Normalmente, el malware es detectado porque sus stubs o métodos de encriptación son identificados por los AVs. Si cambias el stub de un código malicioso, la mayoría de las veces, se vuelve indetectable.
Existen muchas maneras de modificar un stub y volver tus virus o troyanos FUD (Fully UnDetecatable): utilizar diversos algoritmos de cifrado y niveles de ofuscación, modificar las fechas, añadir un EOF adicional, mover PE entrypoint, realinear el PE header, clonar código inofensivo, etc.
Si estáis interesados en estas técnicas y cómo realizarlas, os recomiendo que gastéis algunas horas mirando foros y que leáis y leáis. Por ejemplo echar un vistazo a este magnífico tutorial de como indetectar cualquier malware por codigo.
Otra forma más cómoda pero menos formativa para camuflar el código es usar un joiner/binder y/o un crypter. Troyanos ampliamente difundidos como Bitfrost o Poison Ivy tienen su stub más que trillado y son normalmente incapaces de generar servers indetectables. En este caso, intentar modificar el stub de estos RATs tan difundidos para que sean FUDs, es difícil y poco duradero.
Precisamente para ellos lo mejor es utilizar un crypter, muchos de los cuales te permiten utilizar tus propios stub, como por ejemplo con Fly Crypter y nuestro propio stub generado con Uniq Stub Generator, tal y como se muestra a continuación en el siguiente video:
Existen muchas maneras de modificar un stub y volver tus virus o troyanos FUD (Fully UnDetecatable): utilizar diversos algoritmos de cifrado y niveles de ofuscación, modificar las fechas, añadir un EOF adicional, mover PE entrypoint, realinear el PE header, clonar código inofensivo, etc.
Si estáis interesados en estas técnicas y cómo realizarlas, os recomiendo que gastéis algunas horas mirando foros y que leáis y leáis. Por ejemplo echar un vistazo a este magnífico tutorial de como indetectar cualquier malware por codigo.
Otra forma más cómoda pero menos formativa para camuflar el código es usar un joiner/binder y/o un crypter. Troyanos ampliamente difundidos como Bitfrost o Poison Ivy tienen su stub más que trillado y son normalmente incapaces de generar servers indetectables. En este caso, intentar modificar el stub de estos RATs tan difundidos para que sean FUDs, es difícil y poco duradero.
Precisamente para ellos lo mejor es utilizar un crypter, muchos de los cuales te permiten utilizar tus propios stub, como por ejemplo con Fly Crypter y nuestro propio stub generado con Uniq Stub Generator, tal y como se muestra a continuación en el siguiente video:
Hay un artículo muy bueno de la revista HackxCrack nº28 sobre hacer indetectable malware buscando firmas y moviendo código con OllyDbg, bastante educativo :)
ResponderEliminarhttp://rapidshare.com/files/5136807/hxc28.pdf
Gracias por el contenido, un saludo!
Tienes razón Thor, el artículo es buenísimo. Son métodos manuales, para la gente buena, y me llama la atención como siendo del 2005 sigue siendo vigente en nuestros días.
ResponderEliminarMuchas gracias por el aporte!