Evasión de antivirus con PEScrambler

Buenas a todos, la pasada semana mientras buscaba algunos packers y herramientas de ofuscación para realizar unas pruebas con flu.exe, di con una interesante herramienta llamada PEScrambler, que fue presentada hace ya algunos años en Defcon (https://labs.mwrinfosecurity.com/blog/2008/08/11/defcon-16-talk-review-advanced-software-armouring-and-polymorphic-kung-fu/). Aunque es algo antigua (2008) sigue siendo funcional y muy eficiente.

Tal y como la describe su autor:

PEScrambler is a tool to obfuscate win32 binaries automatically. It can relocate portions of code and protect them with anti-disassembly code. It also defeats static program flow analysis by re-routing all function calls through a central dispatcher function. 

Básicamente, este programa permite recolocar los punteros de llamadas a funciones y de llamadas al sistema. Además ofusca la pila con las variables para dificultar su detección por parte de sistemas antimalware. Sin duda una interesante tool para ocultar un malware y evadir a los antivirus.


Una vez descargado el programa, su uso es tan sencillo como ejecutar la siguiente instrucción en un CMD:
PEScrambler.exe -i flu.exe -o fluencoded.exe 

Os dejo también un Power Point con más información: AdvancedSoftwareArmoringAndPolymorphicKungFu.pptx

Saludos!