Ekoparty es el evento anual de seguridad informática que, por sus características únicas y su particular estilo, se ha convertido en un referente para toda Latinoamérica.

Permite a consultores, oficiales de seguridad, investigadores, programadores, técnicos, administradores de sistemas, nerds, curiosos y entusiastas de la tecnología, reunirse y disfrutar de los descubrimientos más importantes en el ámbito de la seguridad informática.

27, 28 y 29 de septiembre, Centro Cultural Konex, Buenos Aires, Argentina.

16 ago. 2017

MMG (Malicious Macro Generator), permite crear Macros dañinas

Mr.Un1k0d3r del RingZer0 Team nos trae MMG (Malicious Macro Generator) una sencilla pero útil herramienta en Python diseñada para generar macros ofuscadas que también incluyen un mecanismo de escape de AV/Sandboxes. Las técnicas de evasión que implementa actualmente son:
  • Comprobación de dominio: la macro chequea la variable de entorno USERDOMAIN y compara el valor con uno predefinido. Si coinciden el payload se ejecuta.
  • Comprobación de disco: la macro comprueba el espacio total en disco total. Las máquinas virtuales y las máquinas para pruebas utilizan discos pequeños la mayoría del tiempo.
  • Comprobación de memoria: la macro revisa el tamaño de memoria total. Las VMs y las máquinas para pruebas utilizan menos recursos.
  • Comprobación del tiempo de actividad: la macro está supervisando el tiempo de actividad del sistema. Los sandboxes devolverán un tiempo de actividad corto.
  • Comprobación de procesos: la macro comprueba si se está ejecutando un proceso específico (ejemplo outlook.exe)
  • Ofuscación: el script python también generará código ofuscado para evitar la detección heurística
Requiere sólo Python 2.7 y su uso es bastante sencillo. Sólo tenemos que indicar el fichero de configuración en formato JSON y el nombre de la macro.

Contenido completo en fuente original HackPlayers

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!