Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

lunes, 23 de marzo de 2009

Automatización de procesos antianálisis a través de crimeware

La automatización de códigos maliciosos constituye una filosofía de vida y un negocio redondo para sus creadores ya que día a día deben enfocar sus esfuerzos en idear nuevas "herramientas" que permitan "saltar" los métodos de detección propuestos por las firmas antivirus.

Tal es así que constantemente aparecen nuevas "propuestas", cada vez más profesionalizadas, que ayudan a demorar la detección de códigos maliciosos a través de técnicas antianálisis y, al mismo tiempo, aumentar las ganancias de sus desarrolladores.


CRUM Cryptor Polymorphic
es uno de los tantos programas que forman parte de esta categoría. Es un programa utilizado en ambientes maliciosos para cifrar malware; desarrollo en Rusia por personas que se encuentran en el lado malicioso del campo para ampliar el horizonte de ganancias; y el cual he mencionado de manera superficial al referirme al crimeware ruso.

Se trata de una nueva versión de este crypter, exactamente la 1.1, que ofrece capacidades polimórficas para la manipulación de código dañino.

Entre las características polimórficas que propone la aplicación se encuentran, además del mismo polimorfismo:

  • Uso de registros aleatorios
  • Cifrado de importaciones y recursos
  • Códificación de 128 para cada sección
  • Sobreescritura de los campos "Rich" y "Time/Date Stamp" de la cabecera de los archivos
  • Ofrece capacidades antidebugger
  • Evita que se lleve a cabo un volcado de memoria
  • Evitar ejecución en entornos controlados
  • Cambiar o borra el icono del binario malicioso
Aquí sólo se reúnen sólo algunas de las funcionalidades ofrecidas por el programa, pero suficientes para determinar que el grado de profesionalismo y peligrosidad alcanzado, en este caso por desarrolladores rusos, en la creación de aplicaciones maliciosas es preocupante.

Esta aplicación cuesta U$S 100 en el mercado negro. Sin embargo, para completar el arsenal de aplicaciones de este estilo, el mismo creador ofrece por "sólo" U$S 50 un joiner (utilizado la fusión de archivos) llamado CRUM Joiner Polymorphic y por U$S 20 se accede a las actualizaciones del mismo.


La interfaz de este programa, que permite fusionar varios archivos como por ejemplo, a un .jpg fusionarle un binario .exe, se ve de la siguiente manera:


En este caso, algunas de las características que incorpora la aplicación son:
  • Capacidades polimórficas
  • Permite la unión de ilimitados archivos
  • Soporta varias extensiones de archivos como .doc, .mp3, .avi, .jpg, .bmp y .exe
  • Cifrado de archivos de 256 bytes
  • Capacidad de ejecutar no sólo archivos .exe sino que también archivos .dll
En ambos casos, el creador recomienda algunas "medidas de seguridad" para resguardar la "integridad" del desarrollo como no someter la aplicación a servicios como virustotal, ser ordenado al cifrar los archivos y no compartir ninguno de los componentes que constituyen las aplicaciones.

Información relacionada

Los precios del crimeware ruso

Unique Sploits Pack. Crimeware para automatizar la explotación de vulnerabilidades

Creación Online de malware polimórfico basado en PoisonIvy


# pistus

Ver más