¿Debería el marco de velo producir binarios empaquetados y ofuscados que eviten virustotal?

6

He estado trabajando con el marco de velo para probar un sistema IDS interno que tengo instalado. He utilizado una muestra pública de malware que produce un puntaje de 8/53 en Virustotal y la ejecuté a través de las cargas útiles de velo Hyperion y Pescrambler.

Sin embargo, las muestras de salida conservan la puntuación de acierto inicial o aumentan (en el caso de Hyperion). ¿Es este comportamiento esperado del marco del velo? ¿Se debe esto a la presencia del análisis dinámico?

¿Hay alguna sugerencia para generar ejecutables empaquetados y ofuscados con un mayor grado de eficacia de bypass para las pruebas de seguridad internas?

    
pregunta Fred Concklin 06.01.2015 - 13:31
fuente

1 respuesta

3

El comentarista, paj28, es correcto: no los envíe a VirusTotal. Póngalos a prueba contra los sistemas HIPS y AV a los que se dirige específicamente en un entorno VM-guest. Prefiero usar Vagrant junto con las herramientas Packer y Boxcutter para "simular" cosas en un laboratorio.

Hyperion es genial, pero no lo combine necesariamente con Pescrambler. Solo necesitas un cryptor, no dos. Lo que idealmente necesitas es un cryptor y un empaquetador, por ejemplo, Hyperion y UPX. Pruebe los diversos formatos UPX y las opciones : una funcionará después del cifrado. Ese sería el más eficiente y bajo el radar. Dos cryptors o dos empacadores son demasiados y "sobrepasan el umbral".

Otro factor es el Meterpreter (o cualquier implante de línea base con el que esté trabajando). No es el mejor implante (algunos regalan demasiado), especialmente no en Win32. Llama a demasiadas funciones confidenciales de demasiadas dependencias de W32 que obviamente son malware. Lo que necesita es un implante diferente, como Cobalt Strike Beacon o Silent Break Security Throwback . Mi guión favorito de Q42014 y Q1-2 2015 es veil_evasion.cna. Está en las fuentes oficiales y probablemente en PowerSploit, etc., pero se puede cargar con otros a través de este proyecto específico de su autor original: enlace

    
respondido por el atdre 13.05.2015 - 04:24
fuente

Lea otras preguntas en las etiquetas