Foro de elhacker.net

Hola, estoy iniciándome en el tema de indetectar malware, mi pregunta es si modeando se puede evitar que te pille la heurística y el sandbox. ¿que tecnicas son necesarias? :huh:

He puesto en practica los métodos de avfucker y dsplit para quitar las firmas, pero ahora tengo problemas con la heurística y con la emulación del malware.

Me pilla el AVG al iniciar el RAT al arranque.

Si me podéis echar una mano os lo agradezco ya que estoy perdido en esto.

Suponiendo que te refieres a que el AV salta al ejecutar el malware:
Creo que estás confundiendo términos... Según lo que cuentas parece ser una detección por comportamiento. Ésto es un tipo de detección heurística pero nada tiene que ver con la emulación.

Saltarse esas detecciones puede ser muy complicado. Depende sobretodo en que es lo que el AV detecta. Para saberlo necesitas buen nivel de ensamblador, técnicas de debugging y paciencia. Se trata de ir nopeando bloques de código y ejecutar. Con algo de experiencia serás capaz de ver APIs o bloques sospechosos y avanzarás más rápido.

Si puedes dar más información sobre el ejecutable será más fácil ayudarte. Un dump del PE sería un buen inicio.

Si, pero me refiero a que una vez agregado al registro, al reiniciar el sistema lo detecta al arranque.
Pero me interesan saber saltar ambas cosas y saber que necesitaría aprender para hacerlo.

No tenia ni idea de lo que era el formato PE, he estado leyendo el tutorial de swash y bueno he entendido lo que he podido ya que tampoco se nada de ASM.

¿Como puedo realizar un dump del PE?

y ¿por donde me recomiendas empezar? o ¿que conocimientos básicos necesito para hacerlo?

Muchas gracias  ;D

Lo mejor para sacar un extracto del PE es usando DUMPBIN con /ALL. Dumpbin es una herramienta que viene con el VisualStudio, aunque imagino que la podrías obtener por separado.

¿Qué clase de alerta te salta? ¿Si ejecutas el fichero sin que esté instalado en el registro no salta? De ser así, ¿En qué clave del registro te instalas?

Para empezar a indetectar malware solo necesitarás paciencia y ganas de aprender. No pienses que en media hora podrás hacer algo indetectable y poco a poco serás más rápido :)

No puedes saltarte la detección por comportamiento. Lo único que puedes hacer es no ejecutarte si detectas una sandbox.

Buster_BSA, sí es posible hacerlo. Muy pocas cosas son imposibles. Solamente hay que valorar si el esfuerzo que requiere encontrar la forma es justificado.

No, no es posible. Cualquier acción maliciosa que realices será interceptada y analizada y contra eso no puedes hacer nada salvo detectar que tu programa está siendo analizado y abortar la ejecución.

Si me quieres llevar la contraria y desmentir lo que digo, pues programas un malware que haga lo que tú dices que es posible.

Yo no sé qué habrás programado tú, pero yo he programado un "malware behavior analyzer" y sé de lo que hablo.

*Cualquier* es un término muy amplio. Todo software es susceptible de tener algún bug o error de diseño. Sobre todo un software complejo como es un sandbox. Como ejemplo te pongo un par de bugs que han habido en "Sandboxie".

Insisto en que es una cuestión de tiempo y esfuerzo encontrar un workaround en cualquier protección. La perfección no abunda.

PD: Conozco tu trabajo, lo publicitas bastante... Además, no se trata de ver quién tiene la p***a más grande. :rolleyes:

El movimiento se demuestra andando, Karcrack.  ;)

Para empezar tienes un error de concepto porque confundes la sandbox con el software de análisis de comportamiento. Son dos cosas diferentes. Solo en el caso del Norman Sandbox Analyzer eso sería correcto, pero es la excepción que confirma la regla. El resto son dos cosas separadas: por un lado estaría la sandbox, que en la inmensa mayoría de los casos es una máquina virtual (Buster Sandbox Analyzer es el único además del Norman que no usa una máquina virtual como framework para el análisis) y por otro el software de análisis de comportamiento.

Por ejemplo: Sandbox -> máquina virtual (VMWare, VirtualBox, ...).  Software de análisis de comportamiento: Cuckoo (programado en Python)

Ya me dirás qué fallos de diseño tiene el VMWare o el VirtualBox que puedan ser aprovechados para que las aplicaciones que hacen análisis de comportamiento sobre ellas no sean capaces de analizar correctamente. Sí, claro, en teoría todo software puede tener fallos, pero a mí solo me vale la práctica.

