“Anti-Virus ARTIFACTS I” Autor: Devisha Rochlani

(Repositorio: https://github.com/D3VI5H4)
(Twitter: https://twitter.com/devisharochlani)

En la primera entrega el autor nos enfoca rápidamente en el ejercicio de reconocimiento de los artefactos que componen a un sistema anti-virus. Se han analizado distintos productos del mercado como ser Avira, F-Secure, Norton, TrendMicro entre otros.

El autor nos presenta rápidamente las dll’s hookeadas, donde se guardan los archivos drives y una descripción de sus funciones.

Drivers Present: (Name, Description, Path)
DLL’s Present: Drivers Present (Name, Description, Path)
Functions Hooked: (DLL Name, API Name)

Este abordaje inicial de investigación ha mostrado que los productos actuales no hacen una lectura total y clara entre las APIS y sus reenvíos, permitiendo al desarrollador de malware tener un vector amplio para ejecutar sus funciones y lograr un bypass satisfactorio y posteriormente continuar con su cadena de infección y/o propagación.

Un ejemplo para referenciar lo explicado anteriormente se puede dar con NTDLL.DLL que esta disponible desde la ejecución del usuario y el sistema operativo .(incluso es un tema mucho mas complejo que solo este texto, tal vez para otra entrada). Los AV /EDR utilizan el Hookeo de APIS para interceptar las llamadas a las funciones, redireccionando el flujo del código para controlarlo y de esa forma hacer una revisión en detalle y determinar si una pieza corresponde a código malicioso.

Estructura Windows OS
Funciones Hookeadas para NTDLL.DLL AV: WebRoot

Podes encontrar las conclusiones finales de la primer entrega y sus versiones II y III del enfoque. Esta esta primer observación el listado de DLL’s, descripción de funciones  y una PoC final sobe un keylogger en el repositorio oficial del Autor : https://github.com/D3VI5H4/Antivirus-Artifacts/blob/main/ANTIVURUS_ARTIFACTS.pdf 

Autor: malwargsecurity

malwargsecurity un proyecto personal, sin fines de lucro y destinado la comunidad.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s