema para evitar seguir una discucion.

jajaja nadie va a matarte ni tampoco te van a destruir tu computadora por acceder. todos los que dicen eso flashean colores. se creyeron alta pelicula de los que entran y salen diciendo que es un horror y que intentaron violarlos no sé o.O

Usas tor, normal.. tmb tienes que cuidarte de descargar cosas en la red normal asi que no veo tanto problema por ese lado.

Es como dijo Psymera... en fin.. no hay muchas cosas utiles relacionadas a este ambito, dsp no sé es cuestion de saber buscar tmb sino solo vas a ver porno, porno infantil y todo eso.

saludos!

Bueeno ya paso el 2012 XD si se desata una tercer guerra mundial con las armas nucleares de ahora no quedan ni las cucarachas..