Temas

[Descarga:]

Les dejo por aquí la última versión de 4n4lDetector. 

 

• Arreglo de un bug (jodido) con la opción " -TXT" para ejecuciones por consola.
   
• Añadida la posibilidad de abrir ficheros LNK para resolver automáticamente la ruta del ejecutable.
   
• El botón "Add File", permite realizar una búsqueda de archivos más sencilla.
   
• Arreglado un bug en el buscador de palabras de la interfaz principal.
   
• Mejorada la función de limpieza que elimina caracteres extraños de la salida.
   
• Agregada la extracción del nombre de secciones.
   
• Agregada la opción de seleccionar un diccionario de palabras y códigos en hexadecimal para buscar en el binario de forma personalizada.
        -> "H" Define la cadena en hexadecimal.
        -> "T" Define la cadena como texto.
        -> El último campo separado por ":" se trata de la descripción utilizada en la salida de 4n4lDetector.
  
  
  
  Descarga: http://www.enelpc.com/p/4n4ldetector.html

Tested Insanity Protector
Windows 7, 8.1, 10.



Loader

    It uses two encryption algorithms to prevent antivirus detection after joining with your app. This method is able to Bypass AVs proactives.
    The loader is developed in Visual Basic 6, currently compiled in PECode and FUD.
    Your application will be compressed with UPX by Insanity Software before being encrypted.
    An encrypted RunPE method is used and is out of the loader.
    The loader and the encrypted file are joined with Iexpress. It is also FUD.




23-11-2016
(Loader & Protected.exe)



Download: http://www.enelpc.com/p/insanity-protector.html

Les traigo la última versión de mi herramienta de análisis de malware. ¡Qué la disfruten! 



Descarga: http://www.enelpc.com/p/4n4ldetector.html

 

• Arreglado un bug en la extracción de algunas versiones de UPX.
   
• Extracción de las SQL Queries contenidas en el binario.
   
• Se cuentan el número de bloques de 5 NOPs existentes, en busca de Code Caves.
   
• Se comprueban más códigos inusuales tras el Entry Point.
   
• Agregada la extracción de funciones Zw (Modo Kernel).
   
• Agregadas deteciones de polimorfismo. (PEScrambler)
   
• Agregada una rutina de recuento de caracteres Ascii y caracteres nulos.
   
• Agregado el botón "Show Options", donde se encuentran muchas de las funcionalidades.
   
• Agregado un módulo para la extracción de correos electrónicos.
   
• Agregado un módulo para la extracción de direcciones IP.
   
• Agregado un aviso al encontrar una firma digital.
   
• Agregado Drag&Drop a la caja de texto donde se muestra la información.
   
• Agregado un algoritmo de revision del DOS Header al módulo de Heurística.
   
• Mejorada la limpieza en la que se muestran las cadenas extraidas.
   
• Agregado un nuevo botón a la interfáz principal, con el objetivo de visualizar las cadenas que el binario contiene.
   
• Agregado un buscador de palabras.
   
• Agregados dos botones que se activan tras la utilización del botón "Strings", los cuales permiten navegar entre la información principal y la obtenida con dicho botón.
  
  Algunos Ejemplos:
  
  
  
  
  
  
  
  Saludos 4n4les!

Se trata de una herramienta destinada a realizar un análisis rápido sobre binarios PE en busca de código malicioso, principalmente de forma estática, aunque también trabaja con ejecución de muestras y sobre sus "Memory Dumps", aunque ésto último de forma opcional, para evitar comprometer la máquina utilizada en el análisis en el caso que no se desee poner en riesgo.

Detecta modificaciones en binarios mediante técnicas a bajo nivel de evasión antivirus, en busca de códigos y estructuras inusuales por parte de un compilador. Además, cuenta con la extracción y el análisis de las cadenas que el binario pueda contener. La siguiente imagen muestra de forma resumida la información que la herramienta comprueba antes de mostrar el resultado:



Más imágenes:









Descarga:
http://www.enelpc.com/p/4n4ldetector.html

[Método RIT]

Quería dejar una pequeña lista que recolectase los métodos genéricos de evasión de firmas antivirus, los cuales he estado escribiendo hasta la fecha. Me gustaría seguir aumentando esta lista, con lo que seguiré actualizando este post con los escritos que vaya realizando en mi blog.

