Buenas a todos, hoy continuaremos con nuestra cadena Técnicas de evasión de antivirus, hablando de una sencilla técnica que nos permitirá de una manera muy rápida reducir el número de detecciones de un malware. Se trata del uso de ofuscadores.
Continuaremos realizando pruebas con la versión de Flu b0.4, que como os mostramos la semana pasada era detectada por prácticamente todos los antivirus de Virus Total.
En función del lenguaje de programación en el que hayáis desarrollado el malware, dispondréis de unos ofuscadores o de otros. En nuestra sección de herramientas de seguridad disponéis de un listado con algunas de estas utilidades (os recordamos que podéis recomendarnos nuevas herramientas para añadir al listado).
Como la versión de Flu b0.4 se encuentra desarrollada en .Net, nosotros hemos decidido realizar pruebas con el ofuscador Eazfuscator.Net, que como sabréis desde hace un tiempo ya no es gratuito :( (una pena)
En primer lugar vamos a ofuscar el núcleo de flu (flu-nucleo.exe). ¿Por qué?, muy sencillo, si ofuscasemos directamente el bot de flu (flu.exe), nos cargaríamos los datos con la dirección IP del Botmaster, que grabamos en el final del exe durante la generación del bot, de esta manera, si ofuscamos primero el núcleo, luego no tendremos ningún problema de dañar esta parte del programa.
Para ofuscarlo simplemente abriremos el software Eazfuscator y arrastraremos flu-nucleo.exe sobre él:
Ya tenemos nuestro núcleo ofuscado. Ahora generamos el bot de la misma manera de siempre:
Una vez generamos el bot, vamos a subirlo a Virus Total y ver que pasa:
Bien, hemos logrado reducir la detectabilidad de más de 40 antivirus, a solo 3, en apenas 10 segundos y de una manera muy sencilla.
A continuación os dejamos el listado de los Antivirus que nos siguen detectando:
AntiVir | TR/Dropper.Gen | 20130316 |
Malwarebytes | Backdoor.Agent | 20130317 |
Ikarus | Virus.PSW.ILSpy | 20130317 |
En resumen, esta técnica será muy útil para malware desarrollado en lenguajes como .Net, Java, etc.
En el próximo post de la cadena seguiremos hablando de técnicas de evasión
Saludos!