Normalmente, el malware es detectado porque sus stubs o métodos de encriptación son identificados por los AVs. Si cambias el stub de un código malicioso, la mayoría de las veces, se vuelve indetectable.Existen muchas maneras de modificar un stub y volver tus virus o troyanos FUD (Fully UnDetecatable): utilizar diversos algoritmos de cifrado y niveles de ofuscación, modificar las fechas, añadir un EOF adicional, mover PE entrypoint, realinear el PE header, clonar código inofensivo, etc.
Si estáis interesados en estas técnicas y cómo realizarlas, os recomiendo que gastéis algunas horas mirando foros y que leáis y leáis. Por ejemplo echar un vistazo a este magnífico tutorial de como indetectar cualquier malware por codigo.
Otra forma más cómoda pero menos formativa para camuflar el código es usar un joiner/binder y/o un crypter. Troyanos ampliamente difundidos como Bitfrost o Poison Ivy tienen su stub más que trillado y son normalmente incapaces de generar servers indetectables. En este caso, intentar modificar el stub de estos RATs tan difundidos para que sean FUDs, es difícil y poco duradero.
Precisamente para ellos lo mejor es utilizar un crypter, muchos de los cuales te permiten utilizar tus propios stub, como por ejemplo con Fly Crypter y nuestro propio stub generado con Uniq Stub Generator, tal y como se muestra a continuación en el siguiente video:
Hay un artículo muy bueno de la revista HackxCrack nº28 sobre hacer indetectable malware buscando firmas y moviendo código con OllyDbg, bastante educativo :)
ResponderEliminarhttp://rapidshare.com/files/5136807/hxc28.pdf
Gracias por el contenido, un saludo!
Tienes razón Thor, el artículo es buenísimo. Son métodos manuales, para la gente buena, y me llama la atención como siendo del 2005 sigue siendo vigente en nuestros días.
ResponderEliminarMuchas gracias por el aporte!