elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: ¿Usas Skype? Protégete de los Skype Resolver


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  ¿Saltarse heuristicas y sandbox modeando?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 3 4 5 6 7 Ir Abajo Respuesta Imprimir
Autor Tema: ¿Saltarse heuristicas y sandbox modeando?  (Leído 15,742 veces)
Tr0Y4N0

Desconectado Desconectado

Mensajes: 8


Ver Perfil
¿Saltarse heuristicas y sandbox modeando?
« en: 9 Diciembre 2012, 01:29 »

Hola, estoy iniciándome en el tema de indetectar malware, mi pregunta es si modeando se puede evitar que te pille la heurística y el sandbox. ¿que tecnicas son necesarias? :huh:

He puesto en practica los métodos de avfucker y dsplit para quitar las firmas, pero ahora tengo problemas con la heurística y con la emulación del malware.

Me pilla el AVG al iniciar el RAT al arranque.

Si me podéis echar una mano os lo agradezco ya que estoy perdido en esto.



En línea

Karcrack


Desconectado Desconectado

Mensajes: 2.425


Se siente observado ¬¬'


Ver Perfil
Re: ¿Saltarse heuristicas y sandbox modeando?
« Respuesta #1 en: 9 Diciembre 2012, 05:45 »

Me pilla el AVG al iniciar el RAT al arranque.
Suponiendo que te refieres a que el AV salta al ejecutar el malware:
Creo que estás confundiendo términos... Según lo que cuentas parece ser una detección por comportamiento. Ésto es un tipo de detección heurística pero nada tiene que ver con la emulación.

Saltarse esas detecciones puede ser muy complicado. Depende sobretodo en que es lo que el AV detecta. Para saberlo necesitas buen nivel de ensamblador, técnicas de debugging y paciencia. Se trata de ir nopeando bloques de código y ejecutar. Con algo de experiencia serás capaz de ver APIs o bloques sospechosos y avanzarás más rápido.

Si puedes dar más información sobre el ejecutable será más fácil ayudarte. Un dump del PE sería un buen inicio.
En línea

Tr0Y4N0

Desconectado Desconectado

Mensajes: 8


Ver Perfil
Re: ¿Saltarse heuristicas y sandbox modeando?
« Respuesta #2 en: 10 Diciembre 2012, 00:05 »

Si, pero me refiero a que una vez agregado al registro, al reiniciar el sistema lo detecta al arranque.
Pero me interesan saber saltar ambas cosas y saber que necesitaría aprender para hacerlo.

No tenia ni idea de lo que era el formato PE, he estado leyendo el tutorial de swash y bueno he entendido lo que he podido ya que tampoco se nada de ASM.

¿Como puedo realizar un dump del PE?

y ¿por donde me recomiendas empezar? o ¿que conocimientos básicos necesito para hacerlo?

Muchas gracias  ;D
En línea

Karcrack


Desconectado Desconectado

Mensajes: 2.425


Se siente observado ¬¬'


Ver Perfil
Re: ¿Saltarse heuristicas y sandbox modeando?
« Respuesta #3 en: 10 Diciembre 2012, 09:04 »

Lo mejor para sacar un extracto del PE es usando DUMPBIN con /ALL. Dumpbin es una herramienta que viene con el VisualStudio, aunque imagino que la podrías obtener por separado.

¿Qué clase de alerta te salta? ¿Si ejecutas el fichero sin que esté instalado en el registro no salta? De ser así, ¿En qué clave del registro te instalas?

Para empezar a indetectar malware solo necesitarás paciencia y ganas de aprender. No pienses que en media hora podrás hacer algo indetectable y poco a poco serás más rápido :)
En línea

Buster_BSA

Desconectado Desconectado

Mensajes: 124


Ver Perfil
Re: ¿Saltarse heuristicas y sandbox modeando?
« Respuesta #4 en: 7 Enero 2013, 20:45 »

No puedes saltarte la detección por comportamiento. Lo único que puedes hacer es no ejecutarte si detectas una sandbox.
En línea

Karcrack


Desconectado Desconectado

Mensajes: 2.425


Se siente observado ¬¬'


Ver Perfil
Re: ¿Saltarse heuristicas y sandbox modeando?
« Respuesta #5 en: 7 Enero 2013, 20:54 »

Buster_BSA, sí es posible hacerlo. Muy pocas cosas son imposibles. Solamente hay que valorar si el esfuerzo que requiere encontrar la forma es justificado.
En línea

Buster_BSA

Desconectado Desconectado

Mensajes: 124


Ver Perfil
Re: ¿Saltarse heuristicas y sandbox modeando?
« Respuesta #6 en: 10 Enero 2013, 23:37 »

No, no es posible. Cualquier acción maliciosa que realices será interceptada y analizada y contra eso no puedes hacer nada salvo detectar que tu programa está siendo analizado y abortar la ejecución.

