Ejemplo de infeccion con tls
Páginas: 4 (962 palabras)
Publicado: 21 de diciembre de 2011
EJEMPLO DE INFECCIÓN CON TLS CALLBACK FUNCTIONS
Hoy vengo a mostrarles un ejemplo de infección de ejecutables mediante TLS (thread local storage) Callbacks functions, el cual nos permite ejecutarfunciones en hilos distintos en el orden en que se encuentran las funciones, se ejecutan antes del punto de entrada del programa, muy utilizado en malware pero muy poco documentado.
El TLS es undirectorio de la estructura IMAGE_DATA_DIRECTORY, que se encuentra en la cabecera de los archivos ejecutables, su uso es opcional. Según el PECOFF el TLS almacena estáticamente hilos, que posteriormenteejecutará justo antes del punto de entrada del programa (Entry Point), su ventaja en cuanto refiere a malware es su manera de ejecutar (muy disimulada).
A continuación explicaré lo más útil de laestructura de los TLS Callbacks, y lo que emplearemos para infectar nuestro ejecutable.
Referencias:
PECoff (Documentación oficial de Microsoft acerca del formato Portable Executable)http://msdn.microsoft.com/es-es/windows/hardware/gg463125
THREAD LOCAL STORAGE STRUCTURE
La estructura está compuesta por 6 valores enteros (DWORD), por lo tanto su tamaño sería de 0x18h. De todos estoscampos destacaré y explicaré solo 2:
* AddressOfIndex
* AddressOfCallbacks
AddressOfIndex:
Es el puntero a la zona donde el loader de Windows asignará el índice TLS. Esta zona por lo generaldebe encontrarse en una sección de datos, he de suponer que por los permisos de lectura y escritura.
AddressOfCallbacks:
Es el puntero a una matriz de funciones, donde se encuentran una serie dedirecciones virtuales seguidas que apuntan a cada función individualmente, el final estará marcado por un DWORD nulo.
Hay que tener en cuenta que los 2 valores anteriores contienen direccionesvirtuales es decir:
[ImageBase + RVA].
ANALISIS E INICIO DE LA INFECCIÓN
Bueno los valores de la estructura que mencioné anteriormente son pieza fundamental en las funciones TLS Callbacks. Como...
Hoy vengo a mostrarles un ejemplo de infección de ejecutables mediante TLS (thread local storage) Callbacks functions, el cual nos permite ejecutarfunciones en hilos distintos en el orden en que se encuentran las funciones, se ejecutan antes del punto de entrada del programa, muy utilizado en malware pero muy poco documentado.
El TLS es undirectorio de la estructura IMAGE_DATA_DIRECTORY, que se encuentra en la cabecera de los archivos ejecutables, su uso es opcional. Según el PECOFF el TLS almacena estáticamente hilos, que posteriormenteejecutará justo antes del punto de entrada del programa (Entry Point), su ventaja en cuanto refiere a malware es su manera de ejecutar (muy disimulada).
A continuación explicaré lo más útil de laestructura de los TLS Callbacks, y lo que emplearemos para infectar nuestro ejecutable.
Referencias:
PECoff (Documentación oficial de Microsoft acerca del formato Portable Executable)http://msdn.microsoft.com/es-es/windows/hardware/gg463125
THREAD LOCAL STORAGE STRUCTURE
La estructura está compuesta por 6 valores enteros (DWORD), por lo tanto su tamaño sería de 0x18h. De todos estoscampos destacaré y explicaré solo 2:
* AddressOfIndex
* AddressOfCallbacks
AddressOfIndex:
Es el puntero a la zona donde el loader de Windows asignará el índice TLS. Esta zona por lo generaldebe encontrarse en una sección de datos, he de suponer que por los permisos de lectura y escritura.
AddressOfCallbacks:
Es el puntero a una matriz de funciones, donde se encuentran una serie dedirecciones virtuales seguidas que apuntan a cada función individualmente, el final estará marcado por un DWORD nulo.
Hay que tener en cuenta que los 2 valores anteriores contienen direccionesvirtuales es decir:
[ImageBase + RVA].
ANALISIS E INICIO DE LA INFECCIÓN
Bueno los valores de la estructura que mencioné anteriormente son pieza fundamental en las funciones TLS Callbacks. Como...
Leer documento completo
Regístrate para leer el documento completo.