Mensajes

Hola Und3r! Es una nueva versión de mi herramienta, he incorporado cosas como el análisis de la firma Rich de Microsoft como un usuario de este mismo foro me comentó anteriormente. Espero que les guste esta nueva actualización, ya que he incorporado bastantes cambios, los dejo a continuación:
 

• Arreglado un bug al mostrar versiones antiguas de UPX.
   
• Arreglado un bug que afectaba a la detección de algunos Entry Points.
   
• Agregada la palabra EOF, en la descripción de las detecciones Dropper.
   
• Aumentada la efectividad de la rutina de detección Shikata Ga Nai.
   
• Eliminados los ejecutables extraidos con asteriscos (*).
   
• Revisión de la integridad del formato PE.
   
• Revisión de la integridad de la firma Rich de Microsot.
   
• Revisión de la integridad del CheckSum.
   
• Agregado el campo TimeDateStamp y la fecha de compilación.
   
• Detección de migraciones del Entry Point a otras zonas de código ejecutable.
   
• Incorporado un visor de iconos.
   
• Agregada rutina de detección para aplicaciones en Visual Basic 5/6 con códigos inusuales tras su Entry Point.
   
• Ampliada la detección de Packers.
   
• Agregada rutina de detección de ejecutables incompletos (truncados).
   
• Agregada la creación de un archivo de registro "Add4n4lMenu.reg", para incluir los análisis de forma rápida al desplegable de explorer.
   
• Agregada la extracción de librerías.
   
• Agregada la detección de parámetros para el ejecutable 4n4lDetector.exe
            -> 4n4lDetector.exe Path\App.exe -GUI
            -> 4n4lDetector.exe Path\App.exe -TXT
            -> 4n4lDetector.exe Path\App.exe -GREMOVE (Borrado del binario tras su análisis)
  
  Se aceptan ideas nuevas 

Se trata de una herramienta destinada a realizar un análisis rápido sobre binarios PE en busca de código malicioso, principalmente de forma estática, aunque también trabaja con ejecución de muestras y sobre sus "Memory Dumps", aunque ésto último de forma opcional, para evitar comprometer la máquina utilizada en el análisis en el caso que no se desee poner en riesgo.

Detecta modificaciones en binarios mediante técnicas a bajo nivel de evasión antivirus, en busca de códigos y estructuras inusuales por parte de un compilador. Además, cuenta con la extracción y el análisis de las cadenas que el binario pueda contener. La siguiente imagen muestra de forma resumida la información que la herramienta comprueba antes de mostrar el resultado:



Más imágenes:









Descarga:
http://www.enelpc.com/p/4n4ldetector.html

Normalmente se tratan de binarios de ejemplo.

[Método RIT]

Quería dejar una pequeña lista que recolectase los métodos genéricos de evasión de firmas antivirus, los cuales he estado escribiendo hasta la fecha. Me gustaría seguir aumentando esta lista, con lo que seguiré actualizando este post con los escritos que vaya realizando en mi blog.

Si tienen ideas para nuevas metodologías con el fin de lograr la evasión de motores antivirus, hablen conmigo y trataré de probarlas y redactarlas. Un saludo y muchas gracias amigos

Método RIT
Con este método de evasión antivirus aprenderás a cómo realizar migraciones de funciones a otros huecos en ensamblador.
http://goo.gl/CDgIYI

Método DAFE
Este método de evasión antivirus consiste en llevar a cabo la copia de las librerías del sistema operativo, para modificar el nombre real de las mismas por otro nombre para que el malware se comunique con ellas.
http://goo.gl/d3ogMh

Método DAFE-GUI
Esta se trata de dos herramientas desarrolladas por Osnaraus y Metal_Kingdom, encargadas de llevar a cabo el método DAFE de manera automatizada.
http://goo.gl/G6yTnb

Método Papelera
Un método muy utilizado por el malware USB, en el cual se explica como una simple carpeta es capaz de adoptar la apariencia de una papelera de reciclaje del sistema.
http://goo.gl/36u1XI

Método Mmove
El siguiente método explica cómo realizar migraciones de los nombres de las librerías y APIs que contiene la Import Table, a otros huecos dentro de un ejecutable.
http://goo.gl/cQ7OMs

Cifrar malware a mano
Este método te enseñará a insertar una rutina de cifrado para modificar el aspecto de las secciones ejecutables de un binario. Puede ser utilizado de forma sencilla con los métodos XOR y ROR/ROL, o de forma más compleja como se explica en el blog.
http://goo.gl/GMfw9o

