Crypter
Un Crypter es un software que se usa para esconder malware (virus, keyloggers,...) para que no sea fácilmente detectado por los antivirus.[1] Para realizar su función pueden usa técnicas de cifrado y a veces ofuscación.[2]
El Crypter toma el archivo ejecutable y obtiene un nuevo archivo ejecutable que al ejecutarse descifra código cifrado que contiene y obtiene el antiguo archivo ejecutable original.[3]
Funcionamiento
editarEl ejecutable una vez aplicado el crypter tiene una parte sin cifrar, llamada en inglés stub, y la parte que contiene código cifrado. En la parte sin cifrar es lo primero que se ejecuta y lo que hace es localizar dentro del binario el ‘malware cifrado’, a continuación localiza la clave de ‘cifrado/descifrado’ e inicia el proceso de descifrado del ‘malware’ en memoria. Por último hace que se ejecute el código malicioso.[3]
Tipos de Crypter
editarSegún su forma de funcionamiento los Crypter pueden ser:[4]
- De tiempo de escaneado. Toman el ejecutable cifrado, lo descifran, escriben el ejecutable descifrado en el disco y lo ejecutan desde allí. Este tipo de crypters generalmente evaden la detección del escaneo antivirus hasta la ejecución. Tan pronto como el archivo no está cifrado y se escribe en el disco, la mayoría de los antimalware los detecta y los pone en cuarentena.
- De tiempo de ejecución. El crypter no escribe nada en disco. La parte sin cifrar prepara el código incrustado y ofuscado para su ejecución. Para ello descifrar el código y ejecuta la imagen binaria descifrada desde la memoria, realizando las tareas que generalmente hace el cargador de programas del sistema operativo al ejecutar un programa. Esto permite evadir la detección de firmas antivirus. Para ejecutar una imagen binaria por sí misma, emplean técnicas similares a las de los ficheros obtenidos después de aplicar un empaquetador de ejecutables. Por esta razón, los términos empaquetador y crypter se usan a menudo como sinónimos.
Según como está diseñado el crypter los podemos clasificar en:[5]
- Crypter con stub en su interior. Son los más sencillos y fáciles de construir pero tienen la desventaja que si un antimalware detecta el crypter, el stub (código que hará de parte sin cifrar de los programas resultantes) tendrá que ser cambiado también.
- Crypter con la stub externo. La experiencia ha demostrado que crypters de este tipo han permanecido indetectables durante más tiempo.
Ejemplos
editarEjemplos de este tipo de herramientas son:
Referencias
editar- ↑ a b c d e f g CEHv9 Module 06 Malware Threats
- ↑ Explained: Packer, Crypter, and Protector. Pieter Arntz. malwarebytes.com. 27 de marzo de 2017
- ↑ a b c d e f g Que son los Crypters?. lapaginadezero.wordpress.com. ZERO. 1 de mayo de 2015
- ↑ C++ Runtime Crypter. ConnorPatterson. codeproject.com. 6 de marzo de 2017
- ↑ Bypassing Antivirus Detection with Encryption. Tasiopoulos Vasileios. University of Piraeus Department of Digital Systems Marzo de 2014
- ↑ a b c Exploring the Cybercrime Underground: Part 2 – The Forum Ecosystem. Vicky Ray y Rob Downs. unit42.paloaltonetworks.com. 29 de agosto de 2016. Error en la cita: Etiqueta
<ref>
no válida; el nombre «vray» está definido varias veces con contenidos diferentes