Siguiendo con el hilo del post anterior se les va a hablar de herramientas comunes para ofuscar código PHP y así lograr saltarse los antivirus. Como ejemplo se usará una herramienta llamada carbylamine escrita en PHP y desarrollada por Prakhar Prasad
Su uso es simple, es necesario pasarle 2 parámetros, fichero de entrada y fichero de salida
![clip_image002[4]](http://windowstecnico.com/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/windowstecnico/clip_5F00_image0024_5F00_5355C820.jpg "clip_image002[4]")
Imagen 1: Ejecución carbylamine
Al comparar el código de los dos ficheros se puede ver un gran cambio
Imagen 2: Comparación c99 Ofuscada y sin Ofuscar
Y al analizarlos no se detecta como código malicioso.
![clip_image006[4]](http://windowstecnico.com/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/windowstecnico/clip_5F00_image0064_5F00_3F98B8BF.jpg "clip_image006[4]")
Imagen 3: Análisis de Avira
Así de sencillo se logra burlar al antivirus y es que no es Avira el único caso, es más desde mi punto de vista Avira es uno de los mejores antivirus que existe hoy en día y es que volviendo a criticar lo que se habló en el anterior post del método de detección por firmas que tan ineficaz es y aún más si estas empresas no invierten trabajo en añadir firmas a herramientas tan conocidas como puede ser la c99 ofuscada sin previas modificaciones con los típicos métodos de ofuscación.
![clip_image008[4]](http://windowstecnico.com/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/windowstecnico/clip_5F00_image0084_5F00_5E6F2C9D.jpg "clip_image008[4]")
Imagen 4: Análisis en Virustotal - detección 0/47
Y es que son muchos los que se inician en el mundo del defacement y sin más suben una web shell ofuscada que se han bajado de la primera página de los resultados de google.
![clip_image010[4]](http://windowstecnico.com/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/windowstecnico/clip_5F00_image0104_5F00_310D96CD.jpg "clip_image010[4]")
Imagen 5: Búsqueda en google c99 webshell
Muchos webmasters se alertarían si su antivirus la hubiese detectado
Conclusión
Me gustaría proponerle una idea y que llegase a los oídos de estas empresas antivirus.
Porqué no advierten los antivirus cuando en un directorio web se encuentra un fichero que hace llamadas a determinadas funciones como gzinflate, base64_decode, etc y si esta al tanto, el administrador la añada como excepción. ¿Se les ocurre algún CMS que ofusque su código fuente como lo hace carbylamine?.
=================================================================
Indetectar web Shell parte I de III
Indetectar web Shell parte II de III
Indetectar web Shell parte III de III
=========================================================================
Impresionante, realmente está muy bien explicado y detallado en este tutorial los distintos tipos de ataques web que se exponen. Sus métodos para su creación, los distintos métodos que utlizan para ocultarse, etc. La verdád es que está pero que muy interesante. Un saludo Mich.
ResponderEliminar