Mostrar librerias cargadas en programa

[Vaagish]

Si, eso esta mas enfocado para las shellcode´s, ya que asi se "juega" mas con otros opcodes y no salta a la vista tan rapido, de poder puedes usar hasta la FPU.

Pero simplemente comente, porque no tiene ningun sentido hacer todo lo que te indique antes, es hasta estupido, sin ofender.

Un saludo.

P.D: Segun estoy viendo, estas enserio con el malware.

No hay ofensa ninguna,, tranqui.. lo que estoy intentando hacer es detectar si el programa esta en la sandbox,, y que AV lo esta analizando.. hay otras formas si, pero por ahora son solo pruebas,, y de paso practico un poco ASM 

Con respecto al malware,, si, casi todo lo que hago esta orientado a eso.. aunque después no lo use para nada.. es la guerra constante que tengo con los AV jeje
Tengo la ilusion de algun dia hacer un malware que se destaque.. 

Saludosss!!

[x64core]

No hay ofensa ninguna,, tranqui.. lo que estoy intentando hacer es detectar si el programa esta en la sandbox,, y que AV lo esta analizando.. hay otras formas si, pero por ahora son solo pruebas,, y de paso practico un poco ASM 

Con respecto al malware,, si, casi todo lo que hago esta orientado a eso.. aunque después no lo use para nada.. es la guerra constante que tengo con los AV jeje
Tengo la ilusion de algun dia hacer un malware que se destaque.. 

Saludosss!!

Tendras que depurar el nucleo del Antivirus que por lo general en un driver para kernel.
Los Antivirus no funcionan de igual manera como Sandboxie por ejemplo, que simplemente se puede detectar si se esta dentro de la
'sandbox'  con la detección de un posible modulo cargado. En los Antivirus que implementan una sandbox o más bien una VM el código
es emulado y si llegasen a cargan algún modulo dentro de el espacio de memoria del proceso este no seria visible en la lista ya que seria
sólo cargado en la emulación, nota la diferencia entre los modulos que se podrian cargan en la emulacion y otros posibles modulos para
otros propositos, se tendria que depurar como dije. Otros simplemente emulan el código y el entorno emulado es bien limitado y son bien
faciles de saltarse.

En Kaspersky se implementa una VM y emula el código dentro antes de ejecutarlo en el verdadero entorno, esta en klif.sys. Claro que
esta tecnologia se sus ventajas y desventajas.

[Vaagish]

En los Antivirus que implementan una sandbox o más bien una VM el código
es emulado y si llegasen a cargan algún modulo dentro de el espacio de memoria del proceso este no seria visible en la lista ya que seria
sólo cargado en la emulación

Pero que sea cargado solo en la emulación dice bastante! Dice todo lo que necesito saber para ser mas exacto,, si ese modulo esta cargado,, esta en sandbox y cierro la app.. no?
De echo, noto la carga de un modulo cuando lo emula el sandbox, tendría que estar seguro para confirmar que sea por el sandbox, no he tenido tiempo aun.. pero si llega a ser eso pongo el modulo..

Tendras que depurar el nucleo del Antivirus que por lo general en un driver para kernel.

No lo dudo.. técnicas avanzadas requieren métodos complejos  , tendría que aprender a usar windbg..

Otros simplemente emulan el código y el entorno emulado es bien limitado y son bien
faciles de saltarse.

De saltarse en que sentido? Creo que hay una discusión importante por ahi en el foro sobre "saltarse" el sandbox,, creo que hasta donde se puede llegar es, detectar el sandbox y cerrarse.. o hay algo que me estoy perdiendo?

Saludos!!

[x64core]

Pero que sea cargado solo en la emulación dice bastante! Dice todo lo que necesito saber para ser mas exacto,, si ese modulo esta cargado,, esta en sandbox y cierro la app.. no?

Correcto.

De saltarse en que sentido? Creo que hay una discusión importante por ahi en el foro sobre "saltarse" el sandbox,, creo que hasta donde se puede llegar es, detectar el sandbox y cerrarse.. o hay algo que me estoy perdiendo?

Saludos!!

Cuando me refiero a saltarse la emulación es evitar que se continue analizando el código en busca de malware y me refiero
a 'saltarse' porque algunos antivirus simplemente tiene un emulador de código como su super protección.
Qué discusión?

[Vaagish]

Qué discusión?

Acá mira.. se armo un relajo bárbaro haha

http://foro.elhacker.net/buscador2-t378027.0.html;msg1807944#msg1807944

Saludos!

[x64core]

Acá mira.. se armo un relajo bárbaro haha

Saludos!

Voto por Buster_BSA el es un usuario con un gran conocimiento conocido en varios foros también.
Pero sí, es posible 'salirse' de la sandbox si se encuentra una vulnerabilidad.

[Vaagish]

Voto por Buster_BSA el es un usuario con un gran conocimiento conocido en varios foros también.
Pero sí, es posible 'salirse' de la sandbox si se encuentra una vulnerabilidad.

Jajaja si,, no hay un punto definitivo.. yo también creo que se podría encontrar un bug,, pero hay que romperse el c.. raneo, y encontrarlo.. uff.. se podría aprovechar muy bien.. 