Dices: "como ejemplo te pongo un par de bugs que han habido en "Sandboxie".  Pues ya me dirás dónde los has puesto porque yo no los veo.  :P

Y no, no se trata de ver quien la tiene más grande. Se trata de no confundir a las personas que vienen al foro a por información. Las cosas son como son hasta que alguien demuestra lo contrario, y de momento nadie en el mundo ha demostrado que se pueda burlar el análisis por comportamiento si no es haciendo lo que ya he dicho: detectar que se está ejecutando bajo un entorno de análisis y abortar la ejecución.

Por cierto, que Tr0Y4N0 ha dicho "estoy iniciándome en el tema de indetectar malware, mi pregunta es si modeando se puede evitar que te pille la heurística y el sandbox" y a saber qué quiere decir con eso de que no le pille el sandbox. A saber qué se imagina él qué es la sandbox y cómo lo puede pillar.

Yo he supuesto que se refiere al análisis por comportamiento, pero a lo mejor él tiene otro concepto de lo que es una sandbox que puede pillar malwares.

Al parecer sí que tenemos una diferencia de conceptos. Yo no equiparo una máquina virtual con un sandbox, ya que la VM engloba Sandbox según comprendo el concepto.

Tristemente no dispongo de ninguna muestra práctica pero supongo que sabrás qué es una elevación de privilegios. Podrás encontrar fallos de este tipo en entornos virtualizados, ya sea: una máquina virtual, un sandbox o incluso en la separación de privilegios en SO.

No creo que esté confundiendo a alguien cuando digo que cualquier cosa es posible con suficiente esfuerzo y dedicación. No sólo eso sino que además creo que es una forma perfecta de mantenerse motivado.

Que se sepa, ni tú ni nadie. Por ejemplo la última vulnerabilidad conocida en el Sandboxie fue descubierta en el 2010. Da la casualidad de que la encontré yo mientras analizaba malwares. Desde entonces nadie ha sido capaz de crear un malware o un POC capaz de escribir en el disco duro real desde dentro de la sandbox. Y no será porque gente muy cualificada no lo haya intentado. Solo hay que ver el análisis que le hizo el amigo Vallejo:

http://vallejo.cc/48


Pareces olvidar que VirtualBox, VMWare, Sandboxie... no es software que haya sido publicado hace dos días. Cuentan con años de desarrollo y han sido escrutados por verdaderos especialistas en ingeniería inversa. ¿Qué posibilidades reales existen de que a estas alturas exista alguna forma de poder saltarse una máquina virtual o una sandbox y realizar acciones directamente en el host?

Hablas de elevación de privilegios. ¿De qué te sirve la elevación de privilegios dentro de una máquina virtual? ¿De qué te sirve la elevación de privilegios en un entorno controlado como es una sandbox donde ciertas acciones se restringen? Por ejemplo el Sandboxie no permite la ejecución de drivers dentro de la sandbox. Por muchos privilegios que eleves eso no te lo va a permitir hacer.


Veo que no acabas de entender que ya ha habido gente muy preparada que ha puesto esfuerzo y dedicación para saltarse el VMWare o el VirtualBox tratando de escribir en el host y no lo ha logrado.

Saludos.

yo he visto a virtualbox  crasear algunas veces a causa del anfitrion, y si crasea es que hay bug, y si hay bug es posible salirse de la maquina virtual. otra cosa es que sea tan complicado que no lo hayan conseguido

Saludoa

Que haya bug en una parte del programa no significa que lo haya en la parte que aisla el host de los programas que corren en la máquina virtual.

Insisto: gente muy preparada han intentando saltar de la VM al host y en el pasado, hace años, lo han logrado, pero el número de vías posibles para hacer eso es limitado, no infinito, y por lo tanto en cuanto se han cerrado todas las vías posibles, ¿cuántas quedan? Pues obviamente 0.

No vamos a llegar a ningún acuerdo aquí. Está claro que son distintas formas de pensar. Tú crees que cuando algo es muy difícil y ya lo han probado muchos expertos es que ya no hay forma de hacerlo. Yo creo que aún no ha llegado el que descubra como hacerlo.

