Crypters: líneas generales

Esta entrada se orienta a realizar algunos comentarios sobre crypters. No se trata de plantear cómo funciona,  partes, o la programación del mismo (del que abundan tutoriales por internet);  sino de dejar algunos comentarios sobre lo que hacen a la esencia del crypter: su calidad en materia de indetectabilidad.

Brevemente anotamos que el crypter es un programa cuyo objetivo es indetectar un archivo, generalmente un .exe, con el fin de eludir una protección de seguridad. Es decir, “ocultar”, “esconder” información de algún tipo de fichero con el propósito de protegerla en la medida que el equipo no la pueda interpretar.

Por otro lado, es usual asociar a los crypters con la introducción y propagación de malware, y de ahí su necesidad de indetectabilidad para evadir los motores de búsqueda de los antivirus ya sea por el reconocimiento de firmas binarias o heurísticas, pero principalmente la protección proactiva que éstos desarrollan en el dispositivo instalado.

Ahora bien, si se investiga sobre crypters, la información precedente es la más difundida. Sin embargo, cuando se profundiza un poco más, aparecen otros usos de este tipo de software que son totalmente legítimos.

Puede citarse como ejemplo, un ejecutable que nos ocasiona problemas con nuestro antivirus, tirando falsos positivos y resistiéndose a la lista de exclusiones que podemos crear.

Otro ejemplo, es el uso en el ámbito de la seguridad, tanto en la protección de datos o información como de software;  pues mediante a sus funciones, el crypter permite cifrar el código fuente del programa.

¿Qué significa que un crypter es  FUD?

Atiende al sentido de lo que buscamos en un crypter: la total indetectabilidad (full undetected). Es en este punto donde la calidad del crypter se distingue.  Estas diferencias dependen de varios factores: lenguaje en que se programa el software, técnicas de ofuscación/encriptación y manipulación de código  empleada por el programador, etc.; y desde luego, dominio de la ingeniería inversa.

Buena muestra de software indetectable lo tienen en este  crypter fud avanzado  , donde se utilizan metodologías manuales y reservadas que mantienen alejado al software que queremos ocultar de la detección de los antivirus. Súmese  a las actualizaciones automáticas como plus de una invisibilidad sostenida en el tiempo.

Estos aspectos destacados como diferenciantes, también apuntan a los métodos  de modding que suelen usar los programadores para recuperar crypters “quemados” (detectados por las soluciones de seguridad).

Cuando la modificación se realiza a través del empleo de herramientas diseñadas para tal fin – y no en forma manual- la calidad del crypter disminuye considerablemente y rápidamente deja de ser FUD.

En consecuencia, cuando empleemos un crypter habrá que tener presente que si bien circulan miles por internet, no solamente están  “quemados” por falta de actualización sino por toda la metodología utilizada que termina siendo  fácilmente detectable por los antivirus.

 

Posts Relacionados

Comments

comments

Deja una respuesta

Tu email no será publicado. Los campos requeridos estan marcados con *
Puedes usar tags HTML y los atributos: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">