Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - Buster_BSA

#41
Cita de: zergiustyle en 12 Enero 2013, 01:50 AM
He estado buscando durante 4 horas jaja, sin exagerar y los que encuentro me los detectan todos, habré probado como 20 crypters actuales de otras webs, los de aquí están caídos..

Ten en cuenta que hay antivirus que detectan aplicaciones legítimas solo por usar un crypter.

No te vayas a ofuscar tú cuando lo que tienes que ofuscar es el código.  ;D
#42
Añade cifrado. Puedes usar un packer o una combinación de varios o puedes usar una librería de compresión modificada como pueda ser LZMAT: http://www.matcode.com/lzmat.htm

Edito: ¿Por qué cada vez que quiero escribir "en crip ta cion" el foro me cambia la palabra por cifrado?
#43
Pues prueba añadiendo cifrado a tu código.
#44
Cita de: zergiustyle en 11 Enero 2013, 23:58 PM
Que formas puedo hacer para que sea indetectable?
Si puede ser dejarme el link o escribirme los programas que uséis, no sé programar apenas nada, por eso que si es un tutorial mejor.

Saludos y gracias.

¿Indetectable para qué software? ¿Solo para un antivirus o para cualquier herramienta de detección de código malicioso?
#45
Cita de: Karcrack en 11 Enero 2013, 23:37 PMTristemente no dispongo de ninguna muestra práctica

Que se sepa, ni tú ni nadie. Por ejemplo la última vulnerabilidad conocida en el Sandboxie fue descubierta en el 2010. Da la casualidad de que la encontré yo mientras analizaba malwares. Desde entonces nadie ha sido capaz de crear un malware o un POC capaz de escribir en el disco duro real desde dentro de la sandbox. Y no será porque gente muy cualificada no lo haya intentado. Solo hay que ver el análisis que le hizo el amigo Vallejo:

http://vallejo.cc/48

Cita de: Karcrack en 11 Enero 2013, 23:37 PMpero supongo que sabrás qué es una elevación de privilegios. Podrás encontrar fallos de este tipo en entornos virtualizados, ya sea: una máquina virtual, un sandbox o incluso en la separación de privilegios en SO.

Pareces olvidar que VirtualBox, VMWare, Sandboxie... no es software que haya sido publicado hace dos días. Cuentan con años de desarrollo y han sido escrutados por verdaderos especialistas en ingeniería inversa. ¿Qué posibilidades reales existen de que a estas alturas exista alguna forma de poder saltarse una máquina virtual o una sandbox y realizar acciones directamente en el host?

Hablas de elevación de privilegios. ¿De qué te sirve la elevación de privilegios dentro de una máquina virtual? ¿De qué te sirve la elevación de privilegios en un entorno controlado como es una sandbox donde ciertas acciones se restringen? Por ejemplo el Sandboxie no permite la ejecución de drivers dentro de la sandbox. Por muchos privilegios que eleves eso no te lo va a permitir hacer.

Cita de: Karcrack en 11 Enero 2013, 23:37 PMNo creo que esté confundiendo a alguien cuando digo que cualquier cosa es posible con suficiente esfuerzo y dedicación. No sólo eso sino que además creo que es una forma perfecta de mantenerse motivado.

Veo que no acabas de entender que ya ha habido gente muy preparada que ha puesto esfuerzo y dedicación para saltarse el VMWare o el VirtualBox tratando de escribir en el host y no lo ha logrado.

Saludos.
#46
Por cierto, que Tr0Y4N0 ha dicho "estoy iniciándome en el tema de indetectar malware, mi pregunta es si modeando se puede evitar que te pille la heurística y el sandbox" y a saber qué quiere decir con eso de que no le pille el sandbox. A saber qué se imagina él qué es la sandbox y cómo lo puede pillar.

Yo he supuesto que se refiere al análisis por comportamiento, pero a lo mejor él tiene otro concepto de lo que es una sandbox que puede pillar malwares.
#47
El movimiento se demuestra andando, Karcrack.  ;)

Para empezar tienes un error de concepto porque confundes la sandbox con el software de análisis de comportamiento. Son dos cosas diferentes. Solo en el caso del Norman Sandbox Analyzer eso sería correcto, pero es la excepción que confirma la regla. El resto son dos cosas separadas: por un lado estaría la sandbox, que en la inmensa mayoría de los casos es una máquina virtual (Buster Sandbox Analyzer es el único además del Norman que no usa una máquina virtual como framework para el análisis) y por otro el software de análisis de comportamiento.

Por ejemplo: Sandbox -> máquina virtual (VMWare, VirtualBox, ...).  Software de análisis de comportamiento: Cuckoo (programado en Python)

Ya me dirás qué fallos de diseño tiene el VMWare o el VirtualBox que puedan ser aprovechados para que las aplicaciones que hacen análisis de comportamiento sobre ellas no sean capaces de analizar correctamente. Sí, claro, en teoría todo software puede tener fallos, pero a mí solo me vale la práctica.

Dices: "como ejemplo te pongo un par de bugs que han habido en "Sandboxie".  Pues ya me dirás dónde los has puesto porque yo no los veo.  :P

Y no, no se trata de ver quien la tiene más grande. Se trata de no confundir a las personas que vienen al foro a por información. Las cosas son como son hasta que alguien demuestra lo contrario, y de momento nadie en el mundo ha demostrado que se pueda burlar el análisis por comportamiento si no es haciendo lo que ya he dicho: detectar que se está ejecutando bajo un entorno de análisis y abortar la ejecución.


#48
Cita de: dimitrix en 10 Enero 2013, 11:54 AM
http://www.mscs.dal.ca/~selinger/md5collision/

Es una pasada.

El tema de la colisión en MD5 es antiquísimo. Lo menos tiene 7 años.
#49
Yo te daré un consejo más práctico: familiarízate y aprende a usar las APIs de Windows, especialmente las relacionadas con ficheros, empezando por CreateFile, y las del registro.
#50
Cita de: r32 en  9 Enero 2013, 15:55 PM
Si tienes un equipo para estas tareas puedes utilizar el programa "SysAnalyzer", infectará tu sistema pero lo verás todo a tiempo real. Si la muestra de malware lleva "antisandbox", no se ejecutará y no realizará ninguna modificación ni conexión.
Sysanalyzer:
http://sandsprite.com/tools.html
http://sandsprite.com/CodeStuff/SysAnalyzer_Setup.exe

SysAnalyzer es un proyecto muerto y acabado.

¿No conoces el Buster Sandbox Analyzer?

http://bsa.isoftware.nl/

Supongo que no, sino no recomendarías el SysAnalyzer.  ;)