¿Todavía un motor metamorfico en malware tiene sentido hoy?

Iniciado por harry_the_blogger, 1 Octubre 2014, 01:32 AM

0 Miembros y 2 Visitantes están viendo este tema.

harry_the_blogger

Hola, estoy desarrollando un desensamblador, para luego integrarle un algoritmo que haga instrucciones equivalentes (motor metamorfico). ¿Será que aún tiene sentido usarlo en estos días, o estaré perdiendo el tiempo?

Estoy desarrollando un malware (solo por diversion. XD). Y no sé si estoy siguiendo los lineamientos correctos al tratar de protegerlo con medidas anti-patrones (para que no sean capaces de conseguir n sucesion de bytes en todos los archivos infectados, algo como 'INFECTED', no debería existir).

Por favor, ayudenme. Denme al menos una respuesta. Gracias por su ayuda.
Vista mi blog es enriquemesa.blogspot.com

Vaagish

No puede ser una perdida de tiempo ya que estas programando "por diversión", tampoco se pierde el tiempo si estas aprendiendo..

Ahora.. a lo que vamos.. no creo que sea perdida de tiempo, si esta bien echo es una técnica vigente, ya sabemos que el escaneo mas común y simple es el de firmas..  :rolleyes:

Saludos!

harry_the_blogger

Cita de: Vaagish en  1 Octubre 2014, 03:01 AM
No puede ser una perdida de tiempo ya que estas programando "por diversión", tampoco se pierde el tiempo si estas aprendiendo..

Ahora.. a lo que vamos.. no creo que sea perdida de tiempo, si esta bien echo es una técnica vigente, ya sabemos que el escaneo mas común y simple es el de firmas..  :rolleyes:

Saludos!

Muchas gracias por tu respuesta, Vaagish

Bueno, sé que al estar haciendolo por diversión no estoy realmente perdiendo el tiempo, pero si me dices que puedo aprender algo útil de allí seguiré con mi diversión. XD.

Ah, ¿¿entonces si uso un motor metamorfico bien diseñado en mi malware seré capaz de evitar la deteccion por firmas???. ¿¿Será que me puedes dar algunas instrucciones que sean reemplazables por otras???. Porque un motor metamorfico en primera instancia es algo que reemplaza codigo por otro equivalente, o no??

He estado investigando, y según veo un mov se puede reemplazar por un push/pop. ¿Será que conoces algunas otras instrucciones y sus equivalentes?

Gracias por tu ayuda.
Vista mi blog es enriquemesa.blogspot.com

Vaagish

Mmmm... la solucion esta en el cifrado, y usar diferentes claves en cada copia generada del malware.. Ahora estoy del cel y cuesta un poco extender el comentario.. pero creo que te haces una idea.. desde la pc pongo mas mañana..

Saludos!!

Shout

Cita de: Vaagish en  1 Octubre 2014, 05:52 AM
Mmmm... la solucion esta en el cifrado, y usar diferentes claves en cada copia generada del malware.. Ahora estoy del cel y cuesta un poco extender el comentario.. pero creo que te haces una idea.. desde la pc pongo mas mañana..

Saludos!!
Claro, pero aún necesitarías que el código que descifra el malware sea metamórfico.
I'll bring you death and pestilence, I'll bring you down on my own

Vaagish

Re:
#5
Ups.. es que por ahi me parecio leer polimorfico,, ya dejo el cel y voy a la pc..

Bueno, espero sirva el comentario (al menos de base para que otros expliquen mejor)

Podrías usar el polimorfismo para cifrar gran parte del programa, así nos quedaría solo mutar la rutina cifradora (como decía @Shout)

Creo que una forma sencilla para empezar seria usar basura aleatoria, (opcodes falsos) en diferentes partes del código, otra opción "simple" es usar jmps aleatorios también, claro que estos deben estar bien controlados (no sea cosa que el programa no retorne a donde debe)

Sobre reemplazar las instrucciones por otras.. esa es la que veo mas complicada, claro que hay diferentes formas de lograr lo mismo, pero igualmente son limitadas esas opciones (aunque combinando todas hay mas rango de mutaciones)

Bueno, en mi opinión.. yo empezaria por la basura y los jmps o calls (ahi tenes una mutacion  :xD)

Suerte! Saludos!

harry_the_blogger

Gracias a todos por sus respuestas. He estado pensando en crear un motor que haga mutar las instrucciones, pero evitando cifrarlas (para que el antivirus no detecte algun loop extraño ni detecte actividad anormal, porque un codigo que cambia es algo anormal). Pero si implementaré una rutina que cifre/decifre la parte de datos. Estoy trabajando primero en el desensamblador, para luego añadirle el motor metamorfico.

Sé que esto pueda parecer fuera del tema, pero ¿Es posible hacer un virus que tenga su parte de datos y de codigo separadas? Es decir como un programa normal. Para evitar que el antivirus me detecte cambios en la sección de codigo (que no debería ser writable).

Ah, una cosa más: ¿Por qué cuando un busca por internet, hay muy poca informacion respecto a como implementar un motor metamorfico? Mucho del codigo que estoy haciendo lo he hecho de la nada, y otras partes me he basado en codigo que no es precisamente virico. No entiendo por que la informacion sobre los virus (metodos actuales) no se consigue en internet. Solo he encontrado virus de broma (como formatea de unidad de disco haciendo click en este bat...) o cosas por el estilo. Aunque en VXheaven hay algunos virus buenos, parecieran muchos estar desfasados con el tiempo actual.

Pareciera como si uno tuviera que armar en puzzle tomando piezas de varios programas para finalmente conseguir algo decente que se pueda llamar 'malware'.

Ay, disculpen, una pregunta más: ¿No saben en donde puedo conseguir buena documentacion sobre un motor metamorfico? Si es posible, por favor actualizada.

Bueno, gracias a todos por su colaboracion. Y disculpen por hacerlos leer tanto. XD

Vista mi blog es enriquemesa.blogspot.com

Vaagish

CitarAunque en VXheaven hay algunos virus buenos, parecieran muchos estar desfasados con el tiempo actual.

Sip.. la gran mayoría de los codes son viejos..

Yo creo que han de ser un poco celosos con su código los programadores de virus, la verdad ni idea donde se puede encontrar eso.. yo busque hace un tiempo también y no encontré nada.. ojala alguien nos aclare eso

Saludos!

Shout

Lo que pasa es que si el código se publica, los desarrolladores de antivirus lo podrán agregar a su lista de detección. Pasa lo mismo con los juegos y los anticheats, o encuentras la manera de hacerlo sin que te pillen por tu cuenta, o estás perdido ;)
I'll bring you death and pestilence, I'll bring you down on my own

harry_the_blogger

Tienes razón Shout. Pero al menos debería existir algo introductorio para quienes se inician en el mundo del malware. Bueno, gracias por tu respuesta.

Vista mi blog es enriquemesa.blogspot.com