(https://reversecodes.files.wordpress.com/2016/06/maxresdefault.jpg?w=1462)
Buenas underc0deanos
En esta entrada mostrare como es posible explotar la característica de windows god mode y aprovecharla para la creación y ocultación de malware con un simple código de cuatro lineas.
Explicación oficial de microsoft sobre esta característica de windows (https://support.microsoft.com/es-es/kb/979240 (https://support.microsoft.com/es-es/kb/979240)).
El código a continuación mostrado es un simple script en autoit que automatiza este proceso
Local $directorio = "C:\Users\usuario\AppData\Roaming\godmode.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}"
Local $godmode = "C:\Users\usuario\AppData\Roaming\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}"
DirCreate ($directorio)
Dirmove ($directorio , $godmode , 1)*Nota: En caso de desconocer el nombre de usuario se puede usar @Username
Pero como puede esto ser aprovechado por un desarrollador de malware?
Seguro que hay muchas formas de aprovechar esta característica, a mi de entrada se me ocurren dos:
La primera consistiría en crear una entrada en el registro para iniciar nuestra aplicación en el arranque, copiando previamente el binario a esa localizacion.
La segunda y poniendo un ejemplo practico podría ser aprovecharnos de esta característica con un keylogger, almacenando los logs en esa localización, de este modo se podrían almacenar tranquilamente en texto plano sin riesgo de ser descubiertos.
Un saludo