Como dice el titulo del post, hoy traigo un método para evitar la ejecución de la mayoría de Malware actual. He decidido llamar a esta técnica AntiFooling debido a que básicamente, lo que hacemos es engañar al Malware para que detecte que está en un entorno de análisis (En el PoC concretamente simulamos ser un sistema virtualizado con VirtualBox o VMWare), de este modo el Malware detendrá su ejecución para prevenir ser ejecutado en un entorno hostil.

Sin mas dilación aquí os dejo la PoC y algo de información.

Imagen de la Interfaz:
Imagen


Funciones Añadidas:
-Emular VirtualBox
-Emular VMWare
-Iniciar con el Sistema

Para ello la aplicación hace de uso de los siguientes 'Artefactos':

Mostrar/Ocultar

Descarga:
-Compilados x64 & x86: [Enlace externo eliminado para invitados]
-Source Code (AutoIt): [Enlace externo eliminado para invitados]

Agradecimientos:
-Blau (Por pensar el mejor nombre :-*)

Documentación:
-[Enlace externo eliminado para invitados]
-[Enlace externo eliminado para invitados]

PD: En esta ocasión como podeis ver solo hacemos uso de las tecnicas Anti-Virtualización del Malware, pero también se le puede hacer creer que esta siendo Debugeado o Emulado para prevenir su ejecución en equipos legitimos.

PD2: Espero que les sea util a todos, esta pensado para dejarlo siempre ejecutado, de manera que no consume apenas recuros y puede evitarnos mas de un disgusto sin causar falsos positivos (A la shit el AV).

//Regards.
Ikarus: Backdoor.VBS.SafeLoader
Agnitum: Trojan.VBS.Safebot.A
http://indeseables.github.io/
Gracias a todos por vuestros comentarios, espero que sea util. Actualizo el Post con el link de GitHub, espero que os animeis a añadirle mas funcionalidades, yo por mi parte cuando pueda le hare un update para añadir mas detonantes.

//Regards.
Ikarus: Backdoor.VBS.SafeLoader
Agnitum: Trojan.VBS.Safebot.A
http://indeseables.github.io/
Considero que es una herramienta bastante útil ! sigue asi scorpiño!
Veterano

Las apariencias engañan.
Responder

Volver a “Troyanos y Herramientas”