Evasión de motores heurísticos
En la siguiente entrada se muestra un método muy similar al método RIT, pero enfocado a la migración de funciones de una API o APIs completas.
http://goo.gl/B1NVYV

Mover el Entry Point
El siguiente POST explica como realizar debidamente una migración del punto de entrada de un ejecutable.
http://goo.gl/7ktXd9

Evasión de firmas condicionales
La siguiente entrada explica de forma detallada, cómo los antivirus utilizan ciertas formas genéricas para detectar familias de malware. Estas firmas exigen un número de condiciones para dar por válida la detección de un binario, con lo que modificando su lógica será posible realizar la evasión.
http://goo.gl/V7er6G

Evasión de antivirus desde código fuente
La siguiente entrada muestra la creación de un Crypter en Visual Basic 6, utilizando una de las shellcodes más conocidas como RunPE y teniendo en cuenta la detección por parte de los diferentes motores antivirus.
http://goo.gl/4x1Xo6

[infinito10]

Mover la herramienta, creo que vale la pena que la prueben. infinito10 vos quien sos? 

Por cierto x64Core, ya incluí una rutina de detección para anomalías en el Rich Signature... estará en las próximas versiones. Muchas gracias.

Sí tienes razón OnTheCore, realmente tenía algunos hashes apuntados para detectar con ese algoritmo los Call API By Hash, y realmente es algo que terminé desechando. Tengo que borrarlo del help. Sorry!

FUnciona en todos los sistemas... vas a tener que revisar tus máquinas de pruebas 

Gracias nuevamente por las ideas! voy poco a poco cuando saco ratos libres... Seguiré centrándome en el formato PE, a ver si saco cosas interesantes, más que nada para transformar la información obtenida del PE en algún tipo de detección.

Aunque me gustaría que quedase claro que ni esta herramienta es un antivirus, ni tampoco un editor PE... tan solo extrae información que puede resultar util a la hora de identificar si un binario es malintencionado o no.

Por cierto... ¿Te gustó la herramienta?  Me mosquea que no te funcione en el 8.1... jajaja a mi me va perfecta

Muchas gracias por el testing!! 

La aplicación se encuentra desarrollada en Visual Basic 6 y he trabajado con ella en Windows 7 64 bits y 8.1 64 bits sin problemas. En XP ni lo he mirado la verdad, pero puede tratarse del List para hacer Drag&Drop, le echaré un vistazo.

Saludos! 

Sencillamente se trata de una nueva herramienta para hacer análisis sobre archivos ejecutables de Windows, con el objetivo de identificar de forma rápida, si este se trata o no de un malware. La mayoría de análisis se basan en la extracción de strings "ANSI" y "UNICODE" de los ejecutables en disco, aunque también trabaja con "Memory Dumps" de los binarios que analicemos. Como es lógico, esta última opción podría comprometer la seguridad de su equipo al ejecutar las muestras, con lo que se recomienda hacerlo en sistemas de laboratorio. Desde la ayuda de esta aplicación, se puede ver todo lo que es capaz de analizar, algo que seguirá creciendo y puliéndose en base a nuevas versiones.

• Agregada una línea de comando, que escribe el reporte en la raíz.
        Uso -> (4n4lDetector.exe c:\malware.exe)
  
• Agregadas nuevas palabras al módulo "Interest Words".
  
• Agreada la extracción del campo Subsystem, asociada al tipo de aplicación y Size Of Image.
  
• Corregido un bug en la representación de las posibles compilaciones escondidas detrás de UPX.
  
• Incluidos nuevos ejecutables para extraer líneas de comandos.
  
• Incluida la extracción de nuevas rutas de registro.
  
• Agregada la extracción de nuevas API, detecciones de llamadas a funciones mediante Call API By Name, Call API By Hash y mZombieInvoke.
  
• Agregado un nuevo binario, para ejecutar librerías x86 en memoria, dentro del modo de ejecución.
  
• Detección de métodos Anti Deep Freeze.
  
• Mejorada la extracción de URLs Unicode.
  
• Reorganización de búsqueda de información sobre binarios no ejecutables.
  
• Detección de falta de permisos para el acceso a los binarios a analizar.
  
• Rutina de detección de ejecutables Dropper, para Crypters, Joiners y Binders.
  
• Rutina de extracción de rutas con binarios ejecutables mejorada.
  
  Imagen
  
  
  Descarga:
  http://www.enelpc.com/p/4n4ldetector.html