Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

domingo, 5 de julio de 2009

Automatización de procesos anti-análisis II

Los mecanismos maliciosos utilizados tanto en el proceso de propagación como en los métodos de infección evolucionan de manera progresiva gracias a los desarrolladores de crimeware que constantemente perfeccionan sus creaciones con el objeto de aumentar su economía.

Esta realidad da cuenta clara que el desarrollo de malware constituye un negocio donde muchos “emprendedores” toman la posta del tema lanzando al mercado viral nuevas alternativas que colaborar activamente en la generación automatizada de códigos maliciosos incorporando procesos auto-defensivos que provocan un efecto negativo para el análisis e investigación de malware.

Hace un tiempo hablábamos de uno de los aplicativos crimeware de origen ruso que se sumaba de manera feroz a la cartera de ofertas que presenta, y representa, el comercio clandestino de malware: la familia de software dañino con características polimórficas de CRUM.

A principios de mes, sus creadores lanzaron oficialmente, con fuegos artificiales, nueva versión de sus dos aplicativos crimeware estrellas CRUM Cryptor Polymorphic (v2.6) y CRUM Joiner Polymorphic (v3.1), ambos escritos en Delphi y ASM.

El primero de ellos se trata de un “cripter” polimórfico, un programa cuyo objetivo es cifrar cada archivo procesado. En este caso, el cifrado es a través de una clave aleatoria de 256 bytes. Al mismo tiempo, el archivo dañino también es sometido a polimorfismo con lo cual en cada proceso se obtiene un archivo diferente, lo que es igual a decir… un malware diferente.

Con un valor de USD 200, este crimeware promete, entre muchas otras, las siguientes funcionalidades:
  • Windows 2000, Windows XP SP3, Windows Server 2003 y Windows Vista
  • Cifrado polimórfico
  • Cifrado con clave aleatoria de 256 bytes, en versiones anteriores el cifrado es de 128 bytes
  • Por defecto, el punto de entrada está siempre en la primera sección del binario; sin embargo, puede ser configurado para que sea aleatorio
  • Anti-VM. Evita la ejecución del binario en máquinas virtuales
  • Anti-dump. Evita el volcado de memoria
  • Sustitución de "pixels" del icono al azar
  • Capacidad para cambiar o borrar el icono
  • Permite cifrado bajo línea de comandos
Quizás este crimeware parezca un tanto trivial pero su funcionalidad de polimorfismo lo convierte en una amenazas muy peligrosa ya que la mutación que se produce en cada uno de los archivos no es superficial, no cambia algún time stamp sino que realiza importantes cambios en el binario modificando completamente su estructura, formando en cada proceso un nuevo prototipo de malware.

En cuanto al hermano menor de la familia, CRUM Joiner Polymorphic, se encuentra diseñado, como su nombre lo indica, para fusionar (concepto adoptado por el crimeware actual) archivos sin importar su extensión y está escrito en MASM32.

Su precio es de USD 100 y entre sus características se destaca que:
  • Al igual que el hermano mayor, posee capacidades polimórficas
  • Permite fusionar una cantidad ilimitada de archivos con cualquier extensión (mp3, avi, doc, bmp, jpg, exe)
  • Configurar opciones de funcionalidad en el archivo final (carpeta de alojamiento, atributos, etc.)
  • Permite seleccionar la iconografía. Por defecto, el software trae 40 imágenes
  • Cifrado del binario con clave aleatoria de 256 bytes
  • Soporta Drag & Drop
  • Capacidad de seleccionar la extensión del archivo final
  • Extracción de iconos de archivos
  • Capacidad anti-análisis. No permite la ejecución del binario en máquinas virtuales
Con respecto a las condiciones de venta y uso del crimeware, el autor solicita no compartir el cripter ni sus componentes (esto atenta contra el “negocio”), utilizarlo con fines comerciales (una contradicción evidente) ni someterlo al análisis a través de sitios online como VirusTotal (esto aumenta el índice de detección de su binario). Requerimientos que parecen ser un tanto infantiles.

El objetivo que se encuentra detrás del desarrollo de estos aplicativos es aumentar el ciclo de vida de los códigos maliciosos que son sometidos a los procesos maliciosos propuestos por la aplicación, añadiéndole características anti-análisis que entorpecen su análisis y su posterior detección por parte de las compañías antivirus.

Información relacionada
Los precios del crimeware ruso
Comercio Ruso de versiones privadas de crimeware ¡Aproveche la oferta!
Automatización de procesos anti-análisis a través de crimeware

# pistus

Ver más