Pages

miércoles, 27 de julio de 2011

Ofuscar una PHPShell (Indetectar Codigo fuente)

¿Como hacer indetectable una PHP Shell?  
(FUD a los Antivirus)

PHP-SHELL Imagen logo
Para los que no saben que es una PHP Shell (En definición a "Defacement").
PHP Shell o Shell PHP es un programa o script desarrollado íntegramente en PHP. Su principal función es la posibilidad de ejecutar los famosos shell-commands en el servidor donde se encuentre.
Algunos tienen bastas funciones, como la de explorar los directorios en el servidor en que se encuentre, crear archivos y eliminar, crear directorios y eliminar, editar archivos en texto plano, establecer una conexión MySQL, PostgreSQL u Oracle, establecer una conexión con NetCat, cambiar permisos a los elementos del servidor, etc.
(Fuente | Wikipedia)

Teniendo en cuenta que ya cualquier PHPShell es detectada por los antivirus, sin embargo, los servidores escanean este tipo de Scripts en sus sitios web, y muy difícil que el atacante pueda ejecutar la PHP Shell.
La Shell C99 es detectada por todos los antivirus, sin embargo, existe la base64 c99 que es la misma versión unicamente ofuscada en Base 64 y es FUD (Indetectable).

Tomare un ejemplo de la Shell 7 Storm la versión sin modificar y ahora la subiré a NovirusThanks para ver cuantos antivirus lo detectan..
Al parecer es detectado por unos cuantos antivirus:
File Info
Report date: 2011-07-27 20:22:08 (GMT 1)
File name: storm7shell-php
File size: 546324 bytes
MD5 Hash: da6048d0dbe0c97dbf6984a87056b7e9
SHA1 Hash: fa3975a0ff016599b844f396a01ddcfbe53304e9
Detection rate: 4 on 5 (80% )
Status: INFECTED

Detections

AVG - Citem_c.IBT
Avira AntiVir - PHP/C99Shell.546575
ClamAV - Trojan.PHP.C99Shell
Emsisoft - Backdoor.PHP.C99Shell.y!IK
TrendMicro -

Scan report generated by
NoVirusThanks.org
¿Como hacemos indetectable a esos antivirus?
1) Para ofuscar el código nos vamos a la pagina de Code eclipse y pegamos el código de la PHP SHELL.
2) Una vez puesto el código de fuente de la Shell damos clic en Next >
3) Nos aparecerá unas opciones, sin tocar nada damos clic Encode > 

Code Eclipse - Encode tool ofuscation
4) Dentro de algunos segundos o minutos nos aparecerá el código ofuscado. (El tiempo del proceso depende el peso del código)

Código ofuscado
Ahora lo subimos nuevamente a novirusthanks para comprobar su indetectabilidad.
File Info
Report date: 2011-07-27 20:49:33 (GMT 1)
File name: storm7shell-ofuscation-php
File size: 1427333 bytes
MD5 Hash: bd5fd88671bc18fc1dc7a1544a59e22b
SHA1 Hash: 75b9225dd1429d201e7b029a071842cfe635686d
Detection rate: 0 on 5 (0%)
Status: CLEAN

Detections

AVG -
Avira AntiVir -
ClamAV -
Emsisoft -
TrendMicro -

Scan report generated by
NoVirusThanks.org
Voila! completamente FUD
Fuente(s) | SeguridadBlanca & Jbyte Security

1 comentario:

  1. Alguien sabe como funciona la ofuscación de codeeeclipse? Se puede obtener algun programa que haga lo mismo offline?

    ResponderEliminar

Blaaa blaa y + blaa.. escribe las dudas que tengas :D

- No incluyas Correos electrónicos por seguridad propia.
- No SPAM/Flood.
- Se borrará cualquier comentario ofensivo, racista o vulgar.