Cifrar malware

[Ethicalsk]

Muy buenas! Quería saber de forma general, como se puede cifrar malware que se ejecuta en el arranque del sistema. Lo que me hace ruido en éste tema, es que si yo cifro el malware que quiero que se ejecute en el arranque, en el arranque se debería descifrar, y sin que yo le introduzca la clave necesaria para descifrar, es decir, debería descrifrarse automáticamente, lo cuál me hace pensar que la clave para descifrarlo debería estar almacenada en el mismo ordenador infectado y que entonces un forense podría descifrar facilmente el malware, ya que la clave para descrifrarlo está en el mismo ordenador.

Me gustaría que me corrijan si me estoy equivocando en éste pensamiento, y saber si existe alguna forma para que un malware se descifre y corra automáticamente en el arranque, evitando que la clave de descifrado sea facil de acceder, ya que sino el hecho de cifrar no serviría de nada...

Gracias desde ya. Saludos

[Machacador]

Interesante tema, que un cifrado de auto-descifre sin necesidad de la clave del cifrado... tal vez sea posible con las habilidades del un buen hacker...



Saludos

[Serapis]

El único modo posible es infectar la BIOS.
Luego interactuando convenientemente con las llamadas  al BIOS (con funciones ya dopadas), se puede descubrir si lo inicias 'tú', o el usuario doméstico (el auténtico),por ejemplo detectando alguna combianción de teclas durante el proceso.

...y eso (infectar la BIOS) es algo bastante más complicado, ni todas son iguales ni diferentes versiones tienen por qué funcionar igual y además debes ser capaz de no eliminar funcionalidad de la BIOS, al tiempo que añades o modificas (en el mismo espacio, o el residual si sobrará algo), que ocupan las funciones actuales. Igualmente  los vectores de llamadas de cada función deberían mantenerse intactas... y... lo más complicado tendrías que desemsamblar y empaparte de la BIOS, (al menos) del equipo de tu interés...

Dicho se otro modo, si tienes las dudas que presentas, asumo, que esto antedicho queda fuera de tu alcance.

[Ethicalsk]

Hola! Gracias por el aporte. La técnica que me contás se llamaría BIOS rootkit? Una vez había leído algo, pero muy superficialmente, que se podía hacer aprovechando ACPI, pero no me metí de lleno a investigar ese tema. Tal vez si me ponga a leer y experimentar un buen rato pueda llegar a algo, de todas formas ahora quería tener una idea general de cómo se lograba lo que proponía.

Saludos!

[engel lex]

en resumen, no podrás tener un cifrado sin clave que se autoresuelva... sin embargo con conocimiento de asm, puedes "revolver" tu codigo con saltos condicionales que solo se den en situaciones donde una variable tenga la dirección de destino correcta, tal que el analisis sea tan tedioso que evite a los menos experto intentarlo... algo así (no me guinden por comparar XD es un ejemplo) es lo que hacen los packer como themida...

[Ethicalsk]

Gracias engel lex por el aporte! Ambos aportes, tanto el tuyo como el de NEBIRE son interesantes para entender como dificultar la detección. Actualmente me encuentro investigando y trabajando con un LKM rootkit, que por ahora puede ocultar archivos, procesos y tráfico, pero justamente el mayor punto débil es que los archivos que utilizo quedan expuestos de ser vistos mediante otro SO. Además utilizo un backdoor que es un bash script que corre al inicio y me devuelve una shell remota cada X segundos, y tanto el proceso como los archivos y el tráfico están ocultos por el rootkit, pero me estoy dando cuenta que no es una buena forma de hacerlo ya que ese script de bash queda expuesto como dije antes, de ser visto por otro SO, tal vez lo mejor sea integrar la funcionalidad de backdoor en el mismo kernel y no en el bash script. Bueno, gracias nuevamente a ambos, y también a Machacador por interesarse en el tema!