Niewykrywalnosc trojana? Na co postawic? (AV, FW...)

[q250]

Po tym dosc metnym tytule chcialbym zadac proste lecz jakze wazne pytanie.

1. Na co postawic w byciu niewykrywalnym?

... Powiem tak, napisalem program, niewykrywa go zaden AV, jedynie 3 z 25 wywalaja suspicious, laczy sie z serwerem i czeka na polecenia. Kwestia implementacji komend to prosta sprawa, robie to od 7 dni dokladnie i calkiem jestem zadowolony kwestia kolejnych dni do dopracowania wszystkiego.

Jednak wrocmy do najwazniejszej kwestii. Czeka mnie ukrycie programu w systemie czyli generalnie rzecz najwazniejsza.

Stawiam w swojej produkcji na systemy z rodziny NT (w tym XP SP2) oraz na srednio zaawansowanych uzytkownikow. Mam tu na mysli osoby, ktore gora posiadaja firewalla.

I znowu wracamy do najwazniejszego pytania... co wybrac, czy probowac stac sie niewykrywalnym dla firewallow poprzez rootkity? To niejest takie proste, studiowalem troche zrodla z rootkit.com oraz paru innych miejsc i narazie kiepsko to widze (chociaz sie niepoddaje) i zastanawiam sie co zrobic.

Na dzien dzisiejszy to wyglada tak, ze progz dziala na prymitywnej zasadzie ukrywania kopiujac sie w pare miejsc i co chwile odnawiajac wpisy /run/ w rejestrze. Wiem wiem... ale wystarcza dopoki niechce wyslac poprzez cmd ftp pliku lub gdzies sie polaczyc wtedy firewall nakrywa to moje cos i jest lipa.

Czemu przedstawiam swoja sytuacje? Licze na jakies porady, na co powinienem postawic, jakie mam rozwiazania do dyspozycji itp.

Pozdro

 

[Aixx]

Przed FW nie uciekniesz

chyba ze... dokleisz "to cos" do "czegos" co ma u FW prawa do polaczenia z netem, np. zrobisz trojana w DLL ktory sie bedzie doklejac do gg.exe jak sie wlaczy, i bedzie dzialac razem z tym ;p ale nie wiem czy to bedzie dzialac. Mozesz wysylac instrukcje przez IE - to juz prostsze ;]

 

[astRX]

3 sposoby omijania firewalli

 

[q250]

No wlasnie tak myslalem ;], dlatego wiekszosc produkcji rodzimych jest poprzez GG

... ja eksperymentuje z hxdef ale po przerobieniu go nadal jest wykrywalny takze powalcze jeszcze troche, a jak sie nieuda to zajrze do tych zrodel od astRX

pozdro!

 

[Snoopp]

Ja używam programu telock i np. mój avast nie wykrywa niczego ;]
LINK
1. Otworz program
2. File>Open>Wybieramy plik (server trojana)
3. Zakladka settings zaznaczamy Add debugger detection-nie wiem czy to cos woogle daje (mozna pobawic sie opcjami moze to cos da)
4. (telock) Lock File
5. Przeskanuj
Niektóre wykrywają, ale to i tak dobry wynik PP

 Scan taken on 10 Feb 2007 22:34:28 (GMT)

AntiVir     

Found nothing

ArcaVir     

Found nothing

Avast     

Found nothing

AVG Antivirus     

Found nothing

BitDefender     

Found Generic.Malware.SFMYdb.949BF29D

ClamAV     

Found nothing

Dr.Web     

Found BackDoor.Nopy

F-Prot Antivirus     

Found nothing

F-Secure Anti-Virus     

Found Backdoor.Win32.Delf.air

Fortinet     

Found nothing

Kaspersky Anti-Virus     

Found Backdoor.Win32.Delf.air

NOD32     

Found probably unknown NewHeur_PE (probable variant)

Norman Virus Control     

Found nothing

VirusBuster     

Found nothing

VBA32     

Found BackDoor.Nopy

 

[q250]

mowisz tutaj o packerach exe... ale chodzi zupelnie o co innego, moj wir jest pisany od zera wiec nic go niewykrywa, problem jest natomiast z firewallami ... koncze juz przerabiac hxdef i tylko jeszcze kaspersky go chwyta, a po tym to juz nawet firewall niepomoze

 

[Snoopp]

aha

k: spoko ;] PP Ale dla kogoś kto robi servery do trojankow i chce podeslać to się przyda

 

[nBD]

na rootkit.com jest biblioteka KernelTCP library, ale nie dziala ona tak dobrze jakbysmy chcieli (przynajmniej mi sie nie udaly z nia experymenty). Pomysl nad wstrzyknieciem kodu do jakiejs aplikacji polaczonej z netem (jak wykmninic ktora jest polaczona? - AllocateAndGetTcpExTableFromStack), niestety niektore FW to wykrywaja (chodzi o otwarcie procesu i wstrzykniecie kodu) wiec zrob SSDT restore (tez jest na rootkit.com).
co do AV - mozesz bac sie jedynie heurystyki, dlatego uwazaj na korzystanie z gotowych kawalkow kodu dostepnych na hxdef.org. A jesli jestes prawdziwym kozakiem to napisz wlasny packer z polimorficznm szyfrowaniem.

 

[q250]

nBD dzieki za rady

korzystam wlasnie z gotowych kawalkow kodu i musze je odpowiednio przerobic zeby niebyly wykrywalne. To wszystkniecie do polaczonej z netem aplikacji to jest bajer, ale niejestem kozakiem xD a tak jak mowisz FW moze to i tak wykryc. Najlatwiej przerobic caly hacker defender na swoj sposob ;] zeby byl niewykrywalny co wlasnie nadal uskuteczniam bo mi sesja przeszkodzila w pracach.

 

[fl3a]

Nawet technika wykorzystana w deepdoor moze byc wykryta jak pisze 90210:

This may work for simple firewalls, but more advanced ones will check their hooks for presence (subsequent NDIS_OPEN_BLOCKS checks) and integrity (i.e. splices/detours of their handlers)[/b]

Informacje na temat deepdoor'a:
hitb05_virginity_verifier.ppt
rutkowska-bhfed2006-demos.rar
codec