Astaroth - Crypter

[grzonu]

Chciałbym przedstawic moj nowy program - crypter

Jest to crypter ktory w obecnej wersji szyfruje tylko sekcje kodu ale w przyszlych wersjach będzie szyfrował także zasoby,stringi itp

Po włączeniu wybieramy najpierw plik ktory chcemy zaszyfrowac a potem plik wyjsciowy.

Wiele osob nie wie co to jest crypter lub nie odróznia cryptera od bindera.
Jest to program ktory szyfruje kod programu a potem dokleja do niego swoj kod.
Zadaniem dodanego kodu jest zdeszyfrowanie kodu(nie wypakowujac na dysk) i wlaczenie go.

Roznica miedzy binderem a crypterem jest znaczaca. Mianowicie binder wypakowuje plik i potem uruchamia(w tym czasie AV go skanuje i wszczyna alarm)
Crypter natomiast nie wypakowuje programu na dysk wiec AV nie reaguja.



Przykład ze skanowania cafeini samego i razem z crypterem.
File Info

Report generated: 24.6.2009 at 13.15.47 (GMT 1)
Filename: serwer.exe
File size: 162 KB
MD5 Hash: c36008a8120f441d0ee6e6cf809af0fc
SHA1 Hash: B4A278E32C815C10138A344910239216A8F807F5
Self-Extract Archive: Nothing found
Binder Detector: Nothing found
Detection rate: 21 on 24

Detections

a-squared - Backdoor.Win32.Cafeini.11!IK
Avira AntiVir - BDS/Cafeini.11.Srv
Avast - Cafeini-11-GXsvr [Trj]
AVG - BackDoor.Generic11.ANI
BitDefender - Backdoor.Cafeini.Server.B
ClamAV - -
Comodo - Backdoor.Win32.Cafeini.11.Server
Dr.Web - BackDoor.Cafeini.11
Ewido - Backdoor.Cafeini.11
F-PROT6 - W32/Caffain.A
G-Data - Backdoor.Win32.Cafeini.b A
Ikarus T3 - Backdoor.Win32.Cafeini.11
Kaspersky - Backdoor.Win32.Cafeini.b
McAfee - BackDoor-GX.svr trojan
Malware Hash Registry - -
NOD32 v3 - Win32/Cafeini.11.Server
Norman - Backdoor W32/CafeIni.1_1
Panda - Bck/Cafeini.11
QuickHeal - Backdoor.Cafeini.b
Solo Antivirus - Backdoor.Cafeini.11
Sophos - Troj/Cafeini-11
TrendMicro - -
VBA32 - BackDoor.Cafeini.11
VirusBuster - Backdoor.Cafeini.D

Scan report generated by
NoVirusThanks.org

File Info

Report generated: 24.6.2009 at 13.18.52 (GMT 1)
Filename: out.exe
File size: 163 KB
MD5 Hash: 990918355e2dd7e1fc5fd669584b36ca
SHA1 Hash: 0597F13998B2754E783C68A906A5D239AC0866DF
Self-Extract Archive: Nothing found
Binder Detector: Nothing found
Detection rate: 7 on 24

Detections

a-squared - -
Avira AntiVir - BDS/Cafeini.11.Srv
Avast - -
AVG - -
BitDefender - GenPack:Backdoor.Generic.183209
ClamAV - -
Comodo - Heur.Packed.Unknown
Dr.Web - BackDoor.Cafeini.11
Ewido - Backdoor.Cafeini.11
F-PROT6 - -
G-Data - -
Ikarus T3 - -
Kaspersky - -
McAfee - -
Malware Hash Registry - -
NOD32 v3 - -
Norman - -
Panda - -
QuickHeal - -
Solo Antivirus - -
Sophos - Mal/HckPk-A
TrendMicro - -
VBA32 - BackDoor.Cafeini.11
VirusBuster - -

Scan report generated by
NoVirusThanks.org

Prawdopodobnie AV wykrywaja specyficzne stringi w tym pliku ale jak mowilem w nastepnej wersji bedzie ta funkcja dodana.



DOWNLOAD

 

[grzonu]

//nie moge edytowac
Szyfrowanie stringow zostalo juz dodane, link ten sam

dzieki temu np. caffeini przestaje byc wykrywalny przez VBA32

 

[Magnefikko]

Good work!

 

[glukoza]

No nie wiem czy taki good work. Jak pliki maja dzialac jesli dodatkowo szyfrujesz tabele importow ? Poczytaj wiecej o PE.

 

[grzonu]

niestety ale chyba tym razem RE ci sie nie udalo bo tablicy importow nie szyfruje.

