(Repositorio: https://github.com/D3VI5H4)
(Twitter: https://twitter.com/devisharochlani)
En la primera entrega el autor nos enfoca rápidamente en el ejercicio de reconocimiento de los artefactos que componen a un sistema anti-virus. Se han analizado distintos productos del mercado como ser Avira, F-Secure, Norton, TrendMicro entre otros.
El autor nos presenta rápidamente las dll’s hookeadas, donde se guardan los archivos drives y una descripción de sus funciones.
Drivers Present: (Name, Description, Path)
DLL’s Present: Drivers Present (Name, Description, Path)
Functions Hooked: (DLL Name, API Name)
Este abordaje inicial de investigación ha mostrado que los productos actuales no hacen una lectura total y clara entre las APIS y sus reenvíos, permitiendo al desarrollador de malware tener un vector amplio para ejecutar sus funciones y lograr un bypass satisfactorio y posteriormente continuar con su cadena de infección y/o propagación.
Un ejemplo para referenciar lo explicado anteriormente se puede dar con NTDLL.DLL que esta disponible desde la ejecución del usuario y el sistema operativo .(incluso es un tema mucho mas complejo que solo este texto, tal vez para otra entrada). Los AV /EDR utilizan el Hookeo de APIS para interceptar las llamadas a las funciones, redireccionando el flujo del código para controlarlo y de esa forma hacer una revisión en detalle y determinar si una pieza corresponde a código malicioso.
Podes encontrar las conclusiones finales de la primer entrega y sus versiones II y III del enfoque. Esta esta primer observación el listado de DLL’s, descripción de funciones y una PoC final sobe un keylogger en el repositorio oficial del Autor : https://github.com/D3VI5H4/Antivirus-Artifacts/blob/main/ANTIVURUS_ARTIFACTS.pdf
MalwArgSecurity 