Morphing de Superman
Cuando vas a al límite es cuando se pueden producir errores, el exceso de trabajo hace que no puedas dedicar todo el tiempo del mundo en el repaso de los detallitos. Esto en las compañías antivirus/antimalware es un serio problema.
Cuando se recibe una muestra hay que analizarla y escoger una firma. La firma debe ser lo suficientemente bien elegida para que identifique de forma unívoca al malware y que además no sea fácilmente saltable. Por eso se pueden mirar desde varias partes del archivo, el análisis empaquetado o desempaquetado en máquinas virtuales, etc… Existen técnicas muy avanzadas en la detección de amenazas. El problema se produce cuando tienes más de 10.000 muestras de malware por día.
Si eliges una mala firma puede pasarte como le sucedió a McAfee que con una mala firma tuvo 7 páginas de falsos positivos e incluso firmo como virus el Excel. Éste no fue el primero ni el último caso y le ha pasado ya entre otros a Symantec, OneCare, Trend Micro, etc…
En virustotal reciben entre 15.000 y 20.000 muestras diarias lo que deja claro el volumen de estrés laboral que deben llevar las compañías para firmar las muestras.Las técnicas de evasión de las firmas de los antivirus suelen ser variadas. Desde el uso de ofuscadores de código como el Yoda Protector o las técnicas de morphing como el morphine, pasando por la siempre funcional de modificar el código en ensamblador o el código fuente, cambiando de orden instrucciones, metiendo instrucciones inútiles, etc.. hasta saltarse la firma.
Pero cuando la compañía de antivirus tiene mucho estrés y no puede analizar la muestra en profundidad busca una solución rápida y que garantice ningun (o prácticamente ningún si contamos con las colisiones)falso positivo. Y lo más rápido es firmarlo usando el hash del archivo. Claro, esto implica que con cambiar cualquier bit del fichero cambiamos el hash y ya no lo reconocería. Hagamos una prueba con el Patch (cliente de netbus 1.70). Este es un troyano de cuando estrenaban el coche fantástico. Lo subimos a VirusTotal y vemos quien lo detecta:
Resultados VirusTotal de Patch.exe
En los resultados se ve el hash del archivo y vemos que todos, menos 1, lo detectan como Virus. El que no lo detecte Sunbelt a lo mejor es porque tiene una política de borrado de firmas antiguas, pero vamos, que con lo divertido que es el Netbus debería tenerlo firmadito. Si miramos el código en hexádecimal vemos que tiene un mensaje de error en ASCII:
Vista Hexádecimal de Patch.exe
Vale, pues le cambiamos el mensaje y le ponemos este otro y lo guardamos como patch2.exe y lo subimos a Virustotal y vemos que se un par de motores que “lo conocían” ya no le conocen:
Vista Hexádecimal de Patch2.exe
Resultados VirusTotal de Patch2.exe
Esta técnica Sergio "pajarraco" de los Santos la bautizó como:
“Morphing de Superman, que cambia el caracolillo por unas gafas y un sombrero y ya no le conoce nadie“
Superman & Clark Kent
En el caso del patch solo había 2 motores que lo tenían firmados por hash, pero… ¿y las firmas de malware más moderno? Si lo hacemos con un exploit del año 2004, vemos que lo detectan todos menos 8. Los que no los detectan lo harán simplemente porque en su política no estará detectar hacking tools:
Resultados VirusTotal de epxloit lsass
Si le hacemos un “Morphing de Superman” vemos que ahora son 17 los motores que no lo detectan, es decir, 9 motores utilizaban hash para firmar esta herramienta.
Resultados VirusTotal de exploit lsass_superman
Por último, he pensado hacerlo con el hackerdefender, un rootkit de los más famosos, la versión 1.0. Primero lo detectan todos:
Resultados VirusTotal de hackerdefender100.exe
Con el “Morphing de Superman” hay tres que ya no lo detectan.
