Después de un rato sin escribir y con la noticia que estaré
el 20 de octubre en Cuautla en el Festival Iberoamericano de Seguridad Informática
(FISI) llevado acabo por HackingMexico, estuve pensando en un tema del cual podría
hablarles y se me acaba de ocurrir uno algo interesante y sencillo, es que se
me ocurrió como el titulo lo dice, pondremos a prueba la seguridad de algunos
antivirus empezando por pruebas sencillas de posibles ataques de crackers-hackers
exponiendo la parte de licenciamiento y protección anti-piratería así como también
un ejemplo de cómo podría lanzarse un ataque de malware dirigido especialmente
a algunos utilizando algunos errores simples que han dejado pasar y a
mi parecer dejan al descubierto una grave error de seguridad.
En esta entrada no mostrare el procedimiento completo solo
lo suficiente para que comprendan la explicacion. Los ejemplos completos (POC) y en vivo estarán
disponibles durante el evento o el paper después del mismo en mi blog : www.torrescrack.blogspot.com
Bien como decía hay dos puntos importantes y el primero de
ellos y del cual quiero hablar primero es acerca de la “protección” o rutina de
licenciamiento del anti-malware “Malwarebytes”
Tambien en el reversing de binarios se lleva un
procedimiento de “Information Gathering” para saber que es lo que vamos a
enfrentar, podemos rápidamente ver que no utiliza algun tipo de cifrado/packer
para proteger el código:
(EntryPoint)
Podemos ver la diferencia entre la versión PRO y la del
Trial, de las primeras cosas que me han llamado la atención es que el motor en
tiempo real que bloquea las amenazas, Protección contra sitios Web maliciosos
son algunas de las limitaciones cuando llega el momento de terminar la versión de
prueba este software, están pensando lo mismo que yo?
Y es que nos han puesto las cosas más fáciles. Estando en el
lugar del desarrollador de malware, lo primero que haría es buscar la rutina de
licenciamiento del software y en algún momento estará comprobando si el
software está en versión PRO para entonces detener por completo la detección en
tiempo real de las amenazas, creo que ya saben a dónde me dirijo. Si en algún momento
hace esas comprobaciones para decidir si se apaga, que pasaría si alguien con
malas intenciones crea un bicho que deshaga esa comprobación y lo obligue a
irse por el camino de solo detenerse? ¿Detectara cambios? Pero primero debemos hacer algunas pruebas y
para eso intentemos encontrar la rutina de licenciamiento y probar.
Paso 1:
Llenar las casillas
3:) y probar suerte
Paso 2:
Realizar la búsqueda con
el debugger y cazar el mensaje
(repito que no se mostrara el procedimiento completo)
(repito que no se mostrara el procedimiento completo)
Paso 3:
Parcheamos, guardamos
cambios y a probar que tal anda
Voila, en 3 sencillos pasos se tendría listo un crack para este
este software, y es que lo grave es que no tener algún tipo de detección CRC (comprobación de redundancia cíclica es un
código de detección de errores usado frecuentemente en redes digitales y en
dispositivos de almacenamiento para detectar cambios accidentales en los datos.)
esto es un grave problema como mencione anteriormente ya que nos deja la puerta
abierta a ser modificado por algún tipo de malware dirigido específicamente a
atacar a este “anti-malware” y aún más fácil (este en especial) localizando la
rutina de licenciamiento podríamos alterar el código y de esa forma la protección
en tiempo real estaría siempre apagada o porque no, inyectarlo y este que sea
el responsable de infectar a todo el sistema…..
Aunque parezca un simple error, con algo de imaginación se podría
crear un buen malware que apague e infecte a “Malwarebytes”, esto se podrá aplicar
con algunos otros antivirus populares? Por ejemplo ESET NOD 32?
Probemos…
PD: nos vemos en el Festival Iberoamericano de Seguridad Informática, donde pondré ejemplo en vivo de este tipo de ataque y si me da tiempo mostrar un POC de cómo podríamos inyectarlo (simulando una infección real)
Alejandro Torres (TorresCrack)
@TorresCrack248
PD: nos vemos en el Festival Iberoamericano de Seguridad Informática, donde pondré ejemplo en vivo de este tipo de ataque y si me da tiempo mostrar un POC de cómo podríamos inyectarlo (simulando una infección real)
Alejandro Torres (TorresCrack)
@TorresCrack248
No hay comentarios:
Publicar un comentario