Hola

Wo, hace mucho no escribo algo para un foro, pero bueno, acá vamos.....

Dentro de las ramas de seguridad informatica en las que estoy, el analisis de malware es como mi hobbie, en realidad, mi hobbie es bypassear antivirus xD no porque use malware, no estoy a favor del uso de los mismos, pero me divierte hacer una especie de "reversing" a las soluciones antimalware y lograr evadir sus protecciones. Así lo he logrado con diferentes malware, payloads de metasploit, etc.

Respecto a esto quiero compartirles algunas cosas que son parte de mis investigaciones, el motivo esta vez es que veo mucha gente que postea crypters que los programa o modifica, arduo trabajo que recuerdo haber hecho en mis inicios xD, pero hoy en día hay cosas que cambiaron y debemos saber....

Antes los antivirus contaban con una sola proteccion, basada en firmas, conocida como reactiva. Que en muy resumidas cuentas (ya que no tengo ganas de escribir tanta teoria): una muestra de cada malware llega a los laboratorios de los antivirus, los analistas buscan una pequeña parte de ese malware que sea sencible dentro de su codigo, es decir, que si se llegara a modificar el malware deje de funcionar (al menos deberia ser asi aunque a veces no pasa :p) y entonces marcan esa parte como firma para ese malware. A partir de ahí, cuando la base de datos de firmas de los usuarios se actualiza, el AV comienza a detectar ese codigo malicioso.

Entonces, existen numerosos métodos para acorralar esa firma, modificarla, evitar que el .exe se rompa, etc etc. Uno de los métodos mas sencillos de todos (si no es el mas sencillo xD) es cifrar el malware utilizando un crypter. ¿Que pasa cuando se cifra? todo el código cambia incluyendo la firma, entonces el antivirus deja de detectar ese malware.

Estas técnicas siguen funcionando para evadir la proteccion reactiva, ya que la misma no cambió su funcionamiento, peeero, las compañías de AV no son TAN estúpidas xD por lo tanto implementaron otra protección para complementar a la reactiva, que se llama: Proactiva.

Esta "nueva" protección hace que indetectar un malware ya no sea tan facil como simplemente utilizar un crypter fud. ¿Porqué? veamos cómo funciona...

Se basa en heuristica, tiene algoritmos heuristicos que son en resumidas cuentas aquellos comportamientos que convierten a un ejecutable en potencial sospechoso de malware. Así es, la proactiva no tiene firmas, sino que analiza el comportamiento del .exe.

Existen tres tipos de heuristicas: genérica, pasiva y activa. La primera busca similitudes entre un malware que ya ha pasado por el laboratorio de la compañía y el ejecutable a analizar, si hay demasiadas coincidencias saltará el alerta. La pasiva explora el código del .exe tratando de determinar que acciones realizará y con ello darse cuenta si se trata de un malware o no. La activa, es el sandbox, una caja de arena que viene a ser un entorno virtualizado donde se ejecuta el malware y el AV puede realmente saber todo lo que el mismo va a hacer.

Obviamente esa última heuristica es la mas difícil de evadir, y la tienen implementada todos los AV mas populares.

Entonces, a lo que vamos con todo esto, es que hoy en día por mas que cifremos un malware y logremos evadir la proteccion reactiva, el mismo ejecutará igualmente las acciones tipicas de un malware y será detectado por la segunda protección del AV: la proactiva.

Para respaldar un poco tanta teoría, me arme un mini laboratorio y utilize el último crypter fud posteado en el foro.

En el mismo post podemos ver el resultado del scan online y efectivamente es un crypter que evade la reactiva de los antivirus. Los escaners online muestran el resultado de la protección reactiva y es lógico que sea así ya que para mostrar el resultado de la proteccion en tiempo real se deberia contar con una maquina para cada AV con todas sus funciones activas y ejecutar ahi mismo el malware, pero eso no pasa xD.

Bien, en mi lab instale AVG Free con la configuracion por default (que cualquier usuario dejaría xD) donde vemos activa la protección en tiempo real (proactiva). Aquí dejo una captura:



Tome mi carpeta de malware  y cree servers funcionales con la configuracion MINIMA (para reducir comportamientos sospechosos) utilizando los siguientes troyanos: DarkComet, SpyNet 2.6 y uno mas que no me acuerdo xDD

Por supuesto el server asi nomas es archi mega ultra detectado hasta por aquellos AVs que no los conoce ni DIOS. Pero bueno, lo fuddie con el crypter y le hice un escaneo manual al .exe que es el mismo que hacen los AV onlines, el resultado fue este:



pero, al ejecutar el malware con el antivirus instalado y con sus funcionalidades a pleno, el resultado cambia:



Con otro troyano:



y bueno finalmente no se logro infectar con ninguno de los troyanos. Resultado esperado, al menos para mi, esto lo he probado junto a otros analistas hace como 2 años, solo que recien ahora me digne a escribir algo al respecto ya que no veo alguien que lo haya hecho, y de paso hice unos labs mas actuales.

