Mostrar librerias cargadas en programa

Iniciado por Vaagish, 24 Abril 2014, 02:35 AM

0 Miembros y 3 Visitantes están viendo este tema.

Vaagish

CitarSi, eso esta mas enfocado para las shellcode´s, ya que asi se "juega" mas con otros opcodes y no salta a la vista tan rapido, de poder puedes usar hasta la FPU.

Pero simplemente comente, porque no tiene ningun sentido hacer todo lo que te indique antes, es hasta estupido, sin ofender.

Un saludo.

P.D: Segun estoy viendo, estas enserio con el malware.

No hay ofensa ninguna,, tranqui.. lo que estoy intentando hacer es detectar si el programa esta en la sandbox,, y que AV lo esta analizando.. hay otras formas si, pero por ahora son solo pruebas,, y de paso practico un poco ASM  ;)

Con respecto al malware,, si, casi todo lo que hago esta orientado a eso.. aunque después no lo use para nada.. es la guerra constante que tengo con los AV jeje
Tengo la ilusion de algun dia hacer un malware que se destaque..  :-X

Saludosss!!

x64core

Cita de: Vaagish en 24 Abril 2014, 19:35 PM
No hay ofensa ninguna,, tranqui.. lo que estoy intentando hacer es detectar si el programa esta en la sandbox,, y que AV lo esta analizando.. hay otras formas si, pero por ahora son solo pruebas,, y de paso practico un poco ASM  ;)

Con respecto al malware,, si, casi todo lo que hago esta orientado a eso.. aunque después no lo use para nada.. es la guerra constante que tengo con los AV jeje
Tengo la ilusion de algun dia hacer un malware que se destaque..  :-X

Saludosss!!
Tendras que depurar el nucleo del Antivirus que por lo general en un driver para kernel.
Los Antivirus no funcionan de igual manera como Sandboxie por ejemplo, que simplemente se puede detectar si se esta dentro de la
'sandbox'  con la detección de un posible modulo cargado. En los Antivirus que implementan una sandbox o más bien una VM el código
es emulado y si llegasen a cargan algún modulo dentro de el espacio de memoria del proceso este no seria visible en la lista ya que seria
sólo cargado en la emulación, nota la diferencia entre los modulos que se podrian cargan en la emulacion y otros posibles modulos para
otros propositos, se tendria que depurar como dije. Otros simplemente emulan el código y el entorno emulado es bien limitado y son bien
faciles de saltarse.

En Kaspersky se implementa una VM y emula el código dentro antes de ejecutarlo en el verdadero entorno, esta en klif.sys. Claro que
esta tecnologia se sus ventajas y desventajas.

Vaagish

CitarEn los Antivirus que implementan una sandbox o más bien una VM el código
es emulado y si llegasen a cargan algún modulo dentro de el espacio de memoria del proceso este no seria visible en la lista ya que seria
sólo cargado en la emulación

Pero que sea cargado solo en la emulación dice bastante! Dice todo lo que necesito saber para ser mas exacto,, si ese modulo esta cargado,, esta en sandbox y cierro la app.. no?
De echo, noto la carga de un modulo cuando lo emula el sandbox, tendría que estar seguro para confirmar que sea por el sandbox, no he tenido tiempo aun.. pero si llega a ser eso pongo el modulo..

CitarTendras que depurar el nucleo del Antivirus que por lo general en un driver para kernel.

No lo dudo.. técnicas avanzadas requieren métodos complejos  :D, tendría que aprender a usar windbg..

CitarOtros simplemente emulan el código y el entorno emulado es bien limitado y son bien
faciles de saltarse.

De saltarse en que sentido? Creo que hay una discusión importante por ahi en el foro sobre "saltarse" el sandbox,, creo que hasta donde se puede llegar es, detectar el sandbox y cerrarse.. o hay algo que me estoy perdiendo?

Saludos!!

x64core

Cita de: Vaagish en 24 Abril 2014, 20:39 PM
Pero que sea cargado solo en la emulación dice bastante! Dice todo lo que necesito saber para ser mas exacto,, si ese modulo esta cargado,, esta en sandbox y cierro la app.. no?
Correcto.

Cita de: Vaagish en 24 Abril 2014, 20:39 PM
De saltarse en que sentido? Creo que hay una discusión importante por ahi en el foro sobre "saltarse" el sandbox,, creo que hasta donde se puede llegar es, detectar el sandbox y cerrarse.. o hay algo que me estoy perdiendo?

Saludos!!
Cuando me refiero a saltarse la emulación es evitar que se continue analizando el código en busca de malware y me refiero
a 'saltarse' porque algunos antivirus simplemente tiene un emulador de código como su super protección.
Qué discusión?

Vaagish


x64core

Cita de: Vaagish en 24 Abril 2014, 21:23 PM
Acá mira.. se armo un relajo bárbaro haha

Saludos!

Voto por Buster_BSA el es un usuario con un gran conocimiento conocido en varios foros también.
Pero sí, es posible 'salirse' de la sandbox si se encuentra una vulnerabilidad.

Vaagish

CitarVoto por Buster_BSA el es un usuario con un gran conocimiento conocido en varios foros también.
Pero sí, es posible 'salirse' de la sandbox si se encuentra una vulnerabilidad.

