Blog

Mi primer troyano indetectable — Parte 3

Pues en esta tercera parte vamos a hablar de como hacer indetectable nuestro troyano. Por que como os imaginareis cuando la victima abra el ejecutable o lo detecte el antivirus este pitará. Quien no lo detecta es el firewall de windows,  ya que la conexión la realiza la víctima hacia el ordenador del atacante, entonces al ser una conexión saliente el firewall no detectará nada.

Vamos a subir nuestro ejecutable malicioso a www.virustotal.com para ver por cuantos antivirus es detectado.

Captura de pantalla de 2013-04-16 21:16:58

Captura de pantalla de 2013-04-16 21:17:16

 

Podemos ver en las imagenes que es detectado por 41 de 45 antivirus por los que ha sido analizado, es decir, que con una victima con antivirus en su pc parece muy complicado que no lo detecte.

Para esto existen los crypters, que es un programa que cifra un ejecutable para no ser detectado por los antivirus. La utilización de esto es un poco más compleja de lo que parece así que lo dejaremos para un post posterior. Hoy vamos a hablar de los packers que son algo parecido. Son programa que se encargan también de cifrar ejecutables con la finalidad de que no se les pudeda hacer ingeniería inversa y obtener su código. Esto lo utilizan lo utilizan las empresas de desarrollo de software para que no puedan ver el codigo fuente de sus programas y así no se los copien.

Para la prueba de concepto de hoy vamos a utilizar el packer Themida (http://www.oreans.com/es/downloads.php). Si el ejecutable es de 32 bits debereis de usar el Themida de 32 y si es de 64 el ejecutable pues el Themida de 64 bits. En este video viene explicado como pasar nuestro ejecutable por Themida para disminuir la detección de los antivirus.

El unico cambio con respecto al video es que en “Protection Options” donde dice que hay que deshabilitar, pues la casilla VMWare/Virtual Pc la dejamas seleccionada para que sea compatible con maquinas virtuales.

Una vez tenamos el ejecutable final lo subiremos a Virtus Total a ver por cuantos antivirus es detectado ahora.

Captura de pantalla de 2013-04-16 21:37:45 Captura de pantalla de 2013-04-16 21:38:51

Como podemos hemos conseguido que ya solo sea detectado el malware por la mitad de las casas de antivirus por lo que era detectado al principio.

Ahora programa que funciona exactamente igual, el incoveniente que al ser la versión gratuita del packer la que hemos utilizado cuando ejecutamos nuestro troyano aparece una ventana de publicidad del propio programa empaquetador que tendremos que pinchar sobre ella para que desaparezca y se ejecute.

Captura de pantalla de 2013-04-16 21:35:56

Con esto finaliza una introducción nivel muy básica de lo que son los troyanos indetectables. Espero que os haya gustado.

 

roberto@highsec.es

 

  1. Alex Castillo
    Alex Castillo05-23-2013

    Hola Roberto,

    En todo esto del troyano veo dos problemas básicos:

    1) El ejecutable tiene que ejecutarlo, valga la redundancia, la víctima. Esto no es un poco WTF? Cuáles son las maneras de que se ejecute solo?
    2) Si no estamos en la misma red local, cual es la IP que se debe poner desde el atacado al atacante? Porque claro, no vale la mítica 192.168.1.*. Estamos conectados a internet a través de un NAT y no es lo mismo.

    Gracias!!

    • Roberto
      Roberto05-23-2013

      1) Para que lo ejecute la victima tienes meterlo dentro de un PDF y que la victima no tenga la ultima versión de adobe, es decir, que tenga una que sea vulnerable. Otra opción sería juntar el .exe junto con otro .exe (es muy tipico juntarlo con las herramientas que generan claves para juegos o software piratas, la mayoría de estas herramientas llevan software malicioso). Alguna forma mas compelja es que la victima ejecute algun tipo de codigo que haga que se descargue el malware. Solo tienes que dejar volar la imaginación! En futuros posts haremos estas pruebas de concepto.

      2) Pues tiense que utilizar un servicio como dyn dns (http://dyn.com/dns/) o no-ip (http://www.noip.com/) que lo que hacen es que te proporcionan una direccion fija para tu ip dinamica de tu casa. También escribiremos sobre esto en futuros post, cuando terminemos los examenes sin falta tendrás tu post sobre esto!

      Espero haberte aclarado las dudas!

      • Alex Castillo
        Alex Castillo05-28-2013

        Cristalino! Gracias y seguir así, cuando acabe yo también exámenes estaré más activo 🙂

Leave a Reply

*

    No Twitter Messages