Tú eres más realista y yo más optimista. Tus argumentos son tan validos como los míos.

Por mi parte nada más que añadir :D

Al menos estarás de acuerdo en que el número de formas distintas de hacerlo es un número finito, ¿no?  :P

Estoy completamente de acuerdo en que hay una cantidad finita pero con el paso de tiempo aumenta :P

Yo creo que el límite está en la imaginación y tú (en mi opinión) pones el límite donde los mejores lo han dejado. >:D

Aquí la imaginación no vale de nada. Los agujeros son los que son y hay que saber encontrarlos.

De hecho el VirtualBox es de código abierto, con lo cual el código fuente está disponible y no hace falta hacer ingeniería inversa. Que a pesar de contar con el código fuente no salgan nuevas vulnerabilidades, ¿es que no te dice nada?

Tú dirás:

Obviamente no basta con imaginar las cosas hay que tener alguna base por dónde empezar. Para software muy trabajado como el kernel de Linux (de código abierto) o Windows siguen apareciendo graves vulnerabilidades. ¿No te da que pensar?

Sinceramente no veo que esta charla nos lleve a ningún lado y nos estamos yendo bastante del asunto principal. Si te interesa estaría encantado de seguir intercambiando opiniones contigo por privado.

Un saludo :)

¿Y cuál de esos reportes se refiere a que puedas escribir en el host desde dentro de la máquina si se puede saber?


Una cosa es un sistema operativo y otra cosa es una máquina virtual. Te vuelvo a preguntar: ¿qué vulnerabilidades han aparecido en los últimos dos años que permitieran escribir en el host desde la máquina virtual en VirtualBox o en VMWare?


Nos lleva a responder la pregunta inicial: "Hola, estoy iniciándome en el tema de indetectar malware, mi pregunta es si modeando se puede evitar que te pille la heurística y el sandbox"

Y la respuesta es no, no se puede, a no ser que detectes que estás bajo un entorno de análisis y entonces abortes la ejecuación.

Bueno, si me apuras te diría que el malware realice acciones maliciosas solo a determinadas horas del día y que el resto del tiempo simplemente no haga nada para que así si es analizado por una herramienta de análisis de comportamiento lo más probable sea que no coincida la hora y por lo tanto el análisis dé negativo.

Lo que está claro es que si el malware realiza acciones maliciosas durante un análisis eso no hay modeo que se lo salte.

@Buster_BSA, puedes explicar un poco como funciona el analisis por comportamiento? Quiza eso ayude a esclarecer la cuestion.

Saludos.

estás totalmente equivocado y hablando desde la ignorancia pura y dura, una cosa es el
ANÁLISIS DE CÓDIGO ESTÁTICO Y OTRO ES EL ANÁLISIS EN TIEMPO REAL, son dos cosas
totalmente diferentes, decir que al tener el código fuente no es necesario realizar ingeniería inversa
es una ignorancia del porte de un buque 2 COMPILADORES EN EL MISMO SISTEMA OPERATIVO
NO GENERAN EL MISMO BINARIO, por algo existen vulnerabilidades que dependen TANTO DE LA
 ARQUITECTURA DEL PROCESADOR , S.O y un ambiente X , PUEDE HABER UN EXPLOIT PARA UN S.O XXXXXXX CON LA ARQUITECTURA 64bits Y NO ASÍ PARA EL MISMO S.O en diferente arquitectura Y/O S.O, hay vulnerabilidades que necesitan generar un ambiente propicio para se explotados, veamos cuántos años pasaron para que alguien descubriera la vulnerabilidad de MYSQL que realizando varias peticiones te daba acceso como root, este mismo bug sirve en una versión X de MYSQL y un ambiente propicio te lo digo por experiencia  pero  ¿ MYSQL NO ES DE CÓDIGO ABIERTO?, ¿POR QUÉ DEMORARON TANTO EN DESCUBRIRLO?.
¿por qué demoraron 7 años en descubrir un NULL POINTER en el KERNEL DE LINUX?.

LO que te limita realmente es la imaginación, NADA MAS QUE ESO!!, decir que existe finitas maneras
de saltarte X sistema, solo habla de una persona limitada, ya que esa es la gracia  cada día
tener un nuevo reto y que la cosa vaya avanzando.

por cierto una acotación, los invito a revisar en algún changelog cuántas vulnerabilidades solucionan
y luego cuántos exploit públicos hay ?? , se olvidan que existe un mercado negro de exploit ??.

