NOTA IMPORTANTE: El delito informático está severamente castigado por la ley. Esta página no promueve el delito informático, es divulgativa y muestra los mecanismos que utilizan los cibercriminales para poder identificar el ataque si has sido victima de uno de ellos. En el caso de que hayas sido victima de un ataque te recomendamos que busques recursos legales en la sección Cibercrime Law o en la página del Instituto Nacional de Ciberseguridad: https://www.incibe.es/

BlogEvading AV Software

Hackear como un profesional Cómo funciona el software antivirus y cómo evadirlo, Pt. 2 (Disección de ClamAV)

¡Bienvenidos de nuevo, mis hackers novatos!

Una de las preguntas más comunes que hacen los lectores de Null Byte es: “¿Cómo puedo evadir la detección del software antivirus en el objetivo?” Ya he hablado sobre cómo funciona el software AV, pero para obtener una comprensión más profunda, ¿qué mejor manera que abrir y diseccionar algún software AV?

Durante el resto de esta serie, analizaremos el software AV multiplataforma de código abierto más utilizado en el mundo. ClamAV.

Solo una breve nota al margen antes de comenzar: cuando utilizo el término antivirus, puede sustituirlo por anti-malware. Prefiero el término anti-malware ya que los virus son un subconjunto del malware, pero la industria y el público todavía usan el término antivirus, así que los usaré como sinónimos. Por favor, no se confunda.

Sobre ClamAV

ClamAV es un proyecto de código abierto (licencia pública GNU) que fue comprado por Sourcefire en 2007, la misma compañía que compró Snort. Cuando Cisco compró Sourcefire en 2013, tanto Snort como ClamAV se convirtieron en parte de Cisco, el gigante de las redes.

Como fue detallado en su blog:

“El motor de detección de ClamAV es multifacético: heurística, soporte para numerosos archivadores (ZIP, RAR, OLE, etc.), toneladas de soporte para desempaquetar (UPX, Chiquita, NSPack, etc.) y varios motores de inspección de contenido diferentes.

“MRG realizó una evaluación de terceros de Immunet Protect (utiliza ClamAV como uno de sus motores) en la que superó a otros 15 proveedores AV líderes y fue el ÚNICO producto que tuvo una tasa de detección del 100%”.

ClamAV es tan eficaz como el software antivirus comercial y se utiliza ampliamente para proteger los sistemas de puerta de enlace de correo electrónico, aunque generalmente no los sistemas de nivel de consumidor. ClamAV desarrolló recientemente una versión de Windows, por lo que es probable que mejore su aceptación a nivel de consumidor.

La belleza de trabajar con ClamAV es que es de código abierto, por lo que podemos abrirlo y mirar dentro para ver y comprender cómo funciona. Al hacer esto, comprenderemos mejor cómo funciona todo el software AV y, por lo tanto, podremos diseñar mejor estrategias para evadirlo. Esto no quiere decir que todo El software AV funciona igual, pero funcionan de manera similar.

En esta serie, examinaremos la estructura y el funcionamiento de ClamAV. También veremos sus firmas de malware, así como también desarrollaremos nuestras propias firmas de malware basadas en algunos de los malware que usamos aquí en Null Byte para aprender sobre la piratería.

Paso 1: Enciende Kali

El primer paso, como de costumbre, es encender Kali y abrir una terminal.

Paso 2: Descarga ClamAV

A continuación, tenemos que descargar e instalar ClamAV en nuestro sistema Kali Linux. Hay varias formas de descargar ClamAV. El primero, y probablemente el más simple, es usar el administrador de paquetes APTITUDE:

kali> apt-get install clamav clamav-freshclam

O puede buscar el sitio web de ClamAV y descárgalo. Solo asegúrese de descargar la versión de Debian Linux ya que Kali está construido sobre Debian.

Finalmente, puede clonarlo directamente desde el repositorio de Git en:

kali> clon de git http://git.clamav.net/clamav.devel.git

Este es el método que le aconsejaría que utilice aquí para nuestros propósitos, ya que instala la versión para desarrolladores de ClamAV.