 

[glukoza]

Ales ty odporny na wiedze. Masz tu notepada zcryptowanego twoja zabawka. http://www.sendspace.com/file/uw8432
Otworz sobie w jakims PE edytorze i zobacz, gdzie lezy tablica importow:
RVA = 7604
ty szyfrujesz zakres RVA od 1000 do 8748, czyli cala pierwsza sekcje, wiec IAT tez. Efekt jest taki, ze crypter z niektorymi execami bedzie dzialac ale z wiekszoscia nie.
Jesli juz stawiasz na obnizenie wykrywalnosci execa to pamietaj, ze sygnatury sa nie tylko w pierwszej sekcji. Inna sprawa ze ustawienie pierwszej sekcji z prawami do zapisu wyglada dosyc podejrzanie, np. heurystyka Pandy to wykrywa.

 

[grzonu]

tu sie musze zgodzic z toba. zapomnialem ze IAT nie zawsze musi byc w oddzielnej sekcji. zaraz to poprawie

 

[grzonu]

usunolem kilka bledow. a przy pakowaniu takich aplikacji jak notepad wyskakuje error przy pakowaniu. Dodam że upx tez nie potrafi spakowac takich aplikacji gdzie IAT jest czescia sekcji kodu. A co do ustawiania praw do zapisu do pierwszej sekcji to zauwaz ze np. UPX ma wszystkie sekcje z prawami do zapisu, inaczej nie moglby przewrocic kodu.


//EDIT szyfrowane sa juz wszystkie sekcje (kodu,danych i zasobow)

 

[glukoza]

aplikacji takich jak notepad czyli jakich ? UPX nie pakuje go dlatego, ze notepad ma wielkosci sekcji niewyrownane do section alignment, ale to spokojnie mozna poprawic edytorem i wtedy upx juz spakuje. Polozenie tabeli importow nie ma dla UPXa znaczenia, bo on i tak dodaje swoja wlasna tabele do pliku exe, a oryginalna przywraca w trakcie rozpakowywania.
Odnosnie praw zapisu: mozna je ustawic za pomoca funkcji VirtualProtect, podajac adres pamieci, rozmiar i prawa jakie chcemy nadac.
Jest jeszcze jedna rzecz o ktorej warto pamietac: plik, w ktorym entrypoint nie wskazuje na pierwsza sekcje, jest traktowany jako wysoce podejrzany przez AV. Wynika to z faktu, ze taka technike stosuja wirusy plikowe. Mozesz to obejsc ustawiajac EP na poczatek pierwszej sekcji, gdzie umiescisz instrukcje skoku do sekcji z dekoderem. Musisz pamietac wtedy o przywroceniu oryginalnych bajtow z entry pointa.
Ogolnie mowiac, jesli chcesz sie bawic w pisanie cryptera to przygotuj sie na rozlegle testowanie, i na to ze pliki nie beda dzialac z niewiadomych powodow.

 

[grzonu]

nad rozwiazaniem problemu z tym ze IAT jest w sekcji kodu jeszcze popracuje, a to z EP w pierwszej sekcji zrobie napewno.
co do VirtualProtect mozna to zrobic ale zrobilem test z ustawieniem praw zapisu w sekcji kodu i przeskanowalem plik ktory nie byl wczesniej wykrywany przez AV i nadal pozostal niewykrywany, aczkolwiek VirtualProtect mozna uzyc.

//EDIT juz EP jest w pierwszej sekcji.

Po tym caffeini(potraktowany uprzednio LordemPE w celu naprawy struktury PE) wykrywany jest tylko przez 4 AV

Problem z tablica IAT postaram sie rozwiazac jak najszybciej

//EDIT
chcialem tylko napisac ze juz problem z IAT jest rozwiazany, mozna packowac notepad itp ale np. notepada trzeba najpierw rebuildowac np. LordPe(podobnie jak w przypadku innych crypterow)
dodalem tez GUI

//EDIT
Zostala dodana opcja omijania sandboxow(Norman,Sunbelt,Anubis) a takze zabezpiecza przed emulacja Kasperskiego i noda.

 

[malwarecoder]

Ciekawa sprawa. Można by go jeszcze ulepszyć żeby szyfrował do niewykrywalności i sam był niewykrywalny. Wtedy możnaby stare wykrywalne trojany uczynić znów niewykrywalnymi.

 

[zbyrek2]

No ładny programik ładny. Zauważyłem ciekawą rzecz, przy zaznaczeniu anti-debbuger wykrywa go NOD32, a nie zaznaczając tej opcji kaspersky. (Przynajmniej przy nastyxp, specjalnie wziąłem tego staruszka.)

 

[lasek_99]

Kolejny Twój program, który nie działa na moich trojanach/programach pisanych w delphi. Tym razem błąd, że aplikacja ta nie jest po win32 :] Ciekawe... A myślałem, że tym razem Ci się uda.

 

[grzonu]

no coz ... z moimi programami w c/c++ dziala
z programami innych w roznych jezykach takze

 

[thc_flow]

Nie wiem grzonu, ja zawsze mam problem, niby programy działają ale albo WinSock siada albo całkiem się sypią
Przykład do pierwszego (program w ASMie): http://www.ntsecurity.nu/toolbox/tini/
Drugi przypadek dotyczy części programów w Object Pascalu