Amber un paquete de pruebas de concepto

Amber

Amber es una herramienta que permite empaquetar archivos de PE (Portable Execution) regularmente compilados en archivos de PE reflectivos y pueden usarse como alguna carga útil de infección en diferentes etapas.

No hablare de la instalación ya que lo haré en un próximo articulo debido a que la distribución de Blackarch la trae en su lista de herramientas.

Cuando solo se realiza una prueba y no se pasa un parámetro extra si no que solo el nombre de nuestro archivo que queremos ejecutar el empaquetador generara un carga útil de múltiples etapas que realizaran un cifrado RC4 con cierta clave aleatoria, luego compilara en un archivo Portable Execution que utilizara algunas funciones adicionales de anti-detección.

Ejemplo

Ejemplo sencillo de uso solo aplicando el parámetro -k especificando la longitud de la clave RC4 que se genera aleatoriamente y el parametro -a que habilitaran la tasa de detección en sistemas de análisis de malware basados en VM.

Amber

A continuación te dejo una breve explicación de cada uno de los parámetros que tiene Amber en su wiki:

  • -k / -keysize: este parámetro especifica la longitud de la clave RC4 generada aleatoriamente.
  • -r / -reflective: si esta opción está activada , ámbar genera una carga útil reflexiva que se puede usar en ataques de múltiples etapas.
  • -a, -anti-análisis: esta opción habilitará las funciones de análisis en el stub de go. Habilitar esto debería disminuir la tasa de detección en sistemas de análisis de malware basados ​​en VM.
  • -i / -iat: cuando este indicador se establece en ámbar, utiliza las entradas de la tabla de direcciones de importación al llamar a las funciones API de Windows. (Esta opción se puede usar para el sigilo adicional contra las mitigaciones de explotación, como Windows Defender Exploit Guard y EMET)
  • -s / -scrape: cuando este indicador se establece en ámbar, raspa algunas partes del encabezado PE en la asignación de archivos generados. (Más sigilo contra los escáneres en tiempo de ejecución)
  • -no-resource: cuando este indicador pasa a ámbar, no agregue ningún recurso o metadatos al binario de salida. (También lo hace más pequeño)
  • -ignore-integrity: si este indicador se establece en ámbar, se ignoran los errores de comprobación de integridad.

Portable Execution (PE)

Es un formato de archivo estándar para ejecutables, código de objeto y DLL, que se utilizan en sus versiones de 32 y 64 bits en los sistemas operativos Windows. El formato PE técnica se estructura en datos que encapsulan información necesaria para que el cargador del sistema Windows administra el código ejecutable ajustado.

RC4

Es un esquema de cifrado de flujo simétrico, es un esquema que su cifrado es bastante simple y puede utilizarse en software de forma muy eficiente, sin embargo hace tiempo que RC4 ya no es considerado un algoritmo seguro.

Conclusión

Actualmente no es una herramienta completa así que algunas cosa podrían romperse sin embargo es un herramienta muy útil para empaquetar archivos de PE en archivos de PE que pueden usarse como una carga útil de infección en múltiples etapas.

wiki de la aplicación

https://github.com/EgeBalci/Amber/wiki

Registrate en el foro, síguenos en FacebookTwitterunete a nuestro chat en Discord y no olvides compartirnos en las redes sociales. También puede hacernos una donación o comprar nuestros servicios.

 

Etiquetas

Acerca del autor

Conocimientos

  • Estudiante de ingeniería en sistemas