Como dice el titulo del post, hoy traigo un método para evitar la ejecución de la mayoría de Malware actual. He decidido llamar a esta técnica AntiFooling debido a que básicamente, lo que hacemos es engañar al Malware para que detecte que está en un entorno de análisis (En el PoC concretamente simulamos ser un sistema virtualizado con VirtualBox o VMWare), de este modo el Malware detendrá su ejecución para prevenir ser ejecutado en un entorno hostil.
Sin mas dilación aquí os dejo la PoC y algo de información.
Imagen de la Interfaz:
Funciones Añadidas:
-Emular VirtualBox
-Emular VMWare
-Iniciar con el Sistema
Para ello la aplicación hace de uso de los siguientes 'Artefactos':
Mostrar/Ocultar
Processes:
'VBoxService.exe' (VBOX)
'VBoxTray.exe' (VBOX)
'VMwareUser.exe' (VMWARE)
'VMwareTray.exe' (VMWARE)
'VMUpgradeHelper.exe' (VMWARE)
'vmtoolsd.exe' (VMWARE)
'vmacthlp.exe' (VMWARE)
Files:
@WindowsDir & '\System32\drivers\VBoxMouse.sys' (VBOX)
@WindowsDir & '\System32\drivers\VBoxGuest.sys' (VBOX)
@WindowsDir & '\System32\drivers\VBoxSF.sys' (VBOX)
@WindowsDir & '\System32\drivers\VBoxVideo.sys' (VBOX)
@WindowsDir & '\System32\vboxdisp.dll' (VBOX)
@WindowsDir & '\System32\vboxhook.dll' (VBOX)
@WindowsDir & '\System32\vboxmrxnp.dll' (VBOX)
@WindowsDir & '\System32\vboxogl.dll' (VBOX)
@WindowsDir & '\System32\vboxoglarrayspu.dll' (VBOX)
@WindowsDir & '\System32\vboxoglcrutil.dll' (VBOX)
@WindowsDir & '\System32\vboxoglerrorspu.dll' (VBOX)
@WindowsDir & '\System32\vboxoglfeedbackspu.dll' (VBOX)
@WindowsDir & '\System32\vboxoglpackspu.dll' (VBOX)
@WindowsDir & '\System32\vboxoglpassthroughspu.dll' (VBOX)
@WindowsDir & '\System32\VBoxService.exe' (VBOX)
@WindowsDir & '\System32\VBoxTray.exe' (VBOX)
@WindowsDir & '\System32\VBoxControl.exe' (VBOX)
@WindowsDir & '\System32\drivers\vmmouse.sys' (VMWARE)
@WindowsDir & '\System32\drivers\vmhgfs.sys' (VMWARE)
@ProgramFilesDir & '\VMWare\VMware Tools\VMwareUser.exe' (VMWARE)
@ProgramFilesDir & '\VMWare\VMware Workstation\VMwareTray.exe' (VMWARE)
@ProgramFilesDir & '\VMWare\VMware Tools\VMUpgradeHelper.exe' (VMWARE)
@ProgramFilesDir & '\VMWare\VMware Tools\vmtoolsd.exe' (VMWARE)
@ProgramFilesDir & '\VMWare\VMware Tools\vmacthlp.exe' (VMWARE)
Directories:
@ProgramFilesDir & '\Oracle\Virtualbox Guest Additions\' (VBOX)
@ProgramFilesDir & '\VMWare\' (VMWARE)
@ProgramFilesDir & '\VMWare\VMware Tools' (VMWARE)
@ProgramFilesDir & '\VMWare\VMware Workstation' (VMWARE)
Descarga:
-Compilados x64 & x86:
[Enlace externo eliminado para invitados]
-Source Code (AutoIt):
[Enlace externo eliminado para invitados]
Agradecimientos:
-Blau (Por pensar el mejor nombre :-*)
Documentación:
-
[Enlace externo eliminado para invitados]
-
[Enlace externo eliminado para invitados]
PD: En esta ocasión como podeis ver solo hacemos uso de las tecnicas Anti-Virtualización del Malware, pero también se le puede hacer creer que esta siendo Debugeado o Emulado para prevenir su ejecución en equipos legitimos.
PD2: Espero que les sea util a todos, esta pensado para dejarlo siempre ejecutado, de manera que no consume apenas recuros y puede evitarnos mas de un disgusto sin causar falsos positivos (A la shit el AV).
//Regards.
Ikarus: Backdoor.VBS.SafeLoader
Agnitum: Trojan.VBS.Safebot.A
http://indeseables.github.io/