Jajaja si,, no hay un punto definitivo.. yo también creo que se podría encontrar un bug,, pero hay que romperse el c.. raneo, y encontrarlo.. uff.. se podría aprovechar muy bien..  :silbar:

Karcrack

#17
@Vaagish: Mira este código para detectar los sandbox maluchos que inyectan DLL: (FASM)
Código (asm) [Seleccionar]
include 'win32ax.inc'

; MACROS

macro hash name,[string]{
  local ..hash, ..len, ..chr
  virtual at 0
     db string
     ..len  = $
     ..hash = 0
     repeat ..len
        load ..chr byte from % - 1
        ..hash = ..hash + ..chr
        ..hash = ..hash xor (((..chr shl 7) and $FFFFFFFF) or (..chr shr (25)))
     end repeat
  end virtual
  name#.h = ..hash
}
struc dw [arr]{
  common
     . dw arr
     .c = ($ - .) / 2
}

; GLOBAL

hash sandboxie, 'sbiedll.dll'
hash avast32,   'snxhk.dll'
hash avast64,   'snxhk64.dll'
hash comodo32,  'guard32.dll'
hash comodo64,  'guard64.dll'

; CODE

blacklist_loaded:
  call push_hashArr
  hashArr dw sandboxie.h, avast32.h, avast64.h, comodo32.h, comodo64.h

push_hashArr:
  push $30
  pop  esi
  lods dword[fs:esi]
  mov  edx, [eax+$0C]
  mov  edx, [edx+$1C]
  xor  eax, eax
nm:xor  ebx, ebx
  mov  esi, dword[edx+$20]
  test esi, esi
  mov  edx, [edx]
jz     en
re:lodsw
  test eax, eax
jz     fn
  or   eax, 0x20
  add  ebx, eax
  rol  eax, 7
  xor  ebx, eax
jmp    re
fn:push hashArr.c
  pop  ecx
  mov  esi, [esp]
nx:lodsw
  cmp  eax, ebx
loopne nx
jecxz  nm
en:mov  eax, ecx
  pop  edi
  ret

main:
  call blacklist_loaded
.end main

(POST ORIGINAL)
Un poco caótico, lo hice en el metro de camino a casa :laugh: Si necesitas algún comentario dímelo :)


@x64Core: Yo voto por mí ;D ¿No has visto los últimos enlaces del tema? El último argumento de Buster_BSA es que si existiesen vulnerabilidades de ese tipo valdrían millones; las hay. Y seguro que con suficientes contactos podrías encontrar un 0day por ahí que te permitiese elevación de privilegios local en la máquina invitado en VirtualBox y Windows XP :silbar:


@cpu2: Si lo hacía con lodsd doy por hecho que es para ahorra unos cuantos bytes...

Vaagish

Me había matado escribiendo para que se cerrara la session..  >:(

Citar@Vaagish: Mira este código para detectar los sandbox maluchos que inyectan DLL: (FASM)

Excelente! Eso es lo que quiero implementar,, lo voy a intentar en masm, que es en el que yo aprendo,, así practico ;)

CitarUn poco caótico, lo hice en el metro de camino a casa :laugh: Si necesitas algún comentario dímelo :)

La idea la capto, el codigo no tanto, porque hay cosas de fasm que me marean, pero lo voy a intentar, si preciso algo puntual te aviso ;)

Citar
Código (asm) [Seleccionar]
hash sandboxie, 'sbiedll.dll'
hash avast32,   'snxhk.dll'
hash avast64,   'snxhk64.dll'
hash comodo32,  'guard32.dll'
hash comodo64,  'guard64.dll'

Estas lineas me van a facilitar bastante jeje, me imagino que dio trabajo pasar por todos los av para saber cuales módulos carga cada uno.. Lo flojo de este metodo es que el dia de mañana podrian cambiar los nombres de las dll's, o dejar de inyectarlas.. que de echo:

Para que cargaran esas dll's? Si el proceso ya se encuentra en un lugar controlado..




CitarYo voto por mí ;D ¿No has visto los últimos enlaces del tema? El último argumento de Buster_BSA es que si existiesen vulnerabilidades de ese tipo valdrían millones; las hay. Y seguro que con suficientes contactos podrías encontrar un 0day por ahí que te permitiese elevación de privilegios local en la máquina invitado en VirtualBox y Windows XP :silbar:

Si hay millones en juego, mejor hacemos un grupo de investigación??? jeje

Karcrack

Cita de: Vaagish en 25 Abril 2014, 00:02 AM
Si hay millones en juego, mejor hacemos un grupo de investigación??? jeje
Realmente no valen millones :P. Buster_BSA se inventó la cifra :xD

Cita de: Vaagish en 25 Abril 2014, 00:02 AM
La idea la capto, el codigo no tanto, porque hay cosas de fasm que me marean, pero lo voy a intentar, si preciso algo puntual te aviso ;)
Hay mucho macro para generar constantes en tiempo de ensamblado. Si lo ensamblas verás que no hay cadenas de texto. Se generan los hashes y luego se comparan de la lista de librerías cargadas.

Cita de: Vaagish en 25 Abril 2014, 00:02 AM
Para que cargaran esas dll's? Si el proceso ya se encuentra en un lugar controlado..
Cuanto menos tiempo de kernel gaste el antivirus más fluido irá el sistema. Se intentan delegar las tareas menos cruciales a usermode por cuestiones de optimización. También un crasheo de la DLL (p.e intencionado para saltarse la protección :silbar:) estaría localizado en el proceso y no reventaría todo el motor del antivirus o el SO.

Cita de: Vaagish en 25 Abril 2014, 00:02 AM
Estas lineas me van a facilitar bastante jeje, me imagino que dio trabajo pasar por todos los av para saber cuales módulos carga cada uno.. Lo flojo de este metodo es que el dia de mañana podrian cambiar los nombres de las dll's, o dejar de inyectarlas..
Si quisieses hacer una detección genérica entrarían en juego muchos otros factores. Hay diferentes técnicas para detectar entornos virtualizados sin tener que hacer blacklisting. Por ejemplo utilizar instrucciones/llamadas que sepas que no siguen la ruta habitual y hacer comparaciones de tiempo. (Artículo al respecto)

Saludos!