Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - Karcrack

#1
Cita de: x64Core en  3 Julio 2014, 09:34 AM
Para mi el mapear el archivo es innecesario sino que alguien diga porque es necesario mapearlo.
No es necesario mapearlo. En mi opinión es más sencillo trabajar cuando te olvidas de buffers. No tienes que usar una cosa para leer y otra para escribir, sencillamente trabajas con punteros y luego lo reflejas en disco...
#2
Aquí esta la lista de procesos que se pueden auto-elevar en Win7:
http://withinwindows.com/2009/02/05/list-of-windows-7-beta-build-7000-auto-elevated-binaries/
Si puedes inyectar código en alguno de esos procesos ya puedes hacer la llamada COM para copiar la DLL a la ruta protegida y haciendo DLL hijacking ejecutar tu código con privilegios elevados.

Aquí está todo el proceso detallado:
http://www.pretentiousname.com/misc/W7E_Source/win7_uac_poc_details.html

Ese cambio se hizo tras las quejas de lo molesto que era UAC en Windows Vista. Si cambias la configuración a protección máxima incluso los accesos de los procesos del listado harán saltar el prompt...
#3
Esto es debido a la configuración por defecto de UAC en Windows 7 y que ya estás logueado en una sesión de administrador, en Windows Vista si que te saltaría la ventana.

Por defecto el taskmgr es capaz de auto-elevarse. La verdad es que no sé qué procesos tienen esa capacidad, he visto que otros programas como mmc.exe también pueden.

Lectura interesante:
http://www.rohitab.com/discuss/topic/38607-disable-uac-elevation-dialog-by-patching-rtlqueryelevationflags-in-windows-explorer/
#4
Muy buen código a pesar de AT&T :rolleyes:, gracias por compartir :-*
#5
Cierto, exageré la cifra. Discúlpame. Ya puedes irte. Saludos :)
#6
Cierren esto ya. De dónde no hay no se puede sacar.

@Buster_BSA: Qué bueno verte tras más de un año, se ve que vienes a aportar a la comunidad :laugh: PD: http://foro.elhacker.net/analisis_y_diseno_de_malware/iquestsaltarse_heuristicas_y_sandbox_modeando-t378027.0.html;msg1818817#msg1818817

@x64Core: Yo no dije a nadie que viniese a nada y no tengo nada que ver con tu Jabber. No deberías hacer acusaciones sin ningún fundamento.

@Vaagish: Si quieres podemos mantener una conversación más productiva por MP...
#7
Cita de: x64Core en 26 Abril 2014, 16:57 PM
Lo conozo desde años cuando era Touch me maybe -> TouchMe -> Ntoskrnl.
Ese tipo que ha programado un bootkit puro copy-paste de carberp + StBt Framework y ahora piensa que es un hacker de elite,
por favor... La gente que no sabe del tema es claro que lo piensa pero los que sabemos de eso, sabemos que es un scriptkiddie.
;-) Se ve que sabes quién es ese americano y pasas horas con él en IRC :)

Me resulta curioso que siempre acabas usando argumentos ad hominem :silbar: Más fácil sería que demostrases que sabes en lugar de intentar demostrar que el resto sabe menos.
#8
Cita de: x64Core en 25 Abril 2014, 20:57 PM
Me pregunto si ese scriptkiddie americano hizo todo ese
analisis o sólo se le ocurrio joder en NTDLL...
Sorprende con la facilidad que insultas a alguien que acabas de saber que existe. No es americano y apuesto que sabe más sobre windows internals que tú mismo.

Una vez descargados los hooks desde ring3 está claro que no vas a saltarte ring0 pero ya has escapado del análisis de la sandbox. Lo que hagas no quedará reflejado durante el análisis, evitando así que salte la heurística dinámica. Es obvio que no vas a poder cargar un driver sin que el AV se entere ya que esa detección está en otro nivel.

La utilidad de salirse de la sandbox no es eludir al AV por completo sino ser capaz de ejecutar código como lo harías normalmente sin que te hubiesen metido en una sandbox...
#9
Cita de: x64Core en 25 Abril 2014, 14:45 PM
Heuristica estatica? Más bien seria escaneo de bytes utilizando algún algoritmo. Pero sí, la conversación se desvio.
¿Y como demonios la heuristica dinamica puede ser una maquina virtual? La tecnologia heuristica dinamica ya existia
antes que la implementación de VMs en Anvitirus de hecho hoy en dia hay Antivirus que no tiene una VM pero sí un
emulador de código y que hacen uso de heuristica dinamica junto con el emulador para la detección. por ejemplo
Avira, Eset nod32.
Yo no me estoy inventando ningún término. Puedes leer más al respecto y verás que la heurística dinámica va cogida de la mano de la emulación de código y también del análisis de comportamiento (behavioral).