El análisis por comportamiento es la ejecución de un programa dentro de un entorno controlado donde las acciones del programa están siendo monitorizadas. Cualquier modificación del registro, del sistema de ficheros, apertura o conexión a puertos, etc será traceada para al finalizar el análisis revisar toda la información y generar un informe con aquellas acciones que son consideradas como maliciosas.

Por ejemplo: un malware cuando se ejecuta realiza las siguientes acciones:

* Se copia a sí mismo en otra localización del disco duro y luego se borra de la carpeta desde donde se ejecutó.

* Añade una entrada en el registro para que cuando se inicie el sistema operativo se cargue

* Se conecta a una página web, descarga un fichero y luego lo ejecuta.

Todo eso será registrado y en el informe será resaltado porque son todas acciones maliciosas.

Así funciona el análisis por comportamiento.

Vaya, entonces debo haber perdido el tiempo durante los últimos tres años mientras realizaba mi herramienta y no debería sentirme tan orgulloso de que sea una referencia en el análisis por comportamiento a nivel mundial. En fin, ¡qué se le va a hacer!

Y bien, ¿tú qué has hecho para que cuando hables no lo hagas desde la ignorancia pura y dura?


¿Y yo he dicho que sean dos cosas iguales? ¿Dónde si se puede saber?


http://es.wikipedia.org/wiki/Ingenier%C3%ADa_inversa

"El objetivo de la ingeniería inversa es obtener información o un diseño a partir de un producto accesible al público, con el fin de determinar de qué está hecho, qué lo hace funcionar y cómo fue fabricado."

Precisamente se llama inversa porque partiendo del código binario has de conseguir el código ejecutable.

¿Y eres tú el que me acusa de hablar desde la ignorancia?

 ;-)

@ameise_1987, te has pasado un huevo, si simplemente hubieras puesto Buster_BSA en Google te habrias encontrado con una herramienta como el Buster Sandbox Analizer, que cuando menos impone cuando lees las features y esas cosas, y no hubieras dicho que habla desde la ignorancia con tanta rapidez.

@Buster_BSA, y no se podria usar algun tipo de ofuscacion extrema o conseguir lo que quieras sin hacer acciones consideradas maliciosas? O hacerte pasar por una aplicacion normal y corriente? Porque digo yo que las aplicaciones legitimas tambien podran añadir una entrada al registro o descargar un fichero de una web. En fin, esta claro que es otro nivel de analisis, parece mucho mejor que el estatico clasico, pero tampoco creo que sea imposible saltarselo.

No se trata solo de que la aplicacion tenga un bug, en parte estoy de acuerdo con Karcrack en que el limite lo pone tu imaginacion.

Saludos.

Buster "nunca digas nunca", ni en informatica ni en la vida real son aplicables.
No te quito tu parte de razón, ni a Karcrack, son puntos de vista diferentes de dos programadores.
Un ejemplo de malware que me llamó la atención fue el bootkit de Stoned, no es nuevo lo se, pero a lo que me refiero es que aprovecha una falla de arquitectura, no se puede remediar (palabras de Kumar "TheHackerNews").
No es una comparación, son completamente distintos, yo lo tomo como un ejemplo y que "sin imaginación" puedes saber malabares sobre programación y no llegar nunca a conseguirlo.
Si no tubieses imaginación, jamás hubieses hecho tu herramienta ¿me equivoco?
Esperemos no se llegue nunca a descubrir una falla de este tipo, a más de uno nos iban a dar una lección de humildad, me incluyo el primero no va por nadie.

Saludos.

@Buster_BSA: tu comentario a mi me dio a entender que hablabas del código fuente como única manera de analizar y conseguir un bug, si no es así sorry quizás te expresaste mal o yo entendí mall.

@0xDani: si supieras que me importa una verdadera verga lo que ha echo o no, yo critico lo que leo y no porque sea el creador de una herramienta lo dejaré de hacer.

aún así sigo pensando que la imaginación es lo que te impone las cosas, nada mas !!

saluos!!.

En el análisis por comportamiento la ofuscación no vale para nada. Ya puedes usar toda la ofuscación del mundo que si al final droppeas un fichero a disco va a quedar constancia de tal acción. Y lo mismo si alteras una clave del registro o si te conectas a una página web y descargas un archivo.

