viernes, 27 de junio de 2014

Defeating WebShells Detection Tools III: oculta tus webshells con HideShells

¡Saludos!

       Tal y como adelanté en el primer post de esta serie os voy a dejar por aquí un script "del-colacao" para que tu webshell pueda evadir  a las diferentes herramientas que hemos ido venciendo en las entregas anteriores (PHP WebShell Detector, NeoPI, Linux Malware Detector, cualquier AV).

     La idea es tan sencilla como antigua: ocultar la webshell codificandola dos veces en base64. En realidad se podría aplicar cualquier otra modificación a la cadena (rot13, darle la vuelta, sumar un valor a cada caracter, etc.) o incluso combinar diferentes entre sí, lo único importante es evitar que estas herramientas puedan detectar las porciones de código que utilizan como firma.

    Para evitar los análisis basados en la entropía, tamaño de las cadenas de texto, y el índice de coincidencia, lo que hacemos es cortar la cadena que contiene la webshell en base64 , de tal forma que queda como subcadenas uniformes de 4 caracteres como máximo.

    Como digo, se trata de trucos muy viejos  que siguen funcionando a día de hoy. El script está en el github del blog ( https://github.com/0verl0ad/HideShell ). Además lo he añadido a g0jira (todavía le queda muchisimo al proyecto).


Byt3z!

5 0verl0ad Labs: Defeating WebShells Detection Tools III: oculta tus webshells con HideShells ¡Saludos!        Tal y como adelanté en el primer post de esta serie os voy a dejar por aquí un script "del-colacao" para que tu...
< >