Cómo evadir antivirus usando Python
Al implementar controles de seguridad en profundidad para tu organización, es probable que incluyas antivirus como parte de la solución. Definitivamente, es una buena práctica siempre que tengamos en cuenta que los antivirus solo están agregando una capa adicional de protección. Nunca deberíamos depender únicamente de ella para proteger los dispositivos de los usuarios finales.
Un buen programa de seguridad siempre debe incluir controles de defensa en profundidad, como la administración de actualizaciones de software. También debe incluir firewalls, capacitación/conciencia de seguridad, seguridad física, gestión de identidad, política de contraseñas, etc.
Sin embargo, no es raro que un ingeniero de seguridad se vea desafiado del por qué necesita esas capas adicionales. Es posible que deba demostrar cómo se pueden evadir fácilmente los antivirus para demostrar su punto.
En este artículo presentaremos un tutorial muy sencillo sobre cómo evadir los antivirus en entornos Windows completamente parcheados y actualizados utilizando una payload de Python.
Ten en cuenta que intentar la evasión del antivirus es un juego de gato y ratón. Cada vez que una nueva técnica de evasión se vuelve popular, los proveedores de antivirus eventualmente aprenderán sobre ella. Por ende, actualizarán su base de datos de firmas para bloquearla.
Luego, surgirán nuevas técnicas de evasión, que harán que los proveedores lo agreguen a su base de datos de firmas, y así sucesivamente.
En el momento de escribir este artículo, el método descrito aquí se usó con éxito para omitir todos los motores de proveedores disponibles en Virus Total y lograr que el payload malicioso se ejecute con éxito en una máquina Windows 10 completamente actualizada con Windows Defender habilitado.