elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Únete al Grupo Steam elhacker.NET


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  ¿Saltarse heuristicas y sandbox modeando?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 [2] 3 4 5 6 7 Ir Abajo Respuesta Imprimir
Autor Tema: ¿Saltarse heuristicas y sandbox modeando?  (Leído 29,041 veces)
Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: ¿Saltarse heuristicas y sandbox modeando?
« Respuesta #10 en: 11 Enero 2013, 23:37 pm »

Al parecer sí que tenemos una diferencia de conceptos. Yo no equiparo una máquina virtual con un sandbox, ya que la VM engloba Sandbox según comprendo el concepto.

Tristemente no dispongo de ninguna muestra práctica pero supongo que sabrás qué es una elevación de privilegios. Podrás encontrar fallos de este tipo en entornos virtualizados, ya sea: una máquina virtual, un sandbox o incluso en la separación de privilegios en SO.

No creo que esté confundiendo a alguien cuando digo que cualquier cosa es posible con suficiente esfuerzo y dedicación. No sólo eso sino que además creo que es una forma perfecta de mantenerse motivado.
En línea

Buster_BSA

Desconectado Desconectado

Mensajes: 138


Ver Perfil
Re: ¿Saltarse heuristicas y sandbox modeando?
« Respuesta #11 en: 12 Enero 2013, 00:38 am »

Tristemente no dispongo de ninguna muestra práctica

Que se sepa, ni tú ni nadie. Por ejemplo la última vulnerabilidad conocida en el Sandboxie fue descubierta en el 2010. Da la casualidad de que la encontré yo mientras analizaba malwares. Desde entonces nadie ha sido capaz de crear un malware o un POC capaz de escribir en el disco duro real desde dentro de la sandbox. Y no será porque gente muy cualificada no lo haya intentado. Solo hay que ver el análisis que le hizo el amigo Vallejo:

http://vallejo.cc/48

pero supongo que sabrás qué es una elevación de privilegios. Podrás encontrar fallos de este tipo en entornos virtualizados, ya sea: una máquina virtual, un sandbox o incluso en la separación de privilegios en SO.

Pareces olvidar que VirtualBox, VMWare, Sandboxie... no es software que haya sido publicado hace dos días. Cuentan con años de desarrollo y han sido escrutados por verdaderos especialistas en ingeniería inversa. ¿Qué posibilidades reales existen de que a estas alturas exista alguna forma de poder saltarse una máquina virtual o una sandbox y realizar acciones directamente en el host?

Hablas de elevación de privilegios. ¿De qué te sirve la elevación de privilegios dentro de una máquina virtual? ¿De qué te sirve la elevación de privilegios en un entorno controlado como es una sandbox donde ciertas acciones se restringen? Por ejemplo el Sandboxie no permite la ejecución de drivers dentro de la sandbox. Por muchos privilegios que eleves eso no te lo va a permitir hacer.

No creo que esté confundiendo a alguien cuando digo que cualquier cosa es posible con suficiente esfuerzo y dedicación. No sólo eso sino que además creo que es una forma perfecta de mantenerse motivado.

Veo que no acabas de entender que ya ha habido gente muy preparada que ha puesto esfuerzo y dedicación para saltarse el VMWare o el VirtualBox tratando de escribir en el host y no lo ha logrado.

Saludos.
En línea

Arkangel_0x7C5


Desconectado Desconectado

Mensajes: 361



Ver Perfil
Re: ¿Saltarse heuristicas y sandbox modeando?
« Respuesta #12 en: 12 Enero 2013, 15:29 pm »

yo he visto a virtualbox  crasear algunas veces a causa del anfitrion, y si crasea es que hay bug, y si hay bug es posible salirse de la maquina virtual. otra cosa es que sea tan complicado que no lo hayan conseguido

Saludoa
En línea

Buster_BSA

Desconectado Desconectado

Mensajes: 138


Ver Perfil
Re: ¿Saltarse heuristicas y sandbox modeando?
« Respuesta #13 en: 12 Enero 2013, 15:52 pm »

yo he visto a virtualbox  crasear algunas veces a causa del anfitrion, y si crasea es que hay bug, y si hay bug es posible salirse de la maquina virtual. otra cosa es que sea tan complicado que no lo hayan conseguido

Que haya bug en una parte del programa no significa que lo haya en la parte que aisla el host de los programas que corren en la máquina virtual.

Insisto: gente muy preparada han intentando saltar de la VM al host y en el pasado, hace años, lo han logrado, pero el número de vías posibles para hacer eso es limitado, no infinito, y por lo tanto en cuanto se han cerrado todas las vías posibles, ¿cuántas quedan? Pues obviamente 0.
En línea

Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: ¿Saltarse heuristicas y sandbox modeando?
« Respuesta #14 en: 12 Enero 2013, 17:40 pm »

No vamos a llegar a ningún acuerdo aquí. Está claro que son distintas formas de pensar. Tú crees que cuando algo es muy difícil y ya lo han probado muchos expertos es que ya no hay forma de hacerlo. Yo creo que aún no ha llegado el que descubra como hacerlo.

