sábado, 19 de diciembre de 2020

20 Técnicas de ofuscación usadas en código .NET

 


 
1.- • Cifrado de cadenas (codificar cadenas en el programa).
 
2.- • Descifrado en línea (descifra las cadenas cifradas.
 
3.- • Control de flujo (modificando los métodos dentro del código para que los descompiladores no puedan descompilar los métodos).
 
4.- • Confusión de enteros (esta opción agregará cálculos dentro de todos los enteros).
 
5.- • Cálculos matemáticos (esto agrega aritmética dentro de todas las constantes).
 
6.- • Campos constantes (convierte todas las constantes en los campos con nombres seleccionados al azar).
 
7.- • Campos locales (convierte todos los locales en campos con nombres seleccionados al azar).
 
8.- • Calli Conversion (convierte todas las llamadas y cálculos en cálculos de calli, lo cual hace que sea más difícil identificar fácilmente qué está haciendo la función.
 
9.- • Cadenas de proxy (oculta las referencias de cadenas a las que se hizo referencia a un tipo, método o campo).
 
10.- • Constantes de proxy (oculta las referencias constantes a las que se hizo referencia a un tipo, método o campo).
 
11.- • Métodos proxy (oculta las referencias a las que se hizo referencia a un tipo, método o campo).
 
12.- • Campos de índice (tipos de índices / métodos / campos).
 
13.- • Conversión de flujo (descompiladores de flujo).
 
14.- • Anti-Debug (evita que el ensamblado sea depurado o perfilado).
 
15.- • Anti-Dump (evita que el conjunto se descargue de la memoria).
 
16.- • Anti-Tamper (asegura la integridad de la aplicación).
 
17.- • Anti-Decompile (evita que los descompiladores funcionen).
 
18.- • Metadatos no válidos (agrega metadatos no válidos a los módulos para evitar que los desensambladores / descompiladores abran la aplicación).
 
19.- • Conversión de pila stack (agrega un fragmento de código delante de todos los métodos y los convierte en una pila).
 
20.- • Conversión de recursos (convierte todos los recursos de la aplicación en campos).
 
Estas son algunas de las técncias que se pueden usar en combinación para hacer mas dificil el crackeo de programas .net con ofuscación de código
en No hay comentarios:

lunes, 26 de octubre de 2020

 

 
 
 

De4dot.BIN installer - Malware aNALYSIS
***************************************
Descripción
**************
de4dot es un desofuscador y desempaquetador .NET de código abierto (GPLv3) escrito en C #. Hará todo lo posible para restaurar un ensamblado empaquetado y ofuscado a casi el ensamblaje original. La mayor parte de la ofuscación se puede restaurar por completo (por ejemplo, cifrado de cadenas), pero el cambio de nombre de símbolo es imposible de restaurar ya que los nombres originales no son (generalmente) parte del ensamblado ofuscado.

Como podemos ver es una súper utilería hecha para desofuscar muchísimos tipos de ofuscaciones en los ejecutables pero los creadores no ofrecen ningún soporte.


MALO MALO porque te piden que lo compiles y de ahí a la veía de dios su uso..


COMO DI CON EL EJECUTABLE INSTALADOR CON MALWARE
*******************
 

Buscando si alguien ya lo había compilado vi en una página donde ponen a disposición este tipo de utilerías para la ingeniería reversa (inversa) encontré esa versión ya compilada y me dije pues la bajo y así la uso.


PERO........MEJOR LO ANALICE Y MIREN LO QUE ENCONTRÉ.


Tipo de INfección insertada al ejecutarse
*********************
 
-- Low-level read access rights to disk partition
-- svchost.exe Conexión IP a servidor en Netherlands

Que es un país ubicado principalmente en el noroeste de Europa. Limita al sur con Bélgica y al este con Alemania, teniendo costas sobre el mar del Norte que lo separa del Reino Unido.


PETICIONES DNS
**********************
3 Peticiones DNS

-- 128.127.xxx.xx
-- 131.107.xxx.xx
-- DNs DOnde se hace la petición pero el puerto ya fue cerrado.
 
 
 
 
 
También encontré que maneja una conexión extra oculta y ofuscada para evitar su detección facilmente a este sitio.
 
