• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

MorphAES - IDPS & Sandox & Antivirus stealth killer

Vander

CodebyTeam
Gold Team
16.01.2016
1 420
4 351
BIT
0
Приветствую обитателей Codeby! В этой статье, я хочу обратить Ваше внимание на один из полезных инструментов под названием MorphAES.

upload_2017-9-12_22-37-21.png


MorphAES - полиморфный движок для шеллкода с метаморфическими свойствами и возможностью обхода песочниц, что делает его невидимым для IDPS, он также кросс-платформенный и независим от установленных библиотек.

· IDPS - Система обнаружения вторжений (IDS) - это устройство или программное приложение, которое контролирует сеть или системы для вредоносных действий или нарушений правил. Любая обнаруженная активность или нарушение обычно сообщаются либо администратору, либо собираются централизованно с использованием системы безопасности и управления событиями (SIEM). Система SIEM объединяет выходные данные из нескольких источников и использует методы фильтрации сигналов тревоги, чтобы отличать вредоносную активность от ложных тревог.

Свойства:

· Полиморфизм (шифрование AES)

· Метаморфизм (изменение логики и константы)

· Независимость от платформы (Linux / BSD / Windows)

· IDPS-скрытность (общее количество возможных сигнатур больше числа атомов во Вселенной для одного заданного кода)

· Уклонение от песочницы (специальные инструкции по сборке)

· Неверные символы, избегающие (\ x00, \ x04, \ x05, \ x09, \ x0a, \ x20)

· Может создавать исполняемые файлы и использоваться удаленно

· Код ввода может иметь произвольную длину

· Обход NOP

NOP или NOOP инструкция процессора на языке ассемблера, или команда протокола, которая предписывает ничего не делать.

Зависимости для Morpher:

· Python 2.7 - основной двигатель

Зависимости для выполнения кода:

· 64-разрядная версия Intel AES-NI - для дешифрования

Ограничения:

· Максимальная длина файла Shellcode составляет 240 байт.

· Выполнение может привести к неожиданным результатам, если вы используете 8-битные регистры.

· Метаморфизм не очень устойчив и может быть обнаружен с помощью регулярных выражений.

· Юникод байт по-прежнему может работать.

· Возможность работы на 64-разрядных процессорах Intel с поддержкой AES-NI, но поскольку у всех ПК пользователя (таких как Pentium, Celeron, i3, i5, i7) и серверов отрасли (например, Xeon) это больше спецификация , а не ограничение

· В процессе Windows/BSD PoC выполнение.

Как это работает:

· Прошивка кода оболочки с помощью NOP (поскольку AES является блочным шифрованием)

· Шифрование кода с помощью случайного ключа с использованием AES-128-ECB (не самый лучший, но самый простой) – полиморфизм

· Константы рандомизации и логические изменения – метаморфизм

Установка:

> git clone https://github.com/cryptolok/MorphAES

upload_2017-9-12_22-37-56.png


> apt-get install python python-crypto

upload_2017-9-12_22-38-14.png


Запуск:

> cd MorphAES

> ls –a

> ./MorphAES.py


upload_2017-9-12_22-38-43.png


Больше информации по тестам, на странице разработчика:

> https://github.com/cryptolok/MorphAES

Спасибо за внимание.
 

ActionNum

Well-known member
27.11.2016
80
93
BIT
0
Был на докладе, когда автор рассказывал про эту штуку. Очень крутая вещь.
 

ActionNum

Well-known member
27.11.2016
80
93
BIT
0
К сожалению нет, было это на
Pentestit Security Conference 2017, почему то там снимать запрещали, обещали статьи выложить на хабр, но так я и не увидел там этого доклада.
MorphAES: полиморфно-эвазийные шелкоды
Анализ методов обхода песочниц (sandbox evasion) и современных защитных средств обеспечения безопасности. Докладчик был из франции, но говорил по-русски). Погугли может найдешь что нибудь
 
  • Нравится
Реакции: Vander
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!