De nuevo, vamos a poder comprobar que los antivirus no son capaces de hacer mucho más que comparar con firmas (hashes). Cualquier mínimo nivel de ofuscación se los salta.
En esta "práctica", lo que haremos es subir a virustotal, un conocido servicio de antivirus online, la shell c99.txt, que podría decirse es la más típica shell en php. La subiremos, analizaremos, ofuscaremos y volveremos a subir y analizar. Y el resultado es ... el que todos esperamos. Los siguientes pantallazos ilustran el experimento.
En primer lugar, subimos la shell a virustotal. Por supuesto, casi todos los antivirus la detectan.
Una vez comprobado esto, copiamos el código de la shell y la subimos a codeeclipse, que tiene un servicio online de ofuscación de código php. El proceso es muy sencillo, tal y como vemos a continuación:
Finalmente, subimos la shell ofuscada a virustotal, y ...
Seguramente, cambiando los nombres de las funciones que se llaman c99xxx tendríamos que nuestra shell es totalmente indetectable para los antivirus. De hecho, además de con c99, he probado con otra shell menos conocida y virustotal no la ha detectado tras ofuscarla.
Fuente: http://hacking-avanzado.blogspot.com/
0 Notaciones:
Publicar un comentario