18 mar 2013

Técnicas de evasión de antivirus (Parte II)

Buenas a todos, hoy continuaremos con nuestra cadena Técnicas de evasión de antivirus, hablando de una sencilla técnica que nos permitirá de una manera muy rápida reducir el número de detecciones de un malware. Se trata del uso de ofuscadores.

Continuaremos realizando pruebas con la versión de Flu b0.4, que como os mostramos la semana pasada era detectada por prácticamente todos los antivirus de Virus Total.

En función del lenguaje de programación en el que hayáis desarrollado el malware, dispondréis de unos ofuscadores o de otros. En nuestra sección de herramientas de seguridad disponéis de un listado con algunas de estas utilidades (os recordamos que podéis recomendarnos nuevas herramientas para añadir al listado).

Como la versión de Flu b0.4 se encuentra desarrollada en .Net, nosotros hemos decidido realizar pruebas con el ofuscador Eazfuscator.Net, que como sabréis desde hace un tiempo ya no es gratuito :( (una pena)

En primer lugar vamos a ofuscar el núcleo de flu (flu-nucleo.exe). ¿Por qué?, muy sencillo, si ofuscasemos directamente el bot de flu (flu.exe), nos cargaríamos los datos con la dirección IP del Botmaster, que grabamos en el final del exe durante la generación del bot, de esta manera, si ofuscamos primero el núcleo, luego no tendremos ningún problema de dañar esta parte del programa.

Para ofuscarlo simplemente abriremos el software Eazfuscator y arrastraremos flu-nucleo.exe sobre él:

Ya tenemos nuestro núcleo ofuscado. Ahora generamos el bot de la misma manera de siempre:

Una vez generamos el bot, vamos a subirlo a Virus Total y ver que pasa:

Bien, hemos logrado reducir la detectabilidad de más de 40 antivirus, a solo 3, en apenas 10 segundos y de una manera muy sencilla.

A continuación os dejamos el listado de los Antivirus que nos siguen detectando:

AntiVirTR/Dropper.Gen20130316
MalwarebytesBackdoor.Agent20130317
IkarusVirus.PSW.ILSpy20130317

En resumen, esta técnica será muy útil para malware desarrollado en lenguajes como .Net, Java, etc.

En el próximo post de la cadena seguiremos hablando de técnicas de evasión

Saludos!

3 comentarios:

  1. Quien fuera el dichoso al que le sobraran 400 verdes para una licencia como esta .. para este árticulo se usó la versión trial o ... ??? Se agradece la aportación, pero nos gustarian más métodos que nos pudieramos permitir, que estamos en crisis :( Esperando la parte III a ver si dejas FUD a nuestro gusanito Flu!

    ResponderEliminar
  2. [...] lunes iniciamos la semana con la segunda parte de nuestra nueva cadena: Técnicas de evasión de antivirus (Parte II), pronto tendremos la tercera parte de esta [...]

    ResponderEliminar