Si me quieres llevar la contraria y desmentir lo que digo, pues programas un malware que haga lo que tú dices que es posible.

Yo no sé qué habrás programado tú, pero yo he programado un "malware behavior analyzer" y sé de lo que hablo.
En línea

Karcrack


Desconectado Desconectado

Mensajes: 2.425


Se siente observado ¬¬'


Ver Perfil
Re: ¿Saltarse heuristicas y sandbox modeando?
« Respuesta #7 en: 11 Enero 2013, 19:30 »

Cualquier acción maliciosa que realices será interceptada y analizada y contra eso no puedes hacer nada salvo detectar que tu programa está siendo analizado y abortar la ejecución.
*Cualquier* es un término muy amplio. Todo software es susceptible de tener algún bug o error de diseño. Sobre todo un software complejo como es un sandbox. Como ejemplo te pongo un par de bugs que han habido en "Sandboxie".

Insisto en que es una cuestión de tiempo y esfuerzo encontrar un workaround en cualquier protección. La perfección no abunda.

PD: Conozco tu trabajo, lo publicitas bastante... Además, no se trata de ver quién tiene la p***a más grande. :rolleyes:
En línea

Buster_BSA

Desconectado Desconectado

Mensajes: 124


Ver Perfil
Re: ¿Saltarse heuristicas y sandbox modeando?
« Respuesta #8 en: 11 Enero 2013, 22:30 »

El movimiento se demuestra andando, Karcrack.  ;)

Para empezar tienes un error de concepto porque confundes la sandbox con el software de análisis de comportamiento. Son dos cosas diferentes. Solo en el caso del Norman Sandbox Analyzer eso sería correcto, pero es la excepción que confirma la regla. El resto son dos cosas separadas: por un lado estaría la sandbox, que en la inmensa mayoría de los casos es una máquina virtual (Buster Sandbox Analyzer es el único además del Norman que no usa una máquina virtual como framework para el análisis) y por otro el software de análisis de comportamiento.

Por ejemplo: Sandbox -> máquina virtual (VMWare, VirtualBox, ...).  Software de análisis de comportamiento: Cuckoo (programado en Python)

Ya me dirás qué fallos de diseño tiene el VMWare o el VirtualBox que puedan ser aprovechados para que las aplicaciones que hacen análisis de comportamiento sobre ellas no sean capaces de analizar correctamente. Sí, claro, en teoría todo software puede tener fallos, pero a mí solo me vale la práctica.

Dices: "como ejemplo te pongo un par de bugs que han habido en "Sandboxie".  Pues ya me dirás dónde los has puesto porque yo no los veo.  :P

Y no, no se trata de ver quien la tiene más grande. Se trata de no confundir a las personas que vienen al foro a por información. Las cosas son como son hasta que alguien demuestra lo contrario, y de momento nadie en el mundo ha demostrado que se pueda burlar el análisis por comportamiento si no es haciendo lo que ya he dicho: detectar que se está ejecutando bajo un entorno de análisis y abortar la ejecución.


En línea

Buster_BSA

Desconectado Desconectado

Mensajes: 124


Ver Perfil
Re: ¿Saltarse heuristicas y sandbox modeando?
« Respuesta #9 en: 11 Enero 2013, 22:36 »

Por cierto, que Tr0Y4N0 ha dicho "estoy iniciándome en el tema de indetectar malware, mi pregunta es si modeando se puede evitar que te pille la heurística y el sandbox" y a saber qué quiere decir con eso de que no le pille el sandbox. A saber qué se imagina él qué es la sandbox y cómo lo puede pillar.

Yo he supuesto que se refiere al análisis por comportamiento, pero a lo mejor él tiene otro concepto de lo que es una sandbox que puede pillar malwares.
En línea

Páginas: [1] 2 3 4 5 6 7 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
[Source] IsAnubisPresent() - Sistema AntiAnubis SandBox
Programación Visual Basic
Mad Antrax 6 4,595 Último mensaje 28 Junio 2008, 15:30
por Mad Antrax
Buster Sandbox Analyzer « 1 2 ... 8 9 »
Seguridad
Buster_BSA 83 24,518 Último mensaje 7 Enero 2013, 20:48
por Buster_BSA
Los antivirus y sus "poderosas" heurísticas
Análisis y Diseño de Malware
[ANTRAX] 7 3,446 Último mensaje 23 Junio 2010, 21:36
por Debci
SandBox para Android
Noticias
wolfbcn 0 1,229 Último mensaje 18 Julio 2011, 14:03
por wolfbcn
Aplicaciones tipo Sandbox
Seguridad
Gambinoh 0 453 Último mensaje 10 Junio 2015, 16:14
por Gambinoh
Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines