[Taller] Así funcionan los crypters: cifrando malware a mano

froylan · 3 Diciembre 2009, 03:00 AM

Cita de: nxs en 17 Agosto 2009, 20:01 PM
Estupendo aporte, espero impaciente tu 2ª parte. Entonces con con un simple xor y un rc4 aplicado a toda la sección y cifrando todos los strings de la IAT se quedaria totalmente FUD el server?

YST · 3 Diciembre 2009, 03:04 AM

Cita de: froylan en 3 Diciembre 2009, 03:00 AM
Cita de: nxs en 17 Agosto 2009, 20:01 PM
Estupendo aporte, espero impaciente tu 2ª parte. Entonces con con un simple xor y un rc4 aplicado a toda la sección y cifrando todos los strings de la IAT se quedaria totalmente FUD el server?

Veo dificil cifrar las strings del IAT

[Zero] · 3 Diciembre 2009, 15:15 PM

Se puede cifrar la IAT añadiendo un poco de código, o incluso moverla de sitio

. Además, en ese ejecutable en concreto, la "sección de datos" está pegada a la IAT, por eso no quise cifrar nada ahí, pero aún no cifrando la IAT y sí el resto de la sección de datos se irían la mayoría de las firmas

.

Karcrack · 3 Diciembre 2009, 15:23 PM

Cita de: Hacker_Zero en 3 Diciembre 2009, 15:15 PM
Se puede cifrar la IAT añadiendo un poco de código, o incluso moverla de sitio . Además, en ese ejecutable en concreto, la "sección de datos" está pegada a la IAT, por eso no quise cifrar nada ahí, pero aún no cifrando la IAT y sí el resto de la sección de datos se irían la mayoría de las firmas .

Añadiendo un TLS Callback puedes cifrar TODO el ejecutable (Excepto la cabecera PE

) sin preocuparte de nada, ni cambio de EP ni leches

El problema estaria en los ejecutables de Delphi... que tendrias que cambiar mas cosas

[Zero] · 3 Diciembre 2009, 15:32 PM

Aún no hice funcionar nada con el TLS

. En navidades tendré más tiempo y veré si puedo hacer algo, mientras tanto si alguien tiene curiosidad y lo quiere intentar:

Código [Seleccionar]

http://isc.sans.org/diary.html?storyid=6655
http://www.cyberarmy.net/library/article/1653

[PUBLI]El Virus Metamorph inserta automaticamente TLS Callback's[/PUBLI]

Saludos

YST · 4 Diciembre 2009, 04:21 AM

Cita de: Hacker_Zero en 3 Diciembre 2009, 15:15 PM
Se puede cifrar la IAT añadiendo un poco de código, o incluso moverla de sitio . Además, en ese ejecutable en concreto, la "sección de datos" está pegada a la IAT, por eso no quise cifrar nada ahí, pero aún no cifrando la IAT y sí el resto de la sección de datos se irían la mayoría de las firmas .

El IAT ? y donde te metes el loader de windows ?

Karcrack · 4 Diciembre 2009, 14:38 PM

Cita de: YST en 4 Diciembre 2009, 04:21 AM
El IAT ? y donde te metes el loader de windows ?

Usando un TLS callback no hay problema

Se carga antes que el Loader de W$

[Zero] · 4 Diciembre 2009, 15:06 PM

Cita de: YST en 4 Diciembre 2009, 04:21 AM
Cita de: Hacker_Zero en 3 Diciembre 2009, 15:15 PM
Se puede cifrar la IAT añadiendo un poco de código, o incluso moverla de sitio . Además, en ese ejecutable en concreto, la "sección de datos" está pegada a la IAT, por eso no quise cifrar nada ahí, pero aún no cifrando la IAT y sí el resto de la sección de datos se irían la mayoría de las firmas .
El IAT ? y donde te metes el loader de windows ?

Puedes hacer un Loader en ASM que cargue la IAT como lo hace el de windows, en ASM son un puñado de bytes. Para que veas un ejemplo el packer armadillo creo que hacía algo parecido para dificultar que se debugee

.

Saludos

YST · 4 Diciembre 2009, 21:05 PM

Noe eh leido sobre TLS ( voy a leer ) pero tienen razón si se le quita la propiedad de que la sección donde esta el IAT sea la sección del IAT pues se puede cifrar luego descifrar y luego cargar todo como aparece en el tuto de Hacker_0 mas abajo el de relocation table

YST · 22 Diciembre 2009, 23:01 PM

Leí un poco de TLS y te equivocaste karcrack

El import se carga antes del tls