¿Que podemos concluir? Al menos a mi me gustaría concluir que hay que innovar en nuevos códigos, en nuevas técnicas de evasión teniendo en cuenta como funciona esta nueva protección. Los crypter es algo que se utiliza hace mucho y los AV ya los tienen muy cocinados, de hecho, el que el exe este todo cifrado hace que el AV ya lo mire con sospechas 

Me gustaría que compartan su opinión sobre esto, si creen que me equivoco diganme en qué y porqué. Compartan su pelea contra la proactiva, sus técnicas yo tengo las mías, que de momento me las guardo para un futuro post.

Un abrazo
Turka

Hola amigos

Para conocer un poco mas nuestras preferencias en cuanto a este ambito en general, abro el presente thread donde se pueden expandir todo lo que quieran contando su historia en este mundo ejemplo de lo que se puede contar:

• Como empesaste en este mundo
• Que nicks/apodos usaste hasta llegar al actual
• Hace cuanto tiempo iniciaste en esto, a que edad fue
• Que ramas de la seguridad investigaste y cuales te gustaron mas
• Sobre que rama decidiste especializarte (de ser el caso)
• Estas estudiando alguna carrera relacionada y/o trabajas de esto?
• En que lenguajes de programacion codeas y en cual te consideras mejor?
• Cuales fueron tus mayores logros en este mundo
• Quienes son tus amigos en la red? (puedes tirar algun apodo )
• Todo lo demas que quieras decir, que este realacionado al thread

Bueno comienzo yo (dudo que alguien lo lea) jaja ....

Desde que tengo uso de razon fui muy curiosa, miraba a mi papá trabajando en la PC y veia los programas que usaba, me llamaba mucho la atencion queria saber como estaban hechos y cada vez que saltaba la alerta del antivirus miraba detenidamente que era eso que ocurria....recuerdo que necesite programar una pagina web a mis 12 años para algo que queria mi mamá asi fue que me introduci autodidacticamente en la programacion web y llegue a armarme toda una pagina web completa con el notepad en html y css a esa edad xD costo un poquito pero pude y quedo linda . Ahi fue, a esa misma edad (12 años) que empece a investigar sobre "el hacking" obvio que pase por todas las webs lammers de la red pero algo iba entendiendo hasta que llegue a No tienes permitido ver los links. Registrarse o Entrar a mi cuenta! mi primer amigo de la red fue HypnoSs en ese entonces admin de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta lamentablemente se lo trago la tierra xD despues vino ANTRAX, Polifemo y otros mas Y con ellos crecí cada uno ayudandome por su parte, leyendo, investigando, practicando  
Empece con malwares como la mayoria, programando y modeandolos, saltando antivirus y si creo haber llegado a ser una modder bastante buena claro, antes era mas facil xD mi primer nick fue V4NDID4 pero resulto bastante polemico por unos cuantos asuntos asi que me lo cambie a otro tiempo despues xD
Me fui haciendo mas amigos, Xianuro por ejemplo entre otros cuantos mas xD y me fui para la rama de seguridad web y me esplashe un poco mas en todo lo que envuelve la seguridad en general, los procolos, y mucho mas mientras me perfeccionaba en programacion asi pasaron los años hasta que hoy en dia tengo mis 18

ACTUALMENTE...tengo 18 años como dije, no estudio una carrera ya que no me gusta ir a la universidad soy bien autodidacta lo que si estoy por certificarme internacionalmente en algunas tecnologias. Todavia no me especialize en ninguna rama estoy tratando de adquirir el mayor conocimiento posible sobre todo lo referente a seguridad informatica que me encanta logros en cuanto a esto tuve muchisimos, como escribir un libro, encontrar bugs importantes en la mayoria de las webs mas conocidas como facebook, google y demas. Ser STAFF de Backtrack, trabajar en un instituto como profesora de cursos de hacking y muchos logros mas
Como programadora, bueno, programo en toda la plataforma web (DBs,PHP,HTML5,CSS3,AJAX,JS,etc) luego C/C++, VB6, No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, Python, Perl y algunos mas, en cada uno he desarrollado grandes cosas y eso esta bueno
Tengo que decir que tengo muchisimos amigos que me los gane en todo este tiempo, no puedo nombrar a todos porque de verdad son muchos uso el nick de Turka ahora porque bueeno mis antesesores son provenientes de aquellos lugares, mi anterior nick es x7uk el cual lo sigo usando en algunos foros porque tengo privilegios XD cuestion que me canse que me traten de hombre siendo que no lo soy y por eso empece como Turka ahora

Si me quieren contactar les voy a hablar con toda la buena onda porque soy asi de naturaleza XD mi msn es: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y el skype: turka.xd

Un saludo! abraso para los que leyeron todo cuenten lo suyo - Turka

Hola compañeros del foro

Estaba leyendo esta tarde un documento de ESET  mas que nada sobre la heuristica de los antivirus. Es del 2010 pero esta bastante buena la informacion que contiene y me gustaria dejarles el link para que le den un vistazo si asi lo desean 


Link: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un saludo! Su amiga Turka!

