En la pasada edición de la NcN tuve la oportunidad de poder exponer sobre 'crypters', tema sobre el que no es sencillo, en mi opinión, encontrar información de cierta calidad. Este artículo es el primero de una serie en la que pretendo explicar, con cierto nivel de detalle, el funcionamiento y uso de los 'crypters', así como las técnicas que se utilizan para lograr dejar indetectable un 'crypter' ya 'quemado'.
Para evadir la detección de malware por parte de los programas Antivirus, en adelante AVs, se utilizan diferentes técnicas, una de ellas es el uso de 'crypters'. Éstos permiten cifrar cualquier archivo binario para hacerlo 'invisible' a los AVs.
Es cierto, como mencionaba Yago Jesús recientemente en su post que los 'crypters' tienen mala fama, pero también la tenían los exploits hace unos años y hoy en día están integrados en todo tipo de aplicativos de seguridad, como Metasploit por ejemplo. Obviamente los 'crypters' son usados por los delincuentes para evitar la detección de los AVs e infectar los ordenadores, llevando a cabo todo tipo de tropelías, pero también pueden ser utilizados, entre otros casos, en el contexto de una auditoría de seguridad.
¿Quién no se ha encontrado con detecciones de AVs en el transcurso de una auditoría usando Metasploit u otras herramientas? Especialmente en aquellos casos en los que se 'dropean' (vuelcan) binarios al disco. De hecho, metasploit cuenta con una gran variedad de técnicas de ofuscación cuyo objetivo es hacer indetectable el binario a los programas AV. Las técnicas o herramientas que ofrece Metasploit Community para llevar a cabo las tareas de indectección son básicamente:
- Utilizar plantillas de programas ejecutables conocidos (Calculadora de Windows, Notepad, etc.)
- Codificar mediante múltiples 'pasadas' del algoritmo que más nos guste el código del archivo ejecutable, todo ello a través la herramienta msfencode.
Estas técnicas son muy efectivas con algunos AVs pero sobre otros no tienen ningún efecto. Por lo tanto, pueden servir en ciertos escenarios pero desde luego no sirven para evitar la detección de todos, o la mayor parte de los AVs. En la versión Metasploit Pro se proporcionan además binarios firmados que aumentan el nivel de 'indetección'.
En la imagen puede verse un ejemplo de uso de msfencode combinado conmsfpayload para tratar de evadir la detección por parte de los AVs del payload shell_reverse_tcp, en el que se utilizan 10 pases de la codificación shikata_ga_nai, la plantilla del ejecutable calc.exe y como resultado se genera el archivo outputfile.exe.
En definitiva, si queremos asegurarnos de volver 'indetectable' un determinado binario que es detectado por multiples AVs, necesitamos un 'crypter' indetectado o FUD (Full UnDetectable).
Cryters vs. packers
Hay que puntualizar que en algunos entornos se habla indistintamente de 'crypters' y 'packers', pero en realidad son cosas distintas. El objetivo de un packer es 'empaquetar' o 'comprimir' el archivo ejecutable. Sería como usar un ZIP pero sin perder la estructura de un archivo ejecutable PE (Portable Executable). El objetivo del 'crypter' es 'cifrar' el ejecutable. Sería como usar PGP o TrueCrypt, pero sin perder la estructura PE.
Programas AntiVirus
En lo que sigue vamos a centrarnos en el explicar qué son y cómo funcionan los 'crypters', pero antes debemos entender de forma básica cómo funcionan los AVs. Éstos, son cada vez más sofisticados y utilizan todo tipo de técnicas para identificar el malware, entre estas técnicas destacan dos: las firmas binarias y las firmasheurísticas.
Las primeras buscan secuencias de bits características del malware previamente identificado. Es decir, buscan secuencias de bits, a modo de patrón, de aquel malware que haya pasado por el laboratorio de la empresa de AVs. Es decir, que en algún momento del tiempo, en la empresa de AV han recibido una muestra del malware para analizarlo y una vez identificado como malicioso han fijado o definido un patrón característico que constituye la firma binaria del mismo. En definitiva, un malware totalmente nuevo, recién 'codeado', difícilmente será detectado por este tipo de firmas. Para poder anticiparse y detectar malware que no haya sido analizado previamente, existen las denominadas firmas heurísticas. Básicamente lo que hacen es detectar elementos que típicamente forman parte de los programas maliciosos, como el uso de determinadas funciones, algoritmos de cifrado, etc. Mediante estás técnicas, es posible detectar de forma anticipada malware 'nuevo', pero, además de ser más compleja su implementación y consumir más recursos del sistema que las firmas convencionales, también implican un mayor nivel de riesgo debido a la detección de falsos positivos.
Análisis o escaneo en disco
Las tareas de análisis o escaneo de los archivos binarios son realizadas por los AVs a nivel de disco, no en la memoria RAM. Cuando un AV nos indica que está escaneando la memoria, lo que está haciendo realmente es buscar el binario en disco que arrancó un determinado proceso que en ese momento está ejecutándose en la memoria RAM y una vez ha localizado el mismo, escanea dicho binario (en el disco) en busca de firmas de malware. Así es como funcionan los AVs, escanean los archivos en el disco y los 'crypters' basan su existencia en este principio básico.
En próximas entregas veremos cómo funcionan y cómo se crean los 'crypters' indetectables (FUD).
Artículo cortesía de Abraham Pasamar.
No hay comentarios:
Publicar un comentario