Tú eres más realista y yo más optimista. Tus argumentos son tan validos como los míos.

Por mi parte nada más que añadir :D
En línea

Buster_BSA

Desconectado Desconectado

Mensajes: 138


Ver Perfil
Re: ¿Saltarse heuristicas y sandbox modeando?
« Respuesta #15 en: 12 Enero 2013, 19:52 pm »

Al menos estarás de acuerdo en que el número de formas distintas de hacerlo es un número finito, ¿no?  :P
En línea

Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: ¿Saltarse heuristicas y sandbox modeando?
« Respuesta #16 en: 12 Enero 2013, 23:59 pm »

Estoy completamente de acuerdo en que hay una cantidad finita pero con el paso de tiempo aumenta :P

Yo creo que el límite está en la imaginación y tú (en mi opinión) pones el límite donde los mejores lo han dejado. >:D
En línea

Buster_BSA

Desconectado Desconectado

Mensajes: 138


Ver Perfil
Re: ¿Saltarse heuristicas y sandbox modeando?
« Respuesta #17 en: 13 Enero 2013, 01:45 am »

Estoy completamente de acuerdo en que hay una cantidad finita pero con el paso de tiempo aumenta :P

Yo creo que el límite está en la imaginación y tú (en mi opinión) pones el límite donde los mejores lo han dejado. >:D

Aquí la imaginación no vale de nada. Los agujeros son los que son y hay que saber encontrarlos.

De hecho el VirtualBox es de código abierto, con lo cual el código fuente está disponible y no hace falta hacer ingeniería inversa. Que a pesar de contar con el código fuente no salgan nuevas vulnerabilidades, ¿es que no te dice nada?
En línea

Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: ¿Saltarse heuristicas y sandbox modeando?
« Respuesta #18 en: 13 Enero 2013, 02:10 am »

Tú dirás:
Código:
https://www.virtualbox.org/report/6

Obviamente no basta con imaginar las cosas hay que tener alguna base por dónde empezar. Para software muy trabajado como el kernel de Linux (de código abierto) o Windows siguen apareciendo graves vulnerabilidades. ¿No te da que pensar?

Sinceramente no veo que esta charla nos lleve a ningún lado y nos estamos yendo bastante del asunto principal. Si te interesa estaría encantado de seguir intercambiando opiniones contigo por privado.

Un saludo :)
En línea

Buster_BSA

Desconectado Desconectado

Mensajes: 138


Ver Perfil
Re: ¿Saltarse heuristicas y sandbox modeando?
« Respuesta #19 en: 13 Enero 2013, 02:21 am »

Tú dirás:
Código:
https://www.virtualbox.org/report/6

¿Y cuál de esos reportes se refiere a que puedas escribir en el host desde dentro de la máquina si se puede saber?

Obviamente no basta con imaginar las cosas hay que tener alguna base por dónde empezar. Para software muy trabajado como el kernel de Linux (de código abierto) o Windows siguen apareciendo graves vulnerabilidades. ¿No te da que pensar?

Una cosa es un sistema operativo y otra cosa es una máquina virtual. Te vuelvo a preguntar: ¿qué vulnerabilidades han aparecido en los últimos dos años que permitieran escribir en el host desde la máquina virtual en VirtualBox o en VMWare?

Sinceramente no veo que esta charla nos lleve a ningún lado y nos estamos yendo bastante del asunto principal. Si te interesa estaría encantado de seguir intercambiando opiniones contigo por privado.

Nos lleva a responder la pregunta inicial: "Hola, estoy iniciándome en el tema de indetectar malware, mi pregunta es si modeando se puede evitar que te pille la heurística y el sandbox"

Y la respuesta es no, no se puede, a no ser que detectes que estás bajo un entorno de análisis y entonces abortes la ejecuación.

Bueno, si me apuras te diría que el malware realice acciones maliciosas solo a determinadas horas del día y que el resto del tiempo simplemente no haga nada para que así si es analizado por una herramienta de análisis de comportamiento lo más probable sea que no coincida la hora y por lo tanto el análisis dé negativo.

Lo que está claro es que si el malware realiza acciones maliciosas durante un análisis eso no hay modeo que se lo salte.
En línea

Páginas: 1 [2] 3 4 5 6 7 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Los antivirus y sus "poderosas" heurísticas
Análisis y Diseño de Malware
[ANTRAX] 7 5,902 Último mensaje 23 Junio 2010, 21:36 pm
por Debci
SandBox para Android
Noticias
wolfbcn 0 2,214 Último mensaje 18 Julio 2011, 14:03 pm
por wolfbcn
Aplicaciones tipo Sandbox
Seguridad
Gambinoh 0 1,941 Último mensaje 10 Junio 2015, 16:14 pm
por Gambinoh
Heuristicas Pathfinding
Java
obiderk7 0 1,874 Último mensaje 30 Abril 2018, 19:55 pm
por obiderk7
Saltarse sandbox de navegador?
Desarrollo Web
@XSStringManolo 3 2,204 Último mensaje 14 Octubre 2019, 01:41 am
por MinusFour
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines