Aryenal.bt Posted March 17, 2015 Share Posted March 17, 2015 Los crypters es algo de lo que hablan mucho los newbies y scriptkiddies cuando descubren el malware (por no decir todos). El 100% de los crypters en foros hispanos y públicos funcionan de la misma manera. Generalmente se utilizan las siguientes APIs: CreateProcess, NtUnmapViewOfSection, WriteProcessMemory, SetThreadContext, ResumeThread, NtMapViewOfSection. Lo que va a hacer ese stub es crear un proceso, supongamos notepad.exe y luego se va a reemplazar el código mapeado en memoria de notepad.exe por el código del archivo “cifrado” y va a ejecutar un hilo que apunta al inicio del mismo. Todos los que están interesados en malware deberían saber que un antivirus se compone por varios motores para detectar malware, es decir un motor de detección por firmas, un motor de detección heurística, un emulador, etc. Cuando alguien “programa” o “modifica” un “crypter FUD (full undetected)” lo corrobora subiendo orgulloso un troyano “cifrado” a una pagina como virus total. 0/64 detecciones. WOW, SO MUCH UNDETECTED, SO MUCH FUD Siendo algo tan “indetectable”, por que digo que no sirve? Hay mucha confusión con respecto a este tema, ya que mucha gente se llena la boca escribiendo tutoriales de cosas de las que no tiene idea como funciona, pero como el método aplicado da algunos resultados, suponen que el método es realmente efectivo, pero no están en lo cierto. Este método tan básico se viene usando hace muchos años y es algo que esta súper manejado por la industria antivirus (hablando de crypters genericos. Realmente hay cosas complejas, pero nada es gratis). Pero si virus total dice 0/64, por que no funciona? Básicamente, cuando subimos un archivo a virus total o escaneamos un archivo, se aplica principalmente el análisis basado en firmas, heurística. No estoy seguro de que se emplee la emulación en scanners online ya que consume bastantes recursos. Pero en la vida real estamos frente a cosas mas complejas, como la detección por comportamiento, escanear la memoria operativa, etc. Básicamente cuando se ejecuta el stub, no importa si estas usando un cifrado xor, rc4 o AES 256, ya que el antivirus no va a decifrar el ejecutable. El antivirus no es tan tonto como el que programa un crypter. Básicamente lo que hace es interceptar hookeando algunas de las APIs que mencione anteriormente desde ring0, es decir que no hay manera de corregir los hooks desde usermode (ring3). Un ejemplo es la api WriteProcessMemory. El antivirus hookeando esta api va a obtener todo lo que escribe en memoria, es decir, el archivo totalmente decifrado. Asi que si te esmeraste aplicando algoritmos criptograficos fuertes lamento decirte que perdiste tu tiempo. No importa si llamas a WriteProcessMemory de manera estática, dinámica, con CallWindowProc, con un sysenter o algún truco sucio. Si sabes lo que estas haciendo sabes que WriteProcessMemory llama a NtWriteProcessMemory el cual llama a KiFastSystemCall que hace un sysenter, entra a ring0, llama NtWriteProcessMemory en kernel mode y ahi sucede la magia. El antivirus sabe que vas a escribir en la memoria y levanta una bandera ya que es algo altamente sospechoso. Otro método de detección es el análisis de la memoria operativa. El malware desencriptado esta en memoria como si nunca hubiera tocado un crypter. El antivirus lo encuentra igual de fácil. “Yo uso un metodo privado... RunPE Shellcode... Bla Bla”} Si sos de los que dice eso, realmente te aconsejo que te dediques a otra cosa. Es el mismo RunPE. Te mintieron. Agarra ollydbg y fijate. Otra cosa que veo en los foros hispanos es mucha gente “dedicándose” a la venta de crypters la cual no tiene demasiados conocimientos de informática, pero como leyó un par de papers puede indetectar alguna que otra herramienta y los venden caro, cuando ilegalmente hablando estas herramientas son vendidas por descarte a menos de U$D 5. Si no me crees lo que te digo, agarra un antivirus y pruebalo por tu cuenta. Puede que los antivirus gratis solamente te dejen usar el método de firmas, pero por ejemplo NOD32, Kaspersky, BitDefender lo van a detectar. Hace la prueba. Autor: OnTheCore fuente: This is the hidden content, please Sign In or Sign Up Link to comment Share on other sites More sharing options...
