Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Las API's de Windows más utilizadas por el malware




En Binary Networks vemos un curioso experimento en el que analizaron una gran cantidad de muestras de malware para ver las APIs más utilizadas. En total reunieron 5TB de espacio con 549.035 ejecutables, todos únicos y confirmados por VirusTotal. Luego mediante un script multihilo en Python extrajeron todos los imports y contaron las veces en las que cada muestra llamaba a una API.







De este análisis obtuvieron resultados muy interesantes. En total hubo 21.043 muestras sin importaciones mientras que 527.992 por lo menos importaron una API. Es decir, sólo el 3,8% de las muestras no tenía ninguna importación. Eso significa que menos del 5% de los archivos se empaquetaron bien sin importaciones estáticamente incluyendo sus dlls, o estaban usando sus propios métodos para la búsqueda e importación de APIs fuera de la tabla de importación del propio PE.

Del resto, de los que si hacían importaciones, hubo un total de 120.126 API importadas de forma exclusiva, un número mucho más grande de lo imaginado.

Las 10 APIs más utilizadas, con un gran escalón respecto al resto, son las siguientes:

#1 GetProcAddress 394546
#2 LoadLibraryA 344607
#3 GetModuleHandleA 305054
#4 ExitProcess 301073
#5 VirtualAlloc 244900
#6 WriteFile 223855
#7 GetModuleFileNameA 221006
#8 CloseHandle 220358
#9 RegCloseKey 213748
#10 VirtualFree 211790

También que quedó claro es que una serie de APIs estaban siendo importados por 3 ª partes de dll.

Por ejemplo av_dup_packet fue importada desde una dll de audio (http://ffmpeg.org/doxygen/0.6/avpacket_8c.html).

Es probable que estas API se utilizan para romper el sandbox de los AntiVirus (y sandboxes de herramientas par aanalizar malware como Cuckoo).

Además hay una serie de importaciones que son igual a los alias de Windows API como vlc_memset (alias a memset).

Estos son dos técnicas interesantes que trabajarían grande para evadir un producto AV basado heurística o firma que está examinando las importaciones.

Para ver algunas otras conclusiones interesantes y obtener el PDF detallado con los resultados visita:

https://www.bnxnet.com/top-maliciously-used-apis/

Fuente:
http://www.hackplayers.com/2015/05/las-apis-mas-utilizadas-por-malware.html


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.