Es cierto que las aplicaciones legítimas también escriben en el registro, se conectan a internet y descargan ficheros o crean ficheros en el disco duro.

En el análisis por comportamiento no solo se evalúan las acciones, también se tiene que tener en cuenta si se supone que la aplicación analizada debería realizar esas acciones o no.

Pongo un ejemplo para que se vea más claro:

Descargas un keygen y cuando lo ejecutas escribe en la clave del registro "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" y el fichero se copia a "C:\WINDOWS\System32\Scvhost.exe".

¿Qué debes pensar de que un keygen haga tal cosa? Pues que contiene un malware obviamente.

Otro ejemplo:

Descargas una versión del navegador FireFox y añade claves en el registro y crea ficheros dentro de "\Archivos de programa\FireFox".

¿Qué debes pensar de que un instalador del FireFox haga tal cosa? Pues que aparentemente es normal.

Evidentemente la herramienta de detección 100% efectiva no existe y solo con un análisis manual y exhaustivo de una aplicación se puede estar seguro de que no contiene código malicioso.


Pues yo no estoy de acuerdo. La imaginación te sirve para crear una idea, por ejemplo saltar desde una máquina virtual e infectar el host. Luego son la experiencia y los conocimientos los que te permiten llevar esa idea a la práctica.

Y como ya he dicho, no todas las ideas se pueden llevar a la práctica porque los que fabrican software también tienen imaginación, y ellos también tienen ideas, como la de evitar que sea posible que una aplicación desde la máquina virtual se pueda hacer con el control del host.

Pregunta para todos:

¿Por qué dais por supuesto que la imaginación del que intenta evadir la protección en un software es mayor o mejor que la imaginación del que creó el software?

Seguro que nunca os habías hecho tal pregunta, ¿verdad?

Obviamente la ingeniería inversa suele ser la forma más empleada para buscar vulnerabilidades y exploits porque, sobre todo en software de seguridad, el código fuente no está disponible.

Lo que también es obvio es que es muchísimo más fácil encontrar defectos en el software si tienes el código fuente porque te ahorras toda la parte de la ingeniería inversa y te puedes centrar completamente en buscar los fallos de seguridad.


Si eres capaz de darme un argumento por el cual puedas concluir de forma lógica y razonada que la imaginación del que busca un fallo de seguridad en concreto en un software es mayor o mejor o como lo quieras llamar que la de la persona o personas que diseñaron y programaron el software para evitar que ese fallo exista, entonces te daré la razón.

¿Te parece justo?

Visto desde un punto de vista lógico y racional el número de vulnerabilidades que permitan realizar una determinada acción es un número finito. En cuanto el que diseña el software corrige las vulnerabilidades ese número llega a 0 y en este momento es imposible realizar esa determinada acción.

Cuando un software llega al número 0 en vulnerabilidades por mucha imaginación que le intentes echar (y repito que la imaginación sirve para crear ideas) será imposible lograr tal acción.

Eso es lógica pura y dura y no es discutible como tampoco es discutible que el todo es mayor que cualquiera de las partes.

1)bájate de la nube, que hallas echo una herramienta no te da el titulo de dios sabelo todo y que tiene la verdad absoluta, me importa un verdadero carajo si me das la razón, para mi no eres nada importante como para preocuparme por ello.

2)es cosa de ver cuanto software es parchado y en base a esa misma corrección aparecen nuevos fallos, no lo digo yo y repito que me importa un carajo lo que pienses(quizás a los demás intimidas con tu herramienta a mi no) lo dicen los grandes, es cosa de ver las ponencias de la defcon y leer  a los grandes que llevan no 3 sino que toda su vida dedicado a la explotación de fallos.

3)solo posteaba con el afán de realizar la corrección anterior echa, no me interesa discutir
con el super programador de la super herramienta de detección de malware en base a heurística que kaspersky y nod32 se la pelean  :laugh: :laugh: :laugh: :laugh:  .


saluos!!

hola a todos,

me imagino que monitorizar un proceso en un entorno virtual consumirá una gran cantidad de recursos, no? vamos que para un av comercial montorizar constantemente todos los procesos sería un suicidio  :rolleyes:
por lo que he visto en algunos avs solo virtualizan el proceso la primera vez y después trabajan con listas blancas... ;D

Pues la verdad es que no muchos. Échale un vistazo al Capture-BAT.