Resultados VirusTotal de hackerdefender100_superman.exe
Esto sólo es una curiosidad dentro de las técnicas de evasión de antivirus que utilizan los productores de malware hoy en día, por lo que queda de manifiesto que contar con el antivirus sigue siendo algo necesario, pero no suficiente.
Fuente:
http://elladodelmal.blogspot.com/2007/05/morphing-de-superman.html
Cuando se recibe una muestra hay que analizarla y escoger una firma. La firma debe ser lo suficientemente bien elegida para que identifique de forma unívoca al malware y que además no sea fácilmente saltable. Por eso se pueden mirar desde varias partes del archivo, el análisis empaquetado o desempaquetado en máquinas virtuales, etc… Existen técnicas muy avanzadas en la detección de amenazas. El problema se produce cuando tienes más de 10.000 muestras de malware por día.
Si eliges una mala firma puede pasarte como le sucedió a McAfee que con una mala firma tuvo 7 páginas de falsos positivos e incluso firmo como virus el Excel. Éste no fue el primero ni el último caso y le ha pasado ya entre otros a Symantec, OneCare, Trend Micro, etc…
En virustotal reciben entre 15.000 y 20.000 muestras diarias lo que deja claro el volumen de estrés laboral que deben llevar las compañías para firmar las muestras.Las técnicas de evasión de las firmas de los antivirus suelen ser variadas. Desde el uso de ofuscadores de código como el Yoda Protector o las técnicas de morphing como el morphine, pasando por la siempre funcional de modificar el código en ensamblador o el código fuente, cambiando de orden instrucciones, metiendo instrucciones inútiles, etc.. hasta saltarse la firma.
Pero cuando la compañía de antivirus tiene mucho estrés y no puede analizar la muestra en profundidad busca una solución rápida y que garantice ningun (o prácticamente ningún si contamos con las colisiones)falso positivo. Y lo más rápido es firmarlo usando el hash del archivo. Claro, esto implica que con cambiar cualquier bit del fichero cambiamos el hash y ya no lo reconocería. Hagamos una prueba con el Patch (cliente de netbus 1.70). Este es un troyano de cuando estrenaban el coche fantástico. Lo subimos a VirusTotal y vemos quien lo detecta:
En los resultados se ve el hash del archivo y vemos que todos, menos 1, lo detectan como Virus. El que no lo detecte Sunbelt a lo mejor es porque tiene una política de borrado de firmas antiguas, pero vamos, que con lo divertido que es el Netbus debería tenerlo firmadito. Si miramos el código en hexádecimal vemos que tiene un mensaje de error en ASCII:
Vale, pues le cambiamos el mensaje y le ponemos este otro y lo guardamos como patch2.exe y lo subimos a Virustotal y vemos que se un par de motores que “lo conocían” ya no le conocen:
Esta técnica Sergio "pajarraco" de los Santos la bautizó como:
“Morphing de Superman, que cambia el caracolillo por unas gafas y un sombrero y ya no le conoce nadie“
En el caso del patch solo había 2 motores que lo tenían firmados por hash, pero… ¿y las firmas de malware más moderno? Si lo hacemos con un exploit del año 2004, vemos que lo detectan todos menos 8. Los que no los detectan lo harán simplemente porque en su política no estará detectar hacking tools:
Si le hacemos un “Morphing de Superman” vemos que ahora son 17 los motores que no lo detectan, es decir, 9 motores utilizaban hash para firmar esta herramienta.
Por último, he pensado hacerlo con el hackerdefender, un rootkit de los más famosos, la versión 1.0. Primero lo detectan todos:
Con el “Morphing de Superman” hay tres que ya no lo detectan.
Esto sólo es una curiosidad dentro de las técnicas de evasión de antivirus que utilizan los productores de malware hoy en día, por lo que queda de manifiesto que contar con el antivirus sigue siendo algo necesario, pero no suficiente.
Fuente:
http://elladodelmal.blogspot.com/2007/05/morphing-de-superman.html
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!