Codigo Abstracto

CODIGO ABSTRACTO

Antivirus, PE, backdoor y otras cosas (segunda parte)

En la primera parte de este artículo revisé cómo es posible modificar la estructura y el flujo de un programa con el fin decolocar en él código malicioso que permita a un atacante tomar control del sistema donde se ejecuta dicho programa. En esta segunda parte trataré de explicar algunas de las técnicas que se usan paralograr evadir las restricciones de seguridad de los antivirus.

La mayoría de los antivirus trabajan en dos formas:

* Detección por firmas: existe una base de datos que contiene firmas o fragmentosde código malicioso; cuando un usuario abre un programa, el antivirus valida que no exista una firma asociada a parte del contenido del programa, en caso contrario se genera una alerta.

*Detección heurística: cuando no se cuenta con una firma para un código malicioso, el antivirus puede detectar patrones de comportamiento que relaciona con alguna de las firmas existentes y por lo tantoasume que representa una amenaza.

Si se entienden las dos maneras en que trabajan los antivirus, podremos alterar el flujo o datos de los programas con el fin de evitar que sean detectados. Paraexplicar cómo hacerlo continuaré trabajando con el archivo nc4.exe que ya fue modificado:

* A la sección que se creó “.Nueva”, le daré el atributo de writepara permitir su modificación en memoria ytiempo de ejecución.

* Buscaré espacio libre en el archivo para colocar un codificador.

* Crearé un codificador simple XOR para nuestro shellcode.

* Codificaré el shellcode.

Empecemosentonces agregando el atributo de write a la sección .Nueva desde LordPE:

.

Ahora que ya es posible modificar en tiempo de ejecución el programa, se debe identificar el segmento de memoria de inicio yfin en los cuales se encuentran las instrucciones que se van a codificar, esto es, el primer JMP que agregamos y la última instrucción que regresa al flujo original el programa:

...