elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Curso de javascript por TickTack


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  ¿Saltarse heuristicas y sandbox modeando?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 2 3 [4] 5 6 7 Ir Abajo Respuesta Imprimir
Autor Tema: ¿Saltarse heuristicas y sandbox modeando?  (Leído 29,046 veces)
ameise_1987

Desconectado Desconectado

Mensajes: 119



Ver Perfil
Re: ¿Saltarse heuristicas y sandbox modeando?
« Respuesta #30 en: 13 Enero 2013, 18:26 pm »

Obviamente la ingeniería inversa suele ser la forma más empleada para buscar vulnerabilidades y exploits porque, sobre todo en software de seguridad, el código fuente no está disponible.

Lo que también es obvio es que es muchísimo más fácil encontrar defectos en el software si tienes el código fuente porque te ahorras toda la parte de la ingeniería inversa y te puedes centrar completamente en buscar los fallos de seguridad.

Si eres capaz de darme un argumento por el cual puedas concluir de forma lógica y razonada que la imaginación del que busca un fallo de seguridad en concreto en un software es mayor o mejor o como lo quieras llamar que la de la persona o personas que diseñaron y programaron el software para evitar que ese fallo exista, entonces te daré la razón.

¿Te parece justo?

1)bájate de la nube, que hallas echo una herramienta no te da el titulo de dios sabelo todo y que tiene la verdad absoluta, me importa un verdadero carajo si me das la razón, para mi no eres nada importante como para preocuparme por ello.

2)es cosa de ver cuanto software es parchado y en base a esa misma corrección aparecen nuevos fallos, no lo digo yo y repito que me importa un carajo lo que pienses(quizás a los demás intimidas con tu herramienta a mi no) lo dicen los grandes, es cosa de ver las ponencias de la defcon y leer  a los grandes que llevan no 3 sino que toda su vida dedicado a la explotación de fallos.

3)solo posteaba con el afán de realizar la corrección anterior echa, no me interesa discutir
con el super programador de la super herramienta de detección de malware en base a heurística que kaspersky y nod32 se la pelean  :laugh: :laugh: :laugh: :laugh:  .


saluos!!
En línea

firma retirada por insultar/cachondearse de (anelkaos) del staff.
burbu_1

Desconectado Desconectado

Mensajes: 159


hamen gaoz


Ver Perfil
Re: ¿Saltarse heuristicas y sandbox modeando?
« Respuesta #31 en: 13 Enero 2013, 18:48 pm »

hola a todos,

me imagino que monitorizar un proceso en un entorno virtual consumirá una gran cantidad de recursos, no? vamos que para un av comercial montorizar constantemente todos los procesos sería un suicidio  :rolleyes:
por lo que he visto en algunos avs solo virtualizan el proceso la primera vez y después trabajan con listas blancas... ;D
En línea

Buster_BSA

Desconectado Desconectado

Mensajes: 138


Ver Perfil
Re: ¿Saltarse heuristicas y sandbox modeando?
« Respuesta #32 en: 13 Enero 2013, 18:51 pm »

me imagino que monitorizar un proceso en un entorno virtual consumirá una gran cantidad de recursos, no?

Pues la verdad es que no muchos. Échale un vistazo al Capture-BAT.

vamos que para un av comercial montorizar constantemente todos los procesos sería un suicidio  :rolleyes:

Los HIPS es lo que hacen y no hay problema.
« Última modificación: 13 Enero 2013, 20:53 pm por Buster_BSA » En línea

0xDani


Desconectado Desconectado

Mensajes: 1.077



Ver Perfil
Re: ¿Saltarse heuristicas y sandbox modeando?
« Respuesta #33 en: 13 Enero 2013, 20:30 pm »

@ameise_1987, sigo pensando que te pasas un huevo, efectivamente que haya hecho una herramienta no lo hace un dios, pero desde luego que hace absurda tu afirmacion de que habla desde la ignorancia. A mi me parece que habla mas desde la ignorancia aquel que escribe en plan "Ola k ase" y diciendo que "le importa un carajo" lo que digan los demas.

Haz el favor de expresarte en terminos correctos, no sea que bloqueen el post por que tu eres el unico hasta ahora que se ha salido de tono.

@Buster_BSA, y una pieza de malware no puede hacerse pasar por un instalador de Firefox?

Ademas si metes cada aplicacