Página 1 de 2
AntiFooling v1.0.0 - Prevent the Malware Execution
Publicado: 04 Dic 2016, 18:04
por Scorpio
Como dice el titulo del post, hoy traigo un método para evitar la ejecución de la mayoría de Malware actual. He decidido llamar a esta técnica AntiFooling debido a que básicamente, lo que hacemos es engañar al Malware para que detecte que está en un entorno de análisis (En el PoC concretamente simulamos ser un sistema virtualizado con VirtualBox o VMWare), de este modo el Malware detendrá su ejecución para prevenir ser ejecutado en un entorno hostil.
Sin mas dilación aquí os dejo la PoC y algo de información.
Imagen de la Interfaz:
Funciones Añadidas:
-Emular VirtualBox
-Emular VMWare
-Iniciar con el Sistema
Para ello la aplicación hace de uso de los siguientes 'Artefactos':
Mostrar/Ocultar
Processes:
'VBoxService.exe' (VBOX)
'VBoxTray.exe' (VBOX)
'VMwareUser.exe' (VMWARE)
'VMwareTray.exe' (VMWARE)
'VMUpgradeHelper.exe' (VMWARE)
'vmtoolsd.exe' (VMWARE)
'vmacthlp.exe' (VMWARE)
Files:
@WindowsDir & '\System32\drivers\VBoxMouse.sys' (VBOX)
@WindowsDir & '\System32\drivers\VBoxGuest.sys' (VBOX)
@WindowsDir & '\System32\drivers\VBoxSF.sys' (VBOX)
@WindowsDir & '\System32\drivers\VBoxVideo.sys' (VBOX)
@WindowsDir & '\System32\vboxdisp.dll' (VBOX)
@WindowsDir & '\System32\vboxhook.dll' (VBOX)
@WindowsDir & '\System32\vboxmrxnp.dll' (VBOX)
@WindowsDir & '\System32\vboxogl.dll' (VBOX)
@WindowsDir & '\System32\vboxoglarrayspu.dll' (VBOX)
@WindowsDir & '\System32\vboxoglcrutil.dll' (VBOX)
@WindowsDir & '\System32\vboxoglerrorspu.dll' (VBOX)
@WindowsDir & '\System32\vboxoglfeedbackspu.dll' (VBOX)
@WindowsDir & '\System32\vboxoglpackspu.dll' (VBOX)
@WindowsDir & '\System32\vboxoglpassthroughspu.dll' (VBOX)
@WindowsDir & '\System32\VBoxService.exe' (VBOX)
@WindowsDir & '\System32\VBoxTray.exe' (VBOX)
@WindowsDir & '\System32\VBoxControl.exe' (VBOX)
@WindowsDir & '\System32\drivers\vmmouse.sys' (VMWARE)
@WindowsDir & '\System32\drivers\vmhgfs.sys' (VMWARE)
@ProgramFilesDir & '\VMWare\VMware Tools\VMwareUser.exe' (VMWARE)
@ProgramFilesDir & '\VMWare\VMware Workstation\VMwareTray.exe' (VMWARE)
@ProgramFilesDir & '\VMWare\VMware Tools\VMUpgradeHelper.exe' (VMWARE)
@ProgramFilesDir & '\VMWare\VMware Tools\vmtoolsd.exe' (VMWARE)
@ProgramFilesDir & '\VMWare\VMware Tools\vmacthlp.exe' (VMWARE)
Directories:
@ProgramFilesDir & '\Oracle\Virtualbox Guest Additions\' (VBOX)
@ProgramFilesDir & '\VMWare\' (VMWARE)
@ProgramFilesDir & '\VMWare\VMware Tools' (VMWARE)
@ProgramFilesDir & '\VMWare\VMware Workstation' (VMWARE)
Descarga:
-Compilados x64 & x86:
[Enlace externo eliminado para invitados]
-Source Code (AutoIt):
[Enlace externo eliminado para invitados]
Agradecimientos:
-Blau (Por pensar el mejor nombre :-*)
Documentación:
-
[Enlace externo eliminado para invitados]
-
[Enlace externo eliminado para invitados]
PD: En esta ocasión como podeis ver solo hacemos uso de las tecnicas Anti-Virtualización del Malware, pero también se le puede hacer creer que esta siendo Debugeado o Emulado para prevenir su ejecución en equipos legitimos.
PD2: Espero que les sea util a todos, esta pensado para dejarlo siempre ejecutado, de manera que no consume apenas recuros y puede evitarnos mas de un disgusto sin causar falsos positivos (A la shit el AV).
//Regards.
Re: AntiFooling v1.0.0 - Prevent the Malware Execution
Publicado: 04 Dic 2016, 18:24
por UBA
Gracias Scorpio
Re: AntiFooling v1.0.0 - Prevent the Malware Execution
Publicado: 05 Dic 2016, 00:31
por lokuas255
gracias scorpio buena tool sera muy util
Re: AntiFooling v1.0.0 - Prevent the Malware Execution
Publicado: 05 Dic 2016, 00:43
por pelita
Muchas gracias Scorpio muy buen aporte
Re: AntiFooling v1.0.0 - Prevent the Malware Execution
Publicado: 05 Dic 2016, 06:08
por guru1990
Muy buena
Re: AntiFooling v1.0.0 - Prevent the Malware Execution
Publicado: 05 Dic 2016, 08:15
por mkw900
buena tool gracias por compartirla
Re: AntiFooling v1.0.0 - Prevent the Malware Execution
Publicado: 05 Dic 2016, 12:23
por Neutrox
Excelente amigos míos como todo lo que hacéis..!
Re: AntiFooling v1.0.0 - Prevent the Malware Execution
Publicado: 05 Dic 2016, 15:06
por Scorpio
Gracias a todos por vuestros comentarios, espero que sea util. Actualizo el Post con el link de GitHub, espero que os animeis a añadirle mas funcionalidades, yo por mi parte cuando pueda le hare un update para añadir mas detonantes.
//Regards.
Re: AntiFooling v1.0.0 - Prevent the Malware Execution
Publicado: 05 Dic 2016, 15:36
por Solitario
De lujo compa, gracias
Re: AntiFooling v1.0.0 - Prevent the Malware Execution
Publicado: 05 Dic 2016, 18:22
por australopiteco
gracias por compartir hermano
Re: AntiFooling v1.0.0 - Prevent the Malware Execution
Publicado: 05 Dic 2016, 20:48
por Slore
Considero que es una herramienta bastante útil ! sigue asi scorpiño!
Re: AntiFooling v1.0.0 - Prevent the Malware Execution
Publicado: 06 Dic 2016, 01:19
por M3
Muy buena la tool bro !
Re: AntiFooling v1.0.0 - Prevent the Malware Execution
Publicado: 06 Dic 2016, 11:02
por MichBukana
Muy buena idea!
Re: AntiFooling v1.0.0 - Prevent the Malware Execution
Publicado: 06 Dic 2016, 12:01
por leo-johnlenon
Gracias Scorpio
Re: AntiFooling v1.0.0 - Prevent the Malware Execution
Publicado: 06 Dic 2016, 17:56
por lovemedo74
Thank's bro!
