Esta mañana leía en System Exposed esta entrada sobre evasión de antivirus de ejecutables basada en firma digital.
Como "mente inquieta" que soy, tenía que probar esta técnica y testearlo en Virus Total como había leído en el citado post.
Como "mente inquieta" que soy, tenía que probar esta técnica y testearlo en Virus Total como había leído en el citado post.
Así, igualmente hice las pruebas con el troyano educativo Flu, analizándolo sin ningún tipo de modificación:
Como vemos en la imagen, el troyano es detectado por 36 de 55 motores antivirus.
Siguiendo con las pruebas, procedemos a firmarlo con OpenSSL Sign Code:
Y lo analizamos de nuevo:
Esta vez lo detectan 27 antivirus, todavía es un número grande.
Tirando de recursos, lo pasé por msfencode de Metasploit para ver si podía reducir la detección de antivirus:
Y lo volví a analizar:
36 detecciones... hemos subido el número en vez de reducirlo.
De repente me acordé que una de las técnicas para "camuflar" archivos ejecutables a los ojos de los motores antivirus era utilizar el famoso packer Themida.
De modo que descargué la versión demo, dejé todos los parámetros por defecto y le pasé el ejecutable firmado y encodeado:
Vamos a ver qué pasa esta vez...
Tan sólo 4 detecciones, y lo mejor es que ha pasado desapercibido ante los antivirus más prestigiosos, a excepción de ESET-NOD32.
Pero no me quedé ahí y seguí haciendo pruebas. Ya que el ejecutable que dió menos detecciones antes de pasarle por Themida fue el original firmado (sin encodear), vamos a ver si éste daría menos detecciones aún:
Hemos conseguido bajar a 3 detecciones. Nos hemos librado de ESET-NOD32, pero a cambio nos ha detectado AntiVir (Avira).
En conclusión, podemos evitar que la mayor parte de los antivirus nos chafen nuestro ataque. Para estos antivirus que sí lo detectan habría que hacer una parte de investigación sobre la víctima, averiguar qué antivirus tiene instalado y conseguir que éste no detecte nuestro troyano, y otra parte de ingeniería social para conseguir que la víctima lo ejecute.
Esto que hemos hecho es solamente la concatenación de una serie de técnicas, no hemos inventado ni desarrollado nada, sólo hemos aplicado unas ciertas técnicas que otra gente ha desarrollado previamente, a quienes se debe el reconocimiento.
--EOF--
--EOF--
