Mensajes

Si no es una shellcode lo veo una tonteria ahorrarse esos 4 bytes, ya que con mi metodo es 1 OPS y con ese son 6 OPS, es una tonteria la verdad.

Yo es principalmente en las shellcodes cuando doy más importancia al tamaño del payload que a los ciclos... Además no debe tener bytes nulos. (Al menos con la definición estricta que yo conozco de shellcode, es decir, no posicional y null-free)

Si hay millones en juego, mejor hacemos un grupo de investigación??? jeje

Realmente no valen millones . Buster_BSA se inventó la cifra

La idea la capto, el codigo no tanto, porque hay cosas de fasm que me marean, pero lo voy a intentar, si preciso algo puntual te aviso

Hay mucho macro para generar constantes en tiempo de ensamblado. Si lo ensamblas verás que no hay cadenas de texto. Se generan los hashes y luego se comparan de la lista de librerías cargadas.

Para que cargaran esas dll's? Si el proceso ya se encuentra en un lugar controlado..

Cuanto menos tiempo de kernel gaste el antivirus más fluido irá el sistema. Se intentan delegar las tareas menos cruciales a usermode por cuestiones de optimización. También un crasheo de la DLL (p.e intencionado para saltarse la protección ) estaría localizado en el proceso y no reventaría todo el motor del antivirus o el SO.

Estas lineas me van a facilitar bastante jeje, me imagino que dio trabajo pasar por todos los av para saber cuales módulos carga cada uno.. Lo flojo de este metodo es que el dia de mañana podrian cambiar los nombres de las dll's, o dejar de inyectarlas..

Si quisieses hacer una detección genérica entrarían en juego muchos otros factores. Hay diferentes técnicas para detectar entornos virtualizados sin tener que hacer blacklisting. Por ejemplo utilizar instrucciones/llamadas que sepas que no siguen la ruta habitual y hacer comparaciones de tiempo. (Artículo al respecto)

Saludos!

[@Vaagish:]

@Vaagish: Mira este código para detectar los sandbox maluchos que inyectan DLL: (FASM)

Código (asm) [Seleccionar] Expandir

include 'win32ax.inc'

; MACROS

macro hash name,[string]{
  local ..hash, ..len, ..chr
  virtual at 0
     db string
     ..len  = $
     ..hash = 0
     repeat ..len
        load ..chr byte from % - 1
        ..hash = ..hash + ..chr
        ..hash = ..hash xor (((..chr shl 7) and $FFFFFFFF) or (..chr shr (25)))
     end repeat
  end virtual
  name#.h = ..hash
}
struc dw [arr]{
  common
     . dw arr
     .c = ($ - .) / 2
}

; GLOBAL

hash sandboxie, 'sbiedll.dll'
hash avast32,   'snxhk.dll'
hash avast64,   'snxhk64.dll'
hash comodo32,  'guard32.dll'
hash comodo64,  'guard64.dll'

; CODE

blacklist_loaded:
  call push_hashArr
  hashArr dw sandboxie.h, avast32.h, avast64.h, comodo32.h, comodo64.h

push_hashArr:
  push $30
  pop  esi
  lods dword[fs:esi]
  mov  edx, [eax+$0C]
  mov  edx, [edx+$1C]
  xor  eax, eax
nm:xor  ebx, ebx
  mov  esi, dword[edx+$20]
  test esi, esi
  mov  edx, [edx]
jz     en
re:lodsw
  test eax, eax
jz     fn
  or   eax, 0x20
  add  ebx, eax
  rol  eax, 7
  xor  ebx, eax
jmp    re
fn:push hashArr.c
  pop  ecx
  mov  esi, [esp]
nx:lodsw
  cmp  eax, ebx
loopne nx
jecxz  nm
en:mov  eax, ecx
  pop  edi
  ret

main:
  call blacklist_loaded
.end main
(POST ORIGINAL)
Un poco caótico, lo hice en el metro de camino a casa Si necesitas algún comentario dímelo

@x64Core: Yo voto por mí ¿No has visto los últimos enlaces del tema? El último argumento de Buster_BSA es que si existiesen vulnerabilidades de ese tipo valdrían millones; las hay. Y seguro que con suficientes contactos podrías encontrar un 0day por ahí que te permitiese elevación de privilegios local en la máquina invitado en VirtualBox y Windows XP

@cpu2: Si lo hacía con lodsd doy por hecho que es para ahorra unos cuantos bytes...

http://foro.elhacker.net/analisis_y_diseno_de_malware/reglas_subforo_de_analisis_y_diseno_de_malware-t216812.0.html

[Si no quieres que algo se sepa no lo hagas. Si ya lo has hecho; no lo cuentes.]

Dejando de lado los aspectos técnicos para complicar la tarea (P2P, cifrado asimétrico para C&C, tor...) creo que hay un aspecto importantísimo: No hablar nunca de ello. A nadie.
Si no quieres que algo se sepa no lo hagas. Si ya lo has hecho; no lo cuentes.

En el caso particular de una botnet el punto débil es el C&C, si tu botnet está bien diseñada tendrás una forma de enviar los comandos no centralizada. Si no tienes esa suerte siempre debes enviar los comandos desde una conexión que no sea la tuya. Ya sea usando tor+relay VPS, VPN o WiFi del McDonalds xD

Más importante que no hablar de ello es separar identidades. No debes utilizar la misma conexión|ordenador|S.O|... para asuntos ilícitos que para mirar el Facebook.

Si quieres más datos técnicos como nombres de herramientas, protocolos y tal puedo extenderme con el asunto.

Saludos!

De nada, siento no haberlo hecho por privado

http://foro.elhacker.net/sugerencias_y_dudas_sobre_el_foro/urgente_elhackernet_vulnerable-t412283.0.html;new#new

http://filippo.io/Heartbleed/#foro.elhacker.net

SysAllocString() es para obtener una copia. Si sólo quieres mostrarla en un MsgBox puedes pasarle el puntero a MessageBoxA() como haces tú. Aunque si quieres leer el valor será para otra cosa

Código (vb) [Seleccionar] Expandir

'OLEAUT32
Private Declare Function SysAllocString Lib "OLEAUT32" (ByVal pOlechar As Long) As String
'KERNEL32
Private Declare Function GetModuleHandleA Lib "KERNEL32" (ByVal ModuleName As String) As Long

Public Static Function WhereAmI() As String
    WhereAmI = SysAllocString(GetModuleHandleA("MSVBVM60") + &H10C528)
End Function

Código (vb) [Seleccionar] Expandir

MsgBox WhereAmI()