Si tienen ideas para nuevas metodologías con el fin de lograr la evasión de motores antivirus, hablen conmigo y trataré de probarlas y redactarlas. Un saludo y muchas gracias amigos

Método RIT
Con este método de evasión antivirus aprenderás a cómo realizar migraciones de funciones a otros huecos en ensamblador.
http://goo.gl/CDgIYI

Método DAFE
Este método de evasión antivirus consiste en llevar a cabo la copia de las librerías del sistema operativo, para modificar el nombre real de las mismas por otro nombre para que el malware se comunique con ellas.
http://goo.gl/d3ogMh

Método DAFE-GUI
Esta se trata de dos herramientas desarrolladas por Osnaraus y Metal_Kingdom, encargadas de llevar a cabo el método DAFE de manera automatizada.
http://goo.gl/G6yTnb

Método Papelera
Un método muy utilizado por el malware USB, en el cual se explica como una simple carpeta es capaz de adoptar la apariencia de una papelera de reciclaje del sistema.
http://goo.gl/36u1XI

Método Mmove
El siguiente método explica cómo realizar migraciones de los nombres de las librerías y APIs que contiene la Import Table, a otros huecos dentro de un ejecutable.
http://goo.gl/cQ7OMs

Cifrar malware a mano
Este método te enseñará a insertar una rutina de cifrado para modificar el aspecto de las secciones ejecutables de un binario. Puede ser utilizado de forma sencilla con los métodos XOR y ROR/ROL, o de forma más compleja como se explica en el blog.
http://goo.gl/GMfw9o

Evasión de motores heurísticos
En la siguiente entrada se muestra un método muy similar al método RIT, pero enfocado a la migración de funciones de una API o APIs completas.
http://goo.gl/B1NVYV

Mover el Entry Point
El siguiente POST explica como realizar debidamente una migración del punto de entrada de un ejecutable.
http://goo.gl/7ktXd9

Evasión de firmas condicionales
La siguiente entrada explica de forma detallada, cómo los antivirus utilizan ciertas formas genéricas para detectar familias de malware. Estas firmas exigen un número de condiciones para dar por válida la detección de un binario, con lo que modificando su lógica será posible realizar la evasión.
http://goo.gl/V7er6G

Evasión de antivirus desde código fuente
La siguiente entrada muestra la creación de un Crypter en Visual Basic 6, utilizando una de las shellcodes más conocidas como RunPE y teniendo en cuenta la detección por parte de los diferentes motores antivirus.
http://goo.gl/4x1Xo6

Sencillamente se trata de una nueva herramienta para hacer análisis sobre archivos ejecutables de Windows, con el objetivo de identificar de forma rápida, si este se trata o no de un malware. La mayoría de análisis se basan en la extracción de strings "ANSI" y "UNICODE" de los ejecutables en disco, aunque también trabaja con "Memory Dumps" de los binarios que analicemos. Como es lógico, esta última opción podría comprometer la seguridad de su equipo al ejecutar las muestras, con lo que se recomienda hacerlo en sistemas de laboratorio. Desde la ayuda de esta aplicación, se puede ver todo lo que es capaz de analizar, algo que seguirá creciendo y puliéndose en base a nuevas versiones.

• Agregada una línea de comando, que escribe el reporte en la raíz.
        Uso -> (4n4lDetector.exe c:\malware.exe)
  
• Agregadas nuevas palabras al módulo "Interest Words".
  
• Agreada la extracción del campo Subsystem, asociada al tipo de aplicación y Size Of Image.
  
• Corregido un bug en la representación de las posibles compilaciones escondidas detrás de UPX.
  
• Incluidos nuevos ejecutables para extraer líneas de comandos.
  
• Incluida la extracción de nuevas rutas de registro.
  
• Agregada la extracción de nuevas API, detecciones de llamadas a funciones mediante Call API By Name, Call API By Hash y mZombieInvoke.
  
• Agregado un nuevo binario, para ejecutar librerías x86 en memoria, dentro del modo de ejecución.
  
• Detección de métodos Anti Deep Freeze.
  
• Mejorada la extracción de URLs Unicode.
  
• Reorganización de búsqueda de información sobre binarios no ejecutables.
  
• Detección de falta de permisos para el acceso a los binarios a analizar.
  
• Rutina de detección de ejecutables Dropper, para Crypters, Joiners y Binders.
  
• Rutina de extracción de rutas con binarios ejecutables mejorada.
  
  Imagen
  
  
  Descarga:
  http://www.enelpc.com/p/4n4ldetector.html