comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Anti-Anti Virtuales by fudmario

  • 6 Respuestas
  • 3056 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado fudmario

  • *
  • Cramel
  • *
  • Mensajes: 192
  • Actividad:
    0%
  • Reputación 11
    • Ver Perfil
    • fudmario - GitHub
  • Skype: fudmario
« en: Abril 14, 2014, 08:50:19 am »
Anti-Anti Virtuales by fudmario

Uno de los problemas que existen al momento de Realizar Análisis de Malware, es cuando nos encontramos con diversas técnicas que utilizadas para evitar ser analizados, entre ellas:


  • Verificar si estan cargadas ciertas DLLs (Ej: SandBoxie => SbieDll.dll).
  • Verificar la Existencia de algunos ficheros(Ej: Driver-VirtualBox => VBoxMouse.sys).
  • Verificar si algunos procesos estan en ejecución(Ej: VBoxService.exe, VMWareUser.exe, Wireshark.exe, etc.).
  • Verificar el identificador del Disco Principal.
  • Deteccion de Breakpoints, Presencia de Anti-Debuggers, etc...


En SI, un sin fin de formas que utilizan los malware's para evitar ser analizados.

En esta primera parte vamos a ver como modificar nuestro entorno Virtual, esto para eludir la técnicas que generalmente tienen ciertos Malware's para evitar ser ejecutados en entornos Controlados(suena repetitivo xD).

Vamos a modificar nuestra Maquina Virtual de "Virtual Box", al igual que se puede dejar indectectables los Malware's, tambien volveremos indetectable a nuestra Maquina Virtual por así decirlo.

Comencemos:

Parte 1:
En esta parte renombraremos ficheros, valores en registro, teniendo en cuenta que cada modificación debe realizarse verificando que no dañe nuestra VM.

Técnica #1 "VirtualBox Shared Folders Minirdr NP"

Comprueba si esta cargada esta DLL: "VBoxMRXNP.dll"

Lo que haremos será renombrarla: añadirle un caracter al el nombre o randomizar el nombre, creo que si randomizamos será muy dificil que sea detectado.
A por ello:

Cambiaremos el nombre del Fichero:

Código: You are not allowed to view links. Register or Login
'Ruta del Fichero:
%WinDir%\system32\VBoxMRXNP.dll
'Por:
%WinDir%\system32\POIUYT.dll 'Randomizar el Nombre del Fichero.

Y tambien lo modificaremos desde el Editor de Registro para que no cause ningun error.

Código: You are not allowed to view links. Register or Login
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VBoxSF\NetworkProvider






Técnica #2 "VBoxMouse.sys"

De la misma forma anteriormente mostrada, renombraremos el nombre del fichero.

Código: You are not allowed to view links. Register or Login
%WinDir%\system32\drivers\VBoxMouse.sys

%WinDir%\system32\drivers\FLGKHJ.sys

desde el Editor de Registro, tambien modificaremos, en las siguientes rutas:

Código: You are not allowed to view links. Register or Login
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VBoxMouse

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\VBoxMouse
En ImagePath, cambiaremos:

Código: You are not allowed to view links. Register or Login
System32\DRIVERS\VBoxMouse.sy
por:
System32\DRIVERS\FLGKHJ.sys





Técnica #3 "vboxservice.exe"

Más de lo mismo a renombrarlo.

Código: You are not allowed to view links. Register or Login
%WinDir%\system32\vboxservice.exe
por

%WinDir%\system32\RNDSRVC.exe

Y modificarlo tambien en el Editor de Registro.
Código: You are not allowed to view links. Register or Login
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VBoxService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\VBoxService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VBoxService

Vamos a modificar en ImagePath por el nuevo nombre del Fichero.






Técnica #4 "VirtualBox Guest Additions"

Cambiaremos el Nombre de la siguente Clave:

Código: You are not allowed to view links. Register or Login
HKEY_LOCAL_MACHINE\SOFTWARE\Oracle\VirtualBox Guest Additions

HKEY_LOCAL_MACHINE\SOFTWARE\Oracle\RANDOMGUESTADDITIONS_fudmario





Parte 2:
Esta parte es similar al anterior hasta cierto punto, en la anterior parte modificamos por así decirlo permanentemente, pero en esta parte no se puede  ya que al reiniciar se restablecerá las modificaciones realizadas ya que si no se podria dañar nuestra VM.


Técnica #5 "HARDDISK"
Modificaremos en el Editor de Registro:
Código: You are not allowed to view links. Register or Login
HKEY_LOCAL_MACHINE\HARDWARE\DEVICEMAP\Scsi\Scsi Port 0\Scsi Bus 0\Target Id 0\Logical Unit Id 0
en Identifier:
VBOX HARDDISK
por Cualquiera otra cosa.



