This page looks best with JavaScript enabled

Conociendo sobre Malware XVI - Modificando las virtuales para ir contra los Antis

 ·   ·   3 min read

Nuevamente un aporte de FudMario solo que esta vez le cambie el nombre xD y nos vamos con la entrada, mas de malware!!! ahora para ir contra los antis que traen los Crypters y demas asi podremos analizar sin ningun problema esta es una recopilación de lo que podemos hacer para dejar indetectable a nuestra virtual.

Anti-Anti Virtuales by fudmario

Uno de los problemas que existen al momento de Realizar Análisis de Malware, es cuando nos encontramos con diversas técnicas que utilizadas para evitar ser analizados, entre ellas:

  • Verificar si estan cargadas ciertas DLLs (Ej: SandBoxie => SbieDll.dll).
  • Verificar la Existencia de algunos ficheros(Ej: Driver-VirtualBox => VBoxMouse.sys).
  • Verificar si algunos procesos estan en ejecuci√≥n(Ej: VBoxService.exe, VMWareUser.exe, Wireshark.exe, etc.).
  • Verificar el identificador del Disco Principal.
  • Deteccion de Breakpoints, Presencia de Anti-Debuggers, etc…

En SI, un sin fin de formas que utilizan los malware’s para evitar ser analizados.

En esta primera parte vamos a ver como modificar nuestro entorno Virtual, esto para eludir la t√©cnicas que generalmente tienen ciertos Malware’s para evitar ser ejecutados en entornos Controlados(suena repetitivo xD).

Vamos a modificar nuestra Maquina Virtual de “Virtual Box”, al igual que se puede dejar indectectables los Malware’s, tambien volveremos indetectable a nuestra Maquina Virtual por as√≠ decirlo.

Comencemos:

Parte 1:
En esta parte renombraremos ficheros, valores en registro, teniendo en cuenta que cada modificaci√≥n debe realizarse verificando que no da√Īe nuestra VM.

T√©cnica #1 “VirtualBox Shared Folders Minirdr NP”

Comprueba si esta cargada esta DLL: “VBoxMRXNP.dll”

Lo que haremos ser√° renombrarla: a√Īadirle un caracter al el nombre o randomizar el nombre, creo que si randomizamos ser√° muy dificil que sea detectado.
A por ello:

Cambiaremos el nombre del Fichero:

Código

'Ruta del Fichero:  
%WinDir%\system32\VBoxMRXNP.dll  
'Por:  
%WinDir%\system32\POIUYT.dll 'Randomizar el Nombre del Fichero.

Y tambien lo modificaremos desde el Editor de Registro para que no cause ningun error.

Código:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VBoxSF\NetworkProvider

![](http://i.imgur.com/7byvJQ3.png)  
  
  
![](http://i.imgur.com/OcKv9v8.png)

  
  
  
**Técnica #2 "VBoxMouse.sys"**  
  
De la misma forma anteriormente mostrada, renombraremos el nombre del fichero.  
  

Código: 

%WinDir%\system32\drivers\VBoxMouse.sys

%WinDir%\system32\drivers\FLGKHJ.sys

desde el Editor de Registro, tambien modificaremos, en las siguientes rutas:  
  

Código: 

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VBoxMouse

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\VBoxMouse

En ImagePath, cambiaremos:  
  

Código:

System32\DRIVERS\VBoxMouse.sy
por:
System32\DRIVERS\FLGKHJ.sys

  

```

![](http://i.imgur.com/y54yeUL.png)  
  
![](http://i.imgur.com/s2rGAFF.png)

  
  
**Técnica #3 "vboxservice.exe"**  
  
M√°s de lo mismo a renombrarlo.  
  

Código: [\[Seleccionar\]](https://www.blogger.com/null)

```
%WinDir%\system32\vboxservice.exe  
por  
  
%WinDir%\system32\RNDSRVC.exe
```  
Y modificarlo tambien en el Editor de Registro.  

Código: [\[Seleccionar\]](https://www.blogger.com/null)

```
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VBoxService  
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\VBoxService  
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VBoxService
```  
Vamos a modificar en ImagePath por el nuevo nombre del Fichero.  
  

![](http://i.imgur.com/n5eEbrU.png)  
  
![](http://i.imgur.com/kCQ4pQs.png)

  
  
  
**Técnica #4 "VirtualBox Guest Additions"**  
  
Cambiaremos el Nombre de la siguente Clave:  
  

Código: [\[Seleccionar\]](https://www.blogger.com/null)

```
HKEY_LOCAL_MACHINE\SOFTWARE\Oracle\VirtualBox Guest Additions  
  
HKEY_LOCAL_MACHINE\SOFTWARE\Oracle\RANDOMGUESTADDITIONS_fudmario
```  

![](http://i.imgur.com/t8aLvzR.png)  
  
![](http://i.imgur.com/oqZUS88.png)

  
  
**Parte 2:**  
Esta parte es similar al anterior hasta cierto punto, en la anterior parte modificamos por as√≠ decirlo permanentemente, pero en esta parte no se puede¬† ya que al reiniciar se restablecer√° las modificaciones realizadas ya que si no se podria da√Īar nuestra VM.  
  
  
**Técnica #5 "HARDDISK"**  
Modificaremos en el Editor de Registro:  
  

Código: 

```
HKEY_LOCAL_MACHINE\HARDWARE\DEVICEMAP\Scsi\Scsi Port 0\Scsi Bus 0\Target Id 0

\Logical Unit Id 0

en Identifier: **VBOX HARDDISK** por Cualquiera otra cosa.  
  

![](http://i.imgur.com/G2vrZCl.png)

  
  
  
**Técnica #6  , Técnica #7   "SystemBiosVersion" | "VideoBiosVersion"**  
  

Código: 

HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System

Modificaremos en informacion de Valor, de SystemBiosVersion y VideoBiosVersion por cualquier cosa.  
  

![](http://i.imgur.com/TvZLTz3.png)

  
**T√©cnica #8 "Verificando el Tama√Īo del Disco"**  
¬†En ocaciones tambien puede pasar que el Malware¬† Revise si el tama√Īo de disco es menor a un valor dado, que generalmente son¬† 20GB, 30GB √≥ 50GB esta t√©cnica no se usa generalmente, pero hay les dejo el dato para que le puedan agregar en Expansion Dinamica a el Disco un Tama√Īo mayor a eso.  
  
  
**  
Test1:**  

ANTES:  
  
![](http://i.imgur.com/aolzKwY.png)  
  
AHORA:  
  
![](http://i.imgur.com/rSEIXDs.png)

  
  
**  
Test2:**  
  

![](http://i.imgur.com/5Ps796n.gif)

  
  
Hasta el momento solo se me ocurren esas, si alguien conoce otras t√©cnica, comenten en el post para seguir a√Īadiendo. Esto tambien Aplica a VMWare, Qemu, pero prefiero a VBOX ya que es gratuito.  
  
  
**Autor: fudmario**  
  
**Regards,**  
**Snifer**  
**PD:** Matabarras trollencio :D
Share on
Support the author with

Avatar
WRITTEN BY