Hola!! Bueno quiero compartiles mi ultimo soft y mas preciado jaja debido a lo que me costo programarlo (? 

Bien por un lado tenemos el microcontrolador PIC18F. Para esta primera prueba le programe que me envie solo 3 bytes y se detenga. En el primer byte me envia el numero 150, en el segundo 160 y en el tercero 170.  En hexadecimal los 3 bytes se verian asi: 96 A0 AA.

Por el otro lado tenemos mi software en C++ que se pondra a escuchar en el COM que le especifiquemos el cual deberia estar abierto. Aqui una captura:



Le especificamos el COM y le damos "start" en ese momento el programa mostrara en el textbox de abajo lo que reciba.
Debajo tenemos la posibilidad de enviarle nosotros datos al PIC lo cual tambien funciona correctamente

Todo el source completo se los dejare adjunto a este post, solo necesitaran el Qt y abrir el No tienes permitido ver los links. Registrarse o Entrar a mi cuenta para cargarlo completo

OK una vez compilado, abrimos en el COM7 (o el que ustedes tengan) y el resultado es este:



Perfecto!  Nos muestra en pantalla lo que envia el microcontrolador que como dije son 3 bytes con los numeros 150, 160 y 170 respectivamente Si sabemos ASM o C para programar microcontroladores podemos ir enviando diferentes cosas y adaptando el source de mi programa que por cierto esta comentado y es dentro de todo simple. La funcion que se encarga de mostrar los datos es "timer_Tick" dentro del mainwindows.cpp.

Si quieren hacer modificacones y no les sale comenten aqui y los ayudare a lograrlo


Descarga: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Funciona tambien con un adaptador serie2usb.

Saludos! Su amiga Turka

Hola!! Bueno como primer post en el foro queria escribir un poco sobre el Framework Qt para C++.

Cuando empece a programar en C++ me atraia mucho la idea de desarrollar aplicaciones de escritorio con la potencia que brinda este lenguaje y con una bonita interfaz grafica. Ahi el problema... tutoriales, manuales hay muchisimos pero siempre es lo mismo: lo que programes lo ves en una consola negra, y la realidad es que es mucho mas lindo ver una UI (User Interface) que siempre la misma ventanita ¿o no?.
Asi que empece a investigar sobre IDEs, APIs y demas para poder desarrollar la interfaz grafica de mi aplicacion lo mas facil posible y sin que se altere demasiado la programacion en C++.
Como muchos empece con Visual Studio (VC++) es muy facil crear la UI pero el codigo es otro, es decir, se altera demasiado el C++ y eso no me gustaba para nada, complicaba mucho las cosas, muchos errores asi que no y no se los recomiendo. Segui buscando y probando diferentes cosas durante meses, WINAPI (por ejemplo). Hasta que por fin encontre algo como lo que queria: Framework QT (¿sono muy a propaganda? XD).



Sitio web oficial: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En resumen Qt permite desarrollar aplicaciones de escritorio con C++ nativo (osea sin modificarlo, a diferencia de VC++) y lo mas bonito es que las UI son muy personalisables! Cada componente asi sea un boton un textbox, etc cuenta con un codigo similar al CSS donde podes editarlo como mas te guste! quizas cuesta adaptarse si venis de usar otro Framework pero la verdad que para mi, valio la pena hacer el cambio!.

Actualmente estoy desarrollando un soft para una empresa, que aunque no tiene nada que ver con este ambito me gustaria que lo vieran ya que exploté bastante las capacidades que ofrece Qt para la interfaz grafica:



En primera plana mi programa y de fondo el Qt.

Bueno eso es una pequeña demostracion pero hay mas para explotar sobre este interesante framework. Mi soft esta programado en C++ tal como es, no he tenido problemas de tener que cambiar el codigo a algo diferente para que compile ni nada por el estilo. De verdad si estas interesado en aprender a desarrollar aplicaciones de escritorio con C++ te animo a que pruebes Qt! Cuantos mas seamos los que lo usamos mas facil se resolveran las dudas o problemas que surjan al utilizarlo.

Cualquier otra aportacion es bienvenida! proximamente subire sources y tutoriales para orientarlos mas si recien inician en esto!.

Un saludo! - Turka.

Hola a todos!!

Hace tanto no piso un foro XD antes estaba siempre con otro nick que no dire jaja pero era costumbre verme escribiendo en SMFs   Hoy tratare de volver y aportar lo mejor de mi para ustedes sea ayudandolos o con algo nuevo!

Mi nick es "Turka" por herencia no por otra cosa XD  yy.. seguramente a mi viejo amigo ANTRAX le gustara verme x aca no? un saludooo! C

Cualquier cosa me dejan un imboxx por aca