0b3y Posted March 17, 2015 Share Posted March 17, 2015 Re: que opinan sobre esto: Los crypters genericos ya se extinguieron Los antivirus cada vez nos lo pondrán mas difícil para evadirlos, pero como siempre encontraremos alguna forma de evitarlo no te preocupes ;P Link to comment Share on other sites More sharing options...
CrypterHacker Posted March 17, 2015 Share Posted March 17, 2015 Re: que opinan sobre esto: Los crypters genericos ya se extinguieron hoy en día, no estás tan facil como antes, pero con tiempo de entrenamiento,se volver las tecnicas de volver todo más facil desarrollar nuevos metodos todo es sólo una question de tiempos y dedicacion y quieren o no siempre vamos hacer crypter con buenos resultados..para los novatos, haga un crypter y él mismo quema o otro, déspues para hacer otro para él es dificil, pero quien levar tiempo en el rumo del modding se torna muy facil,hacerlo nuevamente good: Link to comment Share on other sites More sharing options...
THE HERO Posted March 18, 2015 Share Posted March 18, 2015 Re: que opinan sobre esto: Los crypters genericos ya se extinguieron Esque el crypter basicamente se utiliza para "camular" el malware. Solamente te has encargado del tema de las firmas e inclusive la heuristica con el. Ahora el detalle es el como actua tu malware (proactiva), estara FUD y lo que quieras, pero asi de lo unico que te servira es para que el av no te lo borre del ordenar xP No confundamos los terminos: Modder - Coder/programador Tu punto de vista a sido desde el de un programador, quien sabe como se compone la estructura de un cripter y tal, su funcionamiento, todo. Simple y sencillamente si un programador quiere acceder remotamente a un ordenador no se anda perdiendo el tiempo codeando algun runPE (que ya es algo decir) y ni mejorando el codigo de alguna manera para evadir a determinado av. Un programador se anda con cosas, serias! (lo que sea que se le ocurra, lo puede hacer) Ahora yo como modder (exmodder en realidad): Bueno, para no hacerte el cuento tan largo, lo nuestro es por "arte" quieran o no llamarlo asi, por que no cualquiera se toma el tiempo y/o tiene la suficiente paciencia para modificar un codigo o el compilado (desde el codigo binario) durante horas, y horas (y no, no exagero!) Ademas, creo que todos sabemos que este "juegito del gato y el raton" es lo que mantiene en el mercado a los antivirus. Al final de todo, te puede servir de algo o de nada. Pero eso ya no depende de nosotros. Y ya para dar como concluido mi punto de vista. Pienso que el tema modding nunca deveria desaparecer del mundo "hacker" (soy enemigo de usar ese termino por que cualquier niño de 7 años que entra a la cuenta de su hermana que dejo el face abierto, ya se hace llamar "hacker" xD) por que es lo mas se relaciona con este, pase el tiempo que pase. Esta en el ADN y es lo que nuestros antepasados llegaron a usar. :cheesy: Link to comment Share on other sites More sharing options...
you2004975 Posted March 18, 2015 Share Posted March 18, 2015 Re: que opinan sobre esto: Los crypters genericos ya se extinguieron I'll say : do not rely on Rat, because its old fashioned, so when use it you will always fight with fucking detections, you turn into a closed circle (FUD for long time is a dream). Av's become more intelligent Link to comment Share on other sites More sharing options...
.webp.8407a83ac96563f75e1c428a1f0d4c3e.webp)
.webp.9a04cec050a656fab081ac190f971c3f.webp)
Hack Tools Resurrection
Recommended Posts