Payloads ofuscados? Antivirus?

Iniciado por Schaiden, 26 Septiembre 2017, 22:45 PM

0 Miembros y 1 Visitante están viendo este tema.

Schaiden

Buenas, estaba leyendo éste artículo del Chema Alonso:

http://www.elladodelmal.com/2017/09/owasp-zsc-zeroday-cyber-research.html

que muestra una nueva herramienta para crear shellcodes ofuscados para insertarlos en los exploits. Mi duda es por qué un payload necesitaría ser ofuscado? Supuestamente el antivirus no es que solo analizaba el disco? Es decir, que es capaz de detectar archivos maliciosos? Pero en el caso de los exploits, consiguen tomar el control de la pc sin necesidad de ningún archivo, ya que utilizan al proceso vulnerable para ejecutar codigo, yendo directamente a memoria sin tocar el disco. Cómo es que un antivirus podría llegar a detectar una shellcode de un exploit si la misma no está ofuscada?

Gracias y saludos!

AlbertoBSD

Generalmente los exploits, atacan algun servicio vulnerable ya sea:


  • Localmente
  • Remotamente

Localmente

El exploit necesita llegar a la maquina a atacar en forma de (Ejecutable y/o archivo de datos) y el antivirus seria capas de detectar X o Y firma de shellcode entonces lo bloquearia

Remotamente.

El payload tiene que viajar de alguna forma para instalarse en la memoria del proceso a vulnerar, entonces si el Antivirus detecta el payload en memoria y/o en el trafico de RED entrante, tendría forma de bloquearlo.

El Ofuscar los payloads sirve para evitar esta detección.

Saludos!

Donaciones
1Coffee1jV4gB5gaXfHgSHDz9xx9QSECVW

Schaiden

Muchas gracias AlbertoBSD!!! Entonces según lo que me decís aca:

CitarEl payload tiene que viajar de alguna forma para instalarse en la memoria del proceso a vulnerar, entonces si el Antivirus detecta el payload en memoria y/o en el trafico de RED entrante, tendría forma de bloquearlo.

el antivirus no solo se fija en disco, sino que también en la memoria y en el tráfico de red. Yo había leído un artículo que decía que el antivirus no analizaba la memoria, tal vez era un artículo muy viejo y los antivirus viejos no la analizaban y ahora si.

En cuanto a lo primero de los exploits del tipo local, tenes razón! No lo estaba teniendo en cuenta... Si por ejemplo se utilizan las ultimas vulnerabilidades de word o adobe reader pero con un payload ofuscado en un archivo .doc o .pdf, pensás que sería posible evadir el antivirus o igualmente sería detectado de algún otro modo?

Muchas gracias nuevamente!

Saludos!

AlbertoBSD

Lo del análisis de memoria al final depende de las capacidades de cada antivirus, desconozco a que grado realize esto.

El payload ofuscado es para que no se detecte en el transporte hacia la maquina y/o memoria de la misma. Pero al final el payload debe de-ofuscarse en tiempo de ejecución y si el antivirus detecta este código "maligno" podría detectarlo antes de que se ejecute, repito todo depende de las capacidades del antivirus.

Saludos!
Donaciones
1Coffee1jV4gB5gaXfHgSHDz9xx9QSECVW