AntiFooling, simula que tu máquina es virtual para que el malware no se ejecute

Hoy nos llegaba una petición de un amigo en nuestro grupo de Telegram para que echáramos un vistazo a una herramienta publicada por Scorpio en Indetectables, concretamente AntiFooling.

AntiFooling es una sencilla pero útil herramienta hecha con AutoIt para simular que un sistema Windows es una máquina virtual, pero ¿para qué?. Pues hoy en día la mayoría del malware es analizado dinámicamente en máquinas virtuales y sandboxes, por lo que el software malicioso suele implementar medidas que lo detectan y detienen su ejecución en tal caso. Por lo tanto, si "engañamos" al malware para que crea que está en un entorno de análisis de este tipo podremos conseguir que tampoco se ejecute en nuestra máquina, obteniendo así un eficaz "antivirus".

Por el momento, AntiFooling puede simular ser un sistema virtualizado con VirtualBox o VMWare, para lo cuál utiliza los siguientes artefactos:

Processes:
'VBoxService.exe' (VBOX)
'VBoxTray.exe' (VBOX)
'VMwareUser.exe' (VMWARE)
'VMwareTray.exe' (VMWARE)
'VMUpgradeHelper.exe' (VMWARE)
'vmtoolsd.exe' (VMWARE)
'vmacthlp.exe' (VMWARE)

Files:
@WindowsDir & '\System32\drivers\VBoxMouse.sys' (VBOX)
@WindowsDir & '\System32\drivers\VBoxGuest.sys' (VBOX)
@WindowsDir & '\System32\drivers\VBoxSF.sys' (VBOX)
@WindowsDir & '\System32\drivers\VBoxVideo.sys' (VBOX)
@WindowsDir & '\System32\vboxdisp.dll' (VBOX)
@WindowsDir & '\System32\vboxhook.dll' (VBOX)
@WindowsDir & '\System32\vboxmrxnp.dll' (VBOX)
@WindowsDir & '\System32\vboxogl.dll' (VBOX)
@WindowsDir & '\System32\vboxoglarrayspu.dll' (VBOX)
@WindowsDir & '\System32\vboxoglcrutil.dll' (VBOX)
@WindowsDir & '\System32\vboxoglerrorspu.dll' (VBOX)
@WindowsDir & '\System32\vboxoglfeedbackspu.dll' (VBOX)
@WindowsDir & '\System32\vboxoglpackspu.dll' (VBOX)
@WindowsDir & '\System32\vboxoglpassthroughspu.dll' (VBOX)
@WindowsDir & '\System32\VBoxService.exe' (VBOX)
@WindowsDir & '\System32\VBoxTray.exe' (VBOX)
@WindowsDir & '\System32\VBoxControl.exe' (VBOX)
@WindowsDir & '\System32\drivers\vmmouse.sys' (VMWARE)
@WindowsDir & '\System32\drivers\vmhgfs.sys' (VMWARE)
@ProgramFilesDir & '\VMWare\VMware Tools\VMwareUser.exe' (VMWARE)
@ProgramFilesDir & '\VMWare\VMware Workstation\VMwareTray.exe' (VMWARE)
@ProgramFilesDir & '\VMWare\VMware Tools\VMUpgradeHelper.exe' (VMWARE)
@ProgramFilesDir & '\VMWare\VMware Tools\vmtoolsd.exe' (VMWARE)
@ProgramFilesDir & '\VMWare\VMware Tools\vmacthlp.exe' (VMWARE)

Directories:
@ProgramFilesDir & '\Oracle\Virtualbox Guest Additions\' (VBOX)
@ProgramFilesDir & '\VMWare\' (VMWARE)
@ProgramFilesDir & '\VMWare\VMware Tools' (VMWARE)
@ProgramFilesDir & '\VMWare\VMware Workstation' (VMWARE)

Por el momento, añade sólo técnicas Anti-Virtualización, pero también se le puede hacer creer al malware que esta siendo debuggeado o emulado para prevenir su ejecución en equipos legítimos.

Descarga:
-Compilados x64 & x86: https://www.sendspace.com/file/rph4dh
-Source Code (AutoIt): https://www.sendspace.com/file/lvdx2x

Documentación:
-http://www.xylibox.com/2011/05/anti-vmware.html
-https://github.com/LordNoteworthy/al-khaser

7 comentarios :

  1. Este comentario ha sido eliminado por un administrador del blog.

    ResponderEliminar
  2. See Create own custom debuggers (source-codes):
    https://www.codeproject.com/articles/43682/writing-a-basic-windows-debugger
    https://www.codeproject.com/Articles/132742/Writing-Windows-Debugger-Part
    https://msdn.microsoft.com/en-us/library/windows/desktop/ms679288(v=vs.85).aspx
    https://www.gironsec.com/blog/2013/12/writing-your-own-debugger-windows-in-c/
    https://tripleemcoder.com/2011/12/10/writing-an-automatic-debugger-in-15-minutes-yes-a-debugger/

    ResponderEliminar
  3. San Emeterio y Román presentaron hace un año una herramienta que hacía lo mismo. Analizaba el sistema con pafish para demostrar que no era virtual y tras la instalación del Driver, ponía todas las flags de pafish activadas, de forma que todo indicaba que era virtual, aunque no lo era.

    ResponderEliminar
  4. Me gustaría que fuera al contrario que haga creer que la virtual es física.

    ResponderEliminar
  5. cuenten que resultados da

    ResponderEliminar