Cactus Metamorph 0.3 Foto Ventana Principal:
Listado de funcionalidades 0.3
[ + ] Modificar TimeDateStamp Permite modificar las fechas de creación, acceso y modificación del fichero final
[ + ] vMap: Offset Pointer (Muestra de forma gráfica que zonas del código se han modificado)
[ + ] Sistema de Log's (Genera y guarda un log con los cambios realizados al fichero, junto con TODOS sus offset's modificados)
[ + ] Virtual EOF (añade hasta 25 Kbytes de código adicional, altera el tamaño)
[ + ] Clonación de Código: Permite modificar el ejecutable con partes del código de otro ejecutable inofensivo
[ + ] Diccionario Estático: Selecciona de forma aleatoria un carácter hexadecimal para modificar el fichero
[ + ] Botón 'Detener': para finalizar el proceso de Metamorph en cualquier momento
[ + ] Ayuda Dinámica: Pulsar los botones '?' para ver la ayuda
[ + ] Mejoras en la GUI: Barra de título animada.
[ + ] Mejoras en la GUI: Añadida ventana de "About" con efecto petardos xD
[ + ] Mejoradas las estadísticas, ahora son más eficientes
[ + ] Mejoras en el código interno, los bucles y condiciones son ahora más estables y rápidos
[ + ] Se han cambiado los valores hexadecimales de los diccionarios
[ + ] Aumentados y mejorados los niveles de Ofuscación
Descripción
Este sencillo programa permite modificar un archivo ejecutable compilado (binario) para alterar su estructura interna sin modificar el tamaño original (ni aumentan ni disminuyen los bytes finales). No añade ningún Stub ni descomprime código en tiempo de ejecución. Si modificas 2 veces un mismo archivo obtendrás 2 ficheros distintos, nunca obtendrás 2 copias idénticas de un mismo fichero. Ahora como novedad podrás aumentar el tamaño del fichero modificado, añadiendo hasta 25 Kbytes de datos adicionales. También podrás usar partes del código de otra aplicación inofensiva para modificar tu ejecutable, de esta forma tu 'malware' tendrá partes de código de otra aplicación 'normal' y podrás despistar algo mejor a los Antivirus. Se ha añadido el módulo vMap que muestra en pequeñas celdas las zonas de código que se han modificado, permite también generar y guardar un archivo .log con todos los datos y modificaciones hechas al ejecutable, junto con el listado COMPLETO de los offset's modificados. De esta forma podrás utilizar el listado de offset's para modificar manualmente el mismo ejecutable sin necesidad de lanzar el proceso de nuevo o para integrarlo con otras tools.
Se ha añadido un nuevo modulo llamado 'Modificar TimeDateStamp'. Esto nos permite generar una fecha aleatória y establecerla como fecha de creación, acceso y modificación del fichero. De esta forma la víctima no sospechara si ve un fichero en su sistema con una fecha antigua. Además hay AntiVirus que no escanean ficheros con fechas muy inferiores. A parte permite dejar más modificado el ejecutable.
Para que sirve?
Los AntiVirus detectan un archivo malicioso si encuentran en su interior un patrón de datos que los identifican como tal. Un simple ejemplo:
fichero1
Los AntiVirus almacenan en su fichero de firmas un patrón que les ayuda ha identificar un archivo malicioso (firma), en este ejemplo diremos que es 01110. Bien, si yo consigo detectar cual es el patrón que delata a mi fichero malicioso y consigo cambiarlo un poco obtendré un fichero inocuo al AntiVirus, por ejemplo:
fichero2
Al realizar está técnica pueden ocurrir 3 cosas:
* El fichero final se ha modificado perdiendo su funcionalidad
* El fichero final se ha modificado manteniendo su funcionalidad, pero los AV lo siguen detectando
* El fichero final se ha modificado manteniendo su funcionalidad, y los AV NO lo siguen detectando
Está claro que nosotros queremos llegar al 3º punto, pero no es una tarea sencilla: Hay que ir modificando los Offset's del fichero hasta dejarlo ligeramente modificado, sin "romper" el ejecutable y que el AV no lo detecte. Bien, pues Cactus Metamorph realiza esta tarea de forma automatizada y en pocos segundos.
Como funciona realmente?
Cactus Metamorph coge un fichero compilado (*.exe) y examina TODOS Y CADA UNO de los Offset's del fichero, intentando modificar aquellos que no comprometen la estabilidad ni el funcionamiento del fichero, dejándolo intacto en cuanto a funcionalidad, pero modificado en cuanto a su estructura.
Cabe destacar que Cactus Metamorph no utiliza Stub's, no añade código adicional al ejecutable final, no comprime su estructura ni la expande. No altera su tamaño, deja y respeta hasta el último byte del fichero original (en la versión 0.2 puedes añadir código, modificando los últimos bytes). Después de la metamorfosis, el fichero final cambia por completo, modificando su MD5, CRC32, etc...
Entonces... ¿este programa deja indetectable cualquier fichero o troyano?
No, y lo repito 100 veces más: NO. Cactus Metamorph no asegura que el fichero final vaya a quedar indetectable, es más, si intentas usar este programa con ficheros famosos (Poison Ivy, Bifrost, etc...) no conseguirás nada, pues estos ficheros tienen las firmas en los Offset's vitales del fichero, si se intentan modificar se vuelven inestables y no funcionan.
Este programa te permitirá modificar de forma masiva aquellos Offset's que no son vitales de un ejecutable y dependiendo de cada caso obtendrás:
* Un fichero funciona indetectable
* Un fichero funcional detectado
* Un fichero no funcional (roto)
Dependiendo del nivel de Ofuscación y del Tamaño del Diccionario obtendrás un fichero más o menos modificado. En el cuadro de estadísticas obtendrás un valor llamado Total Offsets que indica cuantos Offset's se han modificado. Cuanto mayor es ese número mejor. Cada vez que uses este programa generará un fichero completamente distinto al anterior con un MD5 distinto. Disfrútalo
LINK DE DESCARGA:
http://cactus-software.elhacker.net/Cactus_Metamorph_0.3.zipAutor:
MadAntraxFuente:
elhacker.net
pero si lo entienden les recomiendo que le peguen una leída, es bastante interesante.