Cita de: x64Core en 25 Abril 2014, 14:45 PM
En Comodo sobre Windows de 32-bits de nada sirve hacer unhooking de modo usuario, apuesto lo mismo que en Avast, no sé no lo he
comprobado, en Comodo sobre Windows de 64-bits te pregunto de que sirve hacer unhooking de modo usuario por ejemplo en NtCreateFile
para escribir en el disco y saltarse la sandbox?
Comodo no lo he probado pero esto funciona con el Avast: http://www.malwaretech.com/2013/09/fighting-hooks-with-hooks-sandbox-escape.html ;)


Cita de: x64Core en 25 Abril 2014, 14:45 PM
Mirar sandboxie es simplemente una sandbox, no hay analisis para la detección y eliminación del malware.
Pensaba que hablabamos de diferencias en cuanto a las técnicas de sandboxing :laugh:


Cita de: x64Core en 25 Abril 2014, 14:45 PM
Avast, Comodo son Antivirus que incluyen una sandbox pero eso no quiere decir que si el usuario decida no
ejecutar en ella el archivo no seria analisado, este es siempre analizado. habria que saber
Avast ejecuta un fichero sospechoso dentro de la sandbox sin que le digas nada de nada. Decide si es potencialmente peligroso mediante heurística estática.


Cita de: x64Core en 25 Abril 2014, 14:45 PM
Pero Karcrack, si piensas que estoy equivocado danos tu punto de vista demostrando que estoy en lo incorrecto,
si fuese así es tiempo de programar algún POC :)
¿Equivocado en qué?
#10
Cita de: x64Core en 25 Abril 2014, 03:55 AM
Karcrack, El problema principal en el tema '¿Saltarse heuristicas y sandbox modeando?' fue la confusión de terminos
Si el Antivirus esta detectando el malware por heuristica es porque esta siendo emulado, VM y lo que se debe hacer
es detectar si el código esta siendo emulado además de cualquier posible VM. Lo mismo esta sucediendo aquí por
eso estoy de acuerdo con Buster.
Si el malware está siendo detectado por heurística es que PUEDE estar siendo emulado. La detección heurística estática también existe. No sé si hubo confusión con términos o no, lo que está claro es que la discusión se desvió a si era posible escapar de una VM (Yo entiendo que la sandbox o la heurística dinámica son también máquinas virtuales).


Cita de: x64Core en 25 Abril 2014, 03:55 AM
Y Además noté que en tu código agregas guard32.dll/guard64.dll para supuesta detección de la sandbox pero
en ambos casos este o no el programa en la sandbox siempre será cargado lo unico que se conseguirá es que el
programa no se ejecute en ningun Windows que tenga instalado el Comodo, ese no es el punto no? Diras que los
hooks de modo usuario son la sandbox porque probablemente lo leiste en algun articulo o te equivocaste de nombre
del modulo?
Si lees la página original donde posteé el código verás que es una mejora de otro código propuesto por un usuario. Y sí, la lista de DLLs es la del código original. Este código tan sólo detecta si alguna de esas librerías está en la lista del PEB.
La idea de la detección no es cerrarse sin más, sino hacer unhooking. En este caso Comodo y Avast lo ponen bastante fácil...


Cita de: x64Core en 25 Abril 2014, 03:55 AM
Y habria que aclarar antes de entrar en confusión como sucedio en el otro tema, Vagish quiere detectar si el
programa esta siendo analizado por el Antivirus sandbox/VM.
Yo diría que Vaagish quiere saber si una librería está cargada en el proceso...


Cita de: x64Core en 25 Abril 2014, 03:55 AM
Agregado:
Noten la diferencia entre los programas como Sandboxie y el Analisis de Antivirus.
¿Cuál es la diferencia según tú? Para mí hay bien poca en el caso de muchos AVs.




@Vaagish: Me sorprende que así puedas descargar la librería. ¿Seguro que no te lo detecta como malicioso al finalizar el análisis?