 
192.168.100.232: 57080 -> 192.168.100.2: 53


ANALIZANDO EL .BIN EN FORMATO REVERSO
***********************************

Ahora toca el turno de analizar el ejecutable en su formato reverso para ver cómo esta constituido por dentro y analizar sus signaturas del archivo para verificar también que es lo que dice ser o no.

para eso use mi utilería que acabo de actualizar llamada
 
Rhino Forensic & Reverse Toolkit 1.9




 Esta fue creada en el año 2017 pero en este 2020 la actualize y mejoré y estamos en la version 1.9 2020

 

Una vez instalada contaremos con un FRAMEWORK PARA WINDOWS con el cual tendremos todo lo referente  a utilerías necesarias para una forensia de malware sin necesidad de instalar o descargar una LIVE O ISO

ANALIZANDO EL EJECUTABLE
*************************

Abriendolo con el  open soruce Disassembler 
 
 
 
desensamblandolo
 

Podemos darnos cuenta en este desensamblado que no cuenta con STRINGS Pero SI CUENTA CON UN SEGMENTO que por lo visto me dice que esta comprimido con UPX1

 
Para esto podemos ver también que cuenta    10 funciones importadas con las cuales lleva sus procesos de ataque y que menconaré aqui todas su significado.



LISTADO Y DESCRIPCION DE LAS FUNCIONES IMPORTADAS USADAS EN EL MALWARE.

****************************

 

Esta función pertenece a Windows y sirve para crear una subclave en 

HKEY_USERS o HKEY_LOCAL_MACHINE y carga los datos de un registro especificado en esa subclave.

y así podrán ustedes buscar en internet todas las descripciones de cada, eso se los dejo  a ustedes jejejejejejjee..

 

 ANALIZANDO EL PORTABLE EJECUTABLE SI ES VERDAD QUE TIENE EL UPX CON OTRA TOOL

*************************+

Según el desensamblador me dice que esta comprimido con UPX verifiquémoslo con el 



verifiquemoslo con el RDG PACKER DETECTOR que es de un amigo

 y me dice:

 

 

OK si esta comprimido con UPX y que está hecho con Borland Delphi. mmmm eso lo verificaremos cuando lo desempaque.

 

DESEMPACADO DE EL MALWARE.

**************************

Ok procederemos a desempacarlo primeramente con el upx original y veremos si nos da resultado


Una vez hecho el proceso podemos darnos cuenta que son novatos a la hora de proteger sus cucarachas de malware ya que no en eso el ponen empeño y vemos que de 1.5 mb pudimos obtener un archivo de 4.6 mb.

Nada mal para el análisis. 

Ahora si podemos abrirlo pero en otro desensamblador que es de la old school y podemos ver ahora si a detalle las funciones importadas y que módulos importa de cada función.



CREO QUE AHI LA LLEVAMOS EN EL ANALISIS  CONTINUEMOS AHORA CON LA APERTURA EN UN EDITOR HEXADECIMAL Y VEAMOS QUE NOS MUESTRA PARA ESO VAMOS AL RHINO FORENSIC AND REVERSE TOOLKIT  y abrimos en el editor hexadecimal el BIN.

**********************

Nota: ya saben ustedes pueden usar el editor hexadecimal de su preferencia yo ahorita use el WINHEX.

Podemos darnos cuenta que está hecho en 32 bits y con la siguiente imagen podemos ver que está hecho nativamente en 



AHORA VOLVAMOS A DARLE UNA DESEMSABLADA PARA VERIFICAR QUE MAS TRAE Y.......

Recuerdan que con el rdasm no mostraba Strings, bueno una vez descomprimido del upx podemos ver que el w32dasm nos muestra muchos strings que nos dicen cómo funciona el malware.


bueno creo que hasta aquí lo dejaré y próximo manual pondré como encontré las ips y todo eso.

 

SALUDOS   PROFESOR X 2020













 

 

 

 

 

 









en No hay comentarios:
Suscribirse a: Entradas (Atom)

Reportan caída de Facebook e Instagram a nivel mundial

  Reportan caída de Facebook e Instagram a nivel mundial Las sesiones de lo usuarios caducaron y al intentar acceder no pudieron volver a in...