Una vez que se descargue ClamAV, navegue a su directorio escribiendo:

kali> cd clam-devel

Luego, miremos dentro del directorio para ver qué archivos y directorios instaló ClamAV.

kali> ls -l

Paso 3: Configurar y hacer ClamAV

Si clonó la versión de desarrollador de ClamAV, deberá configurarla y crearla. Para configurar ClamAV, use:

kali> ./configure

Para hacer ClamAV, use estos dos comandos:

kali> hacer
kali> hacer instalar

Tenga paciencia, estos pasos pueden llevar un tiempo. También te recomiendo que corras ldconfig antes de continuar:

kali> ldconfig

Paso 4: descargue las firmas de virus / malware

Ahora que tenemos ClamAV instalado y configurado, obtengamos las firmas de virus. ClamAV almacena estas firmas en archivos comprimidos llamados main.cvd y daily.cvd. Main.cvd es una base de datos de firmas de virus conocidas, mientras que daily.cvd son las actualizaciones “diarias” de las firmas de virus (en realidad, ClamAV actualiza las firmas 4 veces al día).

Descarga el main.cvd usando wget escribiendo:

kali> wget http://database.clamav.net/main.cvd

Y luego las actualizaciones diarias de firmas de malware en:

kali> wget http://database.clamav.net/daily.cvd

Bases de datos de detección en ClamAV

ClamAV mantiene una serie de bases de datos de malware que utiliza para comparar los archivos que está examinando. Éstos incluyen:

  • Hash MD5 de binarios maliciosos conocidos (.hdb)
  • Hash MD5 de secciones de PE (.mdb)
  • Firmas hexadecimales (.ndb)
  • Archivar firmas de metadatos (.zmd o .rmd)
  • Lista blanca de archivos buenos conocidos (.fp)

Paso 5: Examine las firmas de ClamAV

Las firmas en ClamAV son archivos binarios comprimidos. Si desea ver una firma de virus, primero debe descomprimir el archivo. Para hacer esto, ClamAV viene con una herramienta especial para ver sus archivos de firmas, llamada sigtool, que significa “herramienta de firma”, presumiblemente.

Navegue al directorio sigtool dentro de ClamAV y escriba:

kali> ./sigtool

Esto muestra el archivo de ayuda para sigtool. Es esta herramienta la que usaremos a lo largo de esta exploración de ClamAV. Puede ver algunos de los interruptores de esta herramienta en la captura de pantalla anterior.

Paso 6: desempaquetar las firmas

Hay dos archivos de firmas, main.cvd y daily.cvd. La primera es la base de datos primaria de firmas, la última es la actualización diaria de firmas. Desempaquetemos ahora con sigtool y echemos un vistazo. Usaremos el -u cambiar para deshacer.

kali> sigtool -u main.cvd
kali> sigtool -u daily.cvd

Después de desempaquetar estas firmas, podemos ver muchos más archivos en el directorio de la base de datos de ClamAV. Estas son las firmas sin comprimir.

Paso 7: Ver los archivos de firmas

A continuación, echemos un vistazo a algunos de los archivos de firmas. Podemos usar el comando de Linux más para mostrar el contenido del daily.ndb expediente. El archivo daily.ndb es la representación hexadecimal de las firmas. Esto significa que el nombre de la firma estará en ASCII, pero la firma en sí estará en hexadecimal.

Como puede ver en la captura de pantalla anterior, el nombre de la firma (en un círculo rojo) está en ASCII (WIN.Trojan.Lolu y Win.Trojan.Vobfus), pero el resto de la firma está en hexadecimal. En el siguiente tutorial, convertiremos esa firma a ASCII, luego veremos el lenguaje de firma de ClamAV y descifraremos lo que busca la firma.

Una nota final

No recomiendo que active o ejecute ClamAV en su sistema Kali, ya que casi todo lo que usamos es malware conocido. ClamAV identificará sus herramientas como malware e intentará ponerlas en cuarentena, lo que hará que su Kali sea un desastre. Si ha seguido mis instrucciones aquí, ClamAV no está activado y el demonio no se está ejecutando; no debería interferir con su plataforma de piratería.

¡Sigan regresando, mis hackers novatos, mientras exploramos el funcionamiento interno del software AV!

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Mira también
Cerrar
Botón volver arriba
Cerrar