Los HIPS es lo que hacen y no hay problema.

@ameise_1987, sigo pensando que te pasas un huevo, efectivamente que haya hecho una herramienta no lo hace un dios, pero desde luego que hace absurda tu afirmacion de que habla desde la ignorancia. A mi me parece que habla mas desde la ignorancia aquel que escribe en plan "Ola k ase" y diciendo que "le importa un carajo" lo que digan los demas.

Haz el favor de expresarte en terminos correctos, no sea que bloqueen el post por que tu eres el unico hasta ahora que se ha salido de tono.

@Buster_BSA, y una pieza de malware no puede hacerse pasar por un instalador de Firefox?

Ademas si metes cada aplicacion en un entorno controlado como va un instalador a efectuar la instalacion?

PD: Buster, se te ha colado "Héchale". Es sin h xD.

Claro, por supuesto, por eso es importante desde el punto de vista de un usuario el descargar software solo de repositorios o sitios web confiables, pero una cosa es hacerte pasar por un instalador del FireFox y otra que luego te pongas a hacer cosas raras como crear valores en ciertas claves del registro.


Cuckoo Sandbox (http://www.cuckoosandbox.org/) utiliza una máquina virtual como entorno seguro para realizar los análisis. La instalación se efectuará de forma normal y sin ningún problema.


Corregido, ¡gracias!

ameise_1987 prueba a tomarte un tranquilizante  ;D.
Se estaban exponiendo diferentes puntos de vista hasta que te lo tomaste como algo personal y entre comillas faltaste el respeto a Buster, creo no hacía falta.

Si queremos que este tema siga adelante intentemos no llegar a tu extremo.
No hagas una montaña de esto, saludos.

Entonces por ejemplo hacerse pasar por un instalador podria ser una forma de escribir en el host, la cuestion seria que no los archivos de la "instalacion" no sean detectados como maliciosos. Es algo que se me ocurre simplemente, al final hay que tener creatividad para encontrar el punto flaco.

Aun asi esta claro que es otro nivel de deteccion, pero claro que se encontrara la forma de saltarselo, como siempre se ha hecho, y todavia queda mucho para el antivirus que lo detecte absolutamente todo.

Es solamente mi opinion, pero en fin, el tiempo nos dara la razon.

Saludos.

yo pienso que siempre habra alguna manera, porque tu puedes ser un super programador e imaginar un monton de formas de evitar que se salten tu proteccion. Pero el que se la salta solo necesita una forma para saltarselo. Siempre es mas facil destruir que construir
Y como dicen por hay, arreglas una cosa y estropeas 2. un claro ejemplo es java que cada 2 por tres tiene un fallo critico.

Saludos

No. Hacerse pasar por un instalador sería la forma de tratar de engañar al usuario.

Cuando ese instalador se ejecuta y se analiza con un analizador del comportamiento el malware debería ser capaz de no levantar sospechas mientras se analiza.

Incurres en el mismo error que los otros: el número de vulnerabilidades posibles para lograr realizar una acción es un número finito. Cuando ese número llega a 0 es imposible realizar esa acción.

¿Tan difícil es de entender?

Esa afirmacion es correcta, sin embargo teniendo en cuenta la cantidad de maneras posibles que hay de realizar esa accion y que igual que se reparan fallos tambien se crean fallos nuevos ese numero finito da para mucho. Sin embargo algun dia llegara a 0, aceptemoslo.



Exacto, para que la instalacion de un programa normal se efectue la sandbox debe permitir que se escriba en el host, entonces si consigue que los archivos de la "instalacion" pasen los analisis ha pasado al host no?

Veo que no lo tienes muy claro. A ver si lo explico de forma que se entienda bien.

¿Qué es una sandbox? Yo por sandbox entiendo un entorno controlado y aislado donde las aplicaciones que son ahí ejecutadas no tienen efecto sobre el "host", o sea, el sistema operativo donde se ejecuta la sandbox.

Una sandbox podría ser una máquina virtual como VirtualBox, VMWare, QEMU, ... o un software de virtualización como el Sandboxie.

Un programa que se ejecuta en una sandbox, en teoría, nunca pasa al "host". Tiene que ser el usuario el que ejecute el programa directamente en el "host".