[Karcrack]

@Vaagish: Mira este código para detectar los sandbox maluchos que inyectan DLL: (FASM)

Código (asm) [Seleccionar] Expandir

include 'win32ax.inc'

; MACROS

macro hash name,[string]{
  local ..hash, ..len, ..chr
  virtual at 0
     db string
     ..len  = $
     ..hash = 0
     repeat ..len
        load ..chr byte from % - 1
        ..hash = ..hash + ..chr
        ..hash = ..hash xor (((..chr shl 7) and $FFFFFFFF) or (..chr shr (25)))
     end repeat
  end virtual
  name#.h = ..hash
}
struc dw [arr]{
  common
     . dw arr
     .c = ($ - .) / 2
}

; GLOBAL

hash sandboxie, 'sbiedll.dll'
hash avast32,   'snxhk.dll'
hash avast64,   'snxhk64.dll'
hash comodo32,  'guard32.dll'
hash comodo64,  'guard64.dll'

; CODE

blacklist_loaded:
  call push_hashArr
  hashArr dw sandboxie.h, avast32.h, avast64.h, comodo32.h, comodo64.h

push_hashArr:
  push $30
  pop  esi
  lods dword[fs:esi]
  mov  edx, [eax+$0C]
  mov  edx, [edx+$1C]
  xor  eax, eax
nm:xor  ebx, ebx
  mov  esi, dword[edx+$20]
  test esi, esi
  mov  edx, [edx]
jz     en
re:lodsw
  test eax, eax
jz     fn
  or   eax, 0x20
  add  ebx, eax
  rol  eax, 7
  xor  ebx, eax
jmp    re
fn:push hashArr.c
  pop  ecx
  mov  esi, [esp]
nx:lodsw
  cmp  eax, ebx
loopne nx
jecxz  nm
en:mov  eax, ecx
  pop  edi
  ret

main:
  call blacklist_loaded
.end main
(POST ORIGINAL)
Un poco caótico, lo hice en el metro de camino a casa Si necesitas algún comentario dímelo

@x64Core: Yo voto por mí ¿No has visto los últimos enlaces del tema? El último argumento de Buster_BSA es que si existiesen vulnerabilidades de ese tipo valdrían millones; las hay. Y seguro que con suficientes contactos podrías encontrar un 0day por ahí que te permitiese elevación de privilegios local en la máquina invitado en VirtualBox y Windows XP

@cpu2: Si lo hacía con lodsd doy por hecho que es para ahorra unos cuantos bytes...

[Vaagish]

Me había matado escribiendo para que se cerrara la session.. 

@Vaagish: Mira este código para detectar los sandbox maluchos que inyectan DLL: (FASM)

Excelente! Eso es lo que quiero implementar,, lo voy a intentar en masm, que es en el que yo aprendo,, así practico

Un poco caótico, lo hice en el metro de camino a casa Si necesitas algún comentario dímelo

La idea la capto, el codigo no tanto, porque hay cosas de fasm que me marean, pero lo voy a intentar, si preciso algo puntual te aviso

Código (asm) [Seleccionar] Expandir

hash sandboxie, 'sbiedll.dll'
hash avast32,   'snxhk.dll'
hash avast64,   'snxhk64.dll'
hash comodo32,  'guard32.dll'
hash comodo64,  'guard64.dll'

Estas lineas me van a facilitar bastante jeje, me imagino que dio trabajo pasar por todos los av para saber cuales módulos carga cada uno.. Lo flojo de este metodo es que el dia de mañana podrian cambiar los nombres de las dll's, o dejar de inyectarlas.. que de echo:

Para que cargaran esas dll's? Si el proceso ya se encuentra en un lugar controlado..

Yo voto por mí ¿No has visto los últimos enlaces del tema? El último argumento de Buster_BSA es que si existiesen vulnerabilidades de ese tipo valdrían millones; las hay. Y seguro que con suficientes contactos podrías encontrar un 0day por ahí que te permitiese elevación de privilegios local en la máquina invitado en VirtualBox y Windows XP

Si hay millones en juego, mejor hacemos un grupo de investigación??? jeje

[Karcrack]

Si hay millones en juego, mejor hacemos un grupo de investigación??? jeje

Realmente no valen millones . Buster_BSA se inventó la cifra

La idea la capto, el codigo no tanto, porque hay cosas de fasm que me marean, pero lo voy a intentar, si preciso algo puntual te aviso

Hay mucho macro para generar constantes en tiempo de ensamblado. Si lo ensamblas verás que no hay cadenas de texto. Se generan los hashes y luego se comparan de la lista de librerías cargadas.

Para que cargaran esas dll's? Si el proceso ya se encuentra en un lugar controlado..

Cuanto menos tiempo de kernel gaste el antivirus más fluido irá el sistema. Se intentan delegar las tareas menos cruciales a usermode por cuestiones de optimización. También un crasheo de la DLL (p.e intencionado para saltarse la protección ) estaría localizado en el proceso y no reventaría todo el motor del antivirus o el SO.

Estas lineas me van a facilitar bastante jeje, me imagino que dio trabajo pasar por todos los av para saber cuales módulos carga cada uno.. Lo flojo de este metodo es que el dia de mañana podrian cambiar los nombres de las dll's, o dejar de inyectarlas..

Si quisieses hacer una detección genérica entrarían en juego muchos otros factores. Hay diferentes técnicas para detectar entornos virtualizados sin tener que hacer blacklisting. Por ejemplo utilizar instrucciones/llamadas que sepas que no siguen la ruta habitual y hacer comparaciones de tiempo. (Artículo al respecto)

Saludos!