Técnica #6  , Técnica #7   "SystemBiosVersion" | "VideoBiosVersion"


Código: You are not allowed to view links. Register or Login
HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System
Modificaremos en informacion de Valor, de SystemBiosVersion y VideoBiosVersion por cualquier cosa.


Técnica #8 "Verificando el Tamaño del Disco"
 En ocaciones tambien puede pasar que el Malware  Revise si el tamaño de disco es menor a un valor dado, que generalmente son  20GB, 30GB ó 50GB esta técnica no se usa generalmente, pero hay les dejo el dato para que le puedan agregar en Expansion Dinamica a el Disco un Tamaño mayor a eso.
 


Test1:

ANTES:



AHORA:




Test2:




Hasta el momento solo se me ocurren esas, si alguien conoce otras técnica, comenten en el post para seguir añadiendo. Esto tambien Aplica a VMWare, Qemu, pero prefiero a VBOX ya que es gratuito.


Autor: fudmario

"Si deciden llevar esto a otros lados, se pide respetar la fuente y el autor de la Misma"
« Última modificación: Diciembre 08, 2014, 03:14:06 pm por Expermicid »


Desconectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5331
  • Actividad:
    58.33%
  • Reputación 30
  • ANTRAX
    • Ver Perfil
    • Underc0de
    • Email
  • Skype: underc0de.org
  • Twitter: @Underc0de
« Respuesta #1 en: Abril 14, 2014, 08:58:55 am »
Muy bueno bro!
podrias acomodar un poco el post para que se vea mejor?

Saludos!
ANTRAX


Desconectado fudmario

  • *
  • Cramel
  • *
  • Mensajes: 192
  • Actividad:
    0%
  • Reputación 11
    • Ver Perfil
    • fudmario - GitHub
  • Skype: fudmario
« Respuesta #2 en: Abril 14, 2014, 09:02:41 am »
Listo, pensaba que no se podia modificar no vi la Opcion de "Modifcar" al inicio del post.

Saluds.


Desconectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5331
  • Actividad:
    58.33%
  • Reputación 30
  • ANTRAX
    • Ver Perfil
    • Underc0de
    • Email
  • Skype: underc0de.org
  • Twitter: @Underc0de
« Respuesta #3 en: Abril 14, 2014, 09:10:06 am »
Tremendo aporte fudmario!!
Muchas gracias por arreglar el post, acá si tenemos la opcion de modificar mensaje.

Este post merece chincheta!


Desconectado Kodeinfect

  • *
  • Underc0der
  • Mensajes: 325
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Kodeinfect's Blog
« Respuesta #4 en: Abril 14, 2014, 10:16:07 am »
Excelente este aporte Fudmario ;)
Saludos!

Desconectado Snifer

  • *
  • Underc0der
  • Mensajes: 1439
  • Actividad:
    0%
  • Reputación 1
  • Snifer@L4b's
    • Ver Perfil
    • Snifer@L4bs
  • Twitter: sniferl4bs
« Respuesta #5 en: Abril 17, 2014, 10:01:18 am »
Excelente el aporte!.

PD: Antrax desbloquee el post y elimine los comentarios respectivos que siga el hilo ;).

Regards,
Snifer
You are not allowed to view links. Register or Login


Llaman traidor a la persona que evito que caiga el foro, gente bruta!



Desconectado elshotta

  • *
  • Underc0der
  • Mensajes: 87
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #6 en: Mayo 29, 2015, 09:16:19 pm »
wow no habia visto este tutorial tuyo fud
muy bueno voy a aplicarlo tambien a mi virtual
saludos xd

 

¿Te gustó el post? COMPARTILO!



Android: Análisis de Malware | by fudmario

Iniciado por fudmario

Respuestas: 2
Vistas: 2097
Último mensaje Agosto 14, 2014, 12:00:41 am
por fudmario
Downloader, ¿Qué es?, ¿Cómo Crearlo? by fudmario

Iniciado por fudmario

Respuestas: 11
Vistas: 4737
Último mensaje Febrero 13, 2018, 05:53:42 pm
por angrymasther
Ransomware: Análisis de Malware by fudmario

Iniciado por fudmario

Respuestas: 1
Vistas: 2168
Último mensaje Junio 29, 2014, 08:39:24 pm
por blackdrake
The Hunting-by fudmario

Iniciado por fudmario

Respuestas: 2
Vistas: 2598
Último mensaje Febrero 04, 2014, 11:02:29 am
por ANTRAX