La idea es que un malware disfrazado de instalación del FireFox no levante sospechas cuando se ejecuta en la sandbox para que el usuario piense que esa aplicación es inocua y por lo tanto la ejecute en el "host".

¿Se entiende ahora?

Hola, he estado leyendo este hilo, y me parece que discutiendo no se llegara a ningun lado en mi opinion y poca experiencia propia puedo decir lo siguiente:

Saltarse la heuristica para evitar la deteccion es mas que posible pero siempre que la pieza de software sea ejecutada en un entorno que simule ser un sistema operativo(simulador, sandbox o maquina virtual) a menos que el ejecutable detecte que esta siendo ejecutado en dicha forma sera monitorizado..y finalmente toda actividad realizada sera descubierta.

en cuanto a vulnerabilidades que permitan ejecutar codigo(shellcode o exploits) en el host viendolo, desde el punto de vista de que la maquina virtual se esta ejecutando en la memoria del huesped(host) es posible que en un futuro se encuentre una manera de atacarla..no estoy diciendo que en el momento sea algo que se esta haciendo o no eso no es lo que importa en este punto...

Pues a ver si Karcrack a ti te cree.

Pues a ver si Buster_BSA a ti te cree.

(:rolleyes:)

Buster_BSA

me tome un tiempo para buscar informacion en cuanto a la existencia de la posibilidad de que software malicioso pueda atacar o escribir en la memoria del host..para ello estuve hechandole el ojo a un 'white paper' escrito por Peter Ferrie[creo que sabes quien es] en el que el describe cuales son los 'vectores de ataque' porsibles que el malware puede realizar al detectar que esta siendo ejecutado en una maquina virtual..

Abstract As virtual machine emulators have become
commonplace in the analysis of malicious code, malicious code
has started to fight back. This paper describes known attacks
against the most widely used virtual machine emulators (VMware
and VirtualPC). This paper also demonstrates newly discovered
attacks on other virtual machine emulators (Bochs, Hydra,
QEMU, and Xen), and describes how to defend against them.

en ese white paper el menciona tres:

*detectar y para la ejecucion

*DOS[denegacion de servicio]

*Finally, the most interesting attack that malicious code can
perform against a virtual machine emulator is to escape from
its protected environment.

tradusco: finalmente. el ataque mas interesante que codigos maliciosos pueden realizar contra de las maquinas virtuales es escapar de su entorno protegido.

creo, si mi ingles no me falla, que el autor se refiere a que el codigo malicioso podria, en teoria, escapar del entorno que la maquina virtua le provee...ademas pude leer que el las maquinas virtuales(especificamente las que se basan en software) usa buffers para alojar las intrucciones ejecutadas por el codigo ejecutable[quizas me equivoco al pensar que esto abre muchas posibilidades] pero al mismo tiempo reduce posibilidades por que esas secciones de memoria se ejecutan en modo no privilegiado...

E.P.: lo que nos deja con que para ciertos ataques sean exitosos los privilegios de la maquina virtual deberian estar ejecutandose en modo privilegiado..

E.P.2: este es el 'white paper' que estuve leyendo:
www.symantec.com/avcenter/reference/Virtual_Machine_Threats.pd


este tema esta interesante :D
saludos

Evidentemente el ataque más interesante que un malware pueda realizar contra una máquina virtual siempre será el escapar del entorno aislado, pero una cosa es querer y otra poder.

Vuelvo a preguntar porque nadie me ha respondido todavía: ¿cuántos años han pasado desde la última vez que se encontró una vulnerabilidad que permitiera a un programa escapar de VirtualBox o VMWare y escribir directamente al host?

entiendo tu punto...pero tengo que aceptar que karcrack tambien tiene razon podrian pasar semanas, meses, anos, o quizas siglos antes de que se encuentre un bug en el software de las maquinas virtuales actuales o un error en la arquitectura de los 'hypervisors' y quizas tomes mucho mas para desarrollar codigo que explote ese bug exitosamente pero no es questionable que es totalmente posible....dificil, si, es dificil pero no imposible...

no se si te acuerdas que Google alegaba que su browser era casi 'unhackable' por que hacia uso de un sandbox entonces paso esto:

http://www.zdnet.com/blog/security/cansecwest-pwnium-google-chrome-hacked-with-sandbox-bypass/10563

aunque no se si existe comparasion entre la sandbox de Chrome y software que emula un sistema operativo en su totalidad...


saludos

Yo no he dicho en ningún momento que no sea posible. Yo defiendo la idea de que no siempre habrá una vulnerabilidad, porque su número es finito y a base de correcciones llegará a 0, y defiendo que las cosas no se logran porque seas capaz de imaginarlas.

Tengo dudas respecto a este advisor ...
http://www.vmware.com/security/advisories/VMSA-2012-0009.html

Igual no venía a eso ... Relax por favor :)

Saludos

entonces debo decirte que te estas contradiciendo...por que todo lo que ves en este justo momento es producto de la imaginacion, recuerda que muchas de las cosas que ves en este momento eran virtual o fisicamente imposibles...

personalmente pienso que para lograr algo se necesita imaginacion, creatividad y conocimiento si tienes las tres y las usas como se debe puedes lograr lo que te propongas..







saludos

:D es gracioso que Novlucker no viniera a eso pero bueno creo que esta parte del advisory me deja claro lo que estuve leyendo en el 'white paper'



saludos

De acuerdo Anthony Blake.  ;D

me gusto este tema al parecer le pude sacar provecho a esta discusion :D seria genial si todos los topics que se abrieran fueran asi..








saludos

:laugh: :laugh: :laugh: ;-)

@0x3c: Es muy difícil que todas estas conversaciones lleguen a buen puerto porque, demasiadas veces, el ego y el orgullo vencen a la lógica y a la educación. (No quiero que se malinterprete, este topic es un ejemplo de que se puede conseguir. Con Buster_BSA da gusto compartir opiniones.)

Es un debate absurdo. Dudo que alguien esté verdaderamente interesado en encontrar vulnerabilidades de semejante naturaleza en esa clase de software, tanto por ser complicado como tedioso. :rolleyes:

Por otra parte, escapar del entorno controlado puede depender de diversos factores, por lo cual la cantidad de vulnerabilidades existentes no deja de ser una cifra subjetiva -tampoco demasiado grande quizá-.

De todos modos estas cosas son para gente trabajólica y yo no soy uno de ellos.

me imagino entonces que querras decir que para encontrar una vulnerabilidad en un 'tipo' de software, debe ser software de ese que realiza operaciones matematicas complejas o no puede ser software de ese que le llaman 'hardcoded'



no me sorprenderia si me dijeras que nunca as descubierto/hecho nada...ese es el tipo de atitud que tienen los vagos



saludos

Sin ánimo de querer crear polémica o añadir más leña al fuego, por aquí hay usuarios que sin haber hecho nada se creen capacitados para criticar a quienes al menos han intentado hacer cosas. O usuarios que hablan alegremente desde el desconocimiento.

zu-zu: "Dudo que alguien esté verdaderamente interesado en encontrar vulnerabilidades de semejante naturaleza en esa clase de software".

Pues si supieras a cuánto se pagan esas vulnerabilidades no dirías eso.

Hay que intentar seguir la siguiente forma de debatir:

(http://25.media.tumblr.com/tumblr_mc21spfcrq1qz9wzao1_500.jpg)

Entonces quisiera conocer cifras, mi opinión sería más objetiva pero no las he visto por ningún lado...

Tampoco es para tanto, seré vago pero eventualmente hay impulsos eléctricos en mis neuronas... No es que desprecie tu trabajo o el de cualquier otro, generaría demasiada polémica.


No, no dije nada de eso lol. No me atreví a dar ejemplos porque probablemente haya sido lo primero que han intentado, como buscar fallas en el manejo de instrucciones, alguna característica que pueda interactuar con el host, mal manejo de memoria y otras tonterías que no vienen al caso mencionar. Gracias.

http://www.hackplayers.com/2012/03/lista-de-precios-de-0-days-para.html

(http://4.bp.blogspot.com/-iYRonnoyUVg/T2-jdqnszkI/AAAAAAAAEIM/Nl6Hmijct40/s400/exploitpricechart.jpg)

Una vulnerabilidad para poder escribir en el host en la última versión de VMWare y que sea desconocida para los desarrolladores bien podría valer varios miles de dólares, o sea, lo que ganan algunos programadores en un año.

Follow up en el tema de escapar de la sandbox:

+

+