[Taller] Así funcionan los crypters: cifrando malware a mano

Iniciado por [Zero], 30 Julio 2009, 19:42 PM

0 Miembros y 5 Visitantes están viendo este tema.

froylan

Cita de: nxs en 17 Agosto 2009, 20:01 PM
Estupendo aporte, espero impaciente tu 2ª parte. Entonces con con un simple xor y un rc4 aplicado a toda la sección y cifrando todos los strings de la IAT se quedaria totalmente FUD el server?

YST

Cita de: froylan en  3 Diciembre 2009, 03:00 AM
Cita de: nxs en 17 Agosto 2009, 20:01 PM
Estupendo aporte, espero impaciente tu 2ª parte. Entonces con con un simple xor y un rc4 aplicado a toda la sección y cifrando todos los strings de la IAT se quedaria totalmente FUD el server?

Veo dificil cifrar las strings del IAT :xD


Yo le enseñe a Kayser a usar objetos en ASM

[Zero]

Se puede cifrar la IAT añadiendo un poco de código, o incluso moverla de sitio  ;). Además, en ese ejecutable en concreto, la "sección de datos" está pegada a la IAT, por eso no quise cifrar nada ahí, pero aún no cifrando la IAT y sí el resto de la sección de datos se irían la mayoría de las firmas  :P.

"El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche

Karcrack

Cita de: Hacker_Zero en  3 Diciembre 2009, 15:15 PM
Se puede cifrar la IAT añadiendo un poco de código, o incluso moverla de sitio  ;). Además, en ese ejecutable en concreto, la "sección de datos" está pegada a la IAT, por eso no quise cifrar nada ahí, pero aún no cifrando la IAT y sí el resto de la sección de datos se irían la mayoría de las firmas  :P.
Añadiendo un TLS Callback puedes cifrar TODO el ejecutable (Excepto la cabecera PE :¬¬) sin preocuparte de nada, ni cambio de EP ni leches :xD

El problema estaria en los ejecutables de Delphi... que tendrias que cambiar mas cosas :P

[Zero]

Aún no hice funcionar nada con el TLS  :-X. En navidades tendré más tiempo y veré si  puedo hacer algo, mientras tanto si alguien tiene curiosidad y lo quiere intentar:

http://isc.sans.org/diary.html?storyid=6655
http://www.cyberarmy.net/library/article/1653


[PUBLI]El Virus Metamorph inserta automaticamente TLS Callback's[/PUBLI]

Saludos

"El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche

YST

Cita de: Hacker_Zero en  3 Diciembre 2009, 15:15 PM
Se puede cifrar la IAT añadiendo un poco de código, o incluso moverla de sitio  ;). Además, en ese ejecutable en concreto, la "sección de datos" está pegada a la IAT, por eso no quise cifrar nada ahí, pero aún no cifrando la IAT y sí el resto de la sección de datos se irían la mayoría de las firmas  :P.
El IAT ? y donde te metes el loader de windows ? :xD


Yo le enseñe a Kayser a usar objetos en ASM

Karcrack

Cita de: YST en  4 Diciembre 2009, 04:21 AM
El IAT ? y donde te metes el loader de windows ? :xD
Usando un TLS callback no hay problema :P Se carga antes que el Loader de W$ ;-)

[Zero]

Cita de: YST en  4 Diciembre 2009, 04:21 AM
Cita de: Hacker_Zero en  3 Diciembre 2009, 15:15 PM
Se puede cifrar la IAT añadiendo un poco de código, o incluso moverla de sitio  ;). Además, en ese ejecutable en concreto, la "sección de datos" está pegada a la IAT, por eso no quise cifrar nada ahí, pero aún no cifrando la IAT y sí el resto de la sección de datos se irían la mayoría de las firmas  :P.
El IAT ? y donde te metes el loader de windows ? :xD
Puedes hacer un Loader en ASM que cargue la IAT como lo hace el de windows, en ASM son un puñado de bytes. Para que veas un ejemplo el packer armadillo creo que hacía algo parecido para dificultar que se debugee :P.

Saludos

"El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche

YST

Noe eh leido sobre TLS ( voy a leer ) pero tienen razón si se le quita la propiedad de que la sección donde esta el IAT sea la sección del IAT pues se puede cifrar luego descifrar y luego cargar todo como aparece en el tuto de Hacker_0 mas abajo el de relocation table


Yo le enseñe a Kayser a usar objetos en ASM

YST

Leí un poco de TLS y te equivocaste karcrack :¬¬ El import se carga antes del tls ;)


Yo le enseñe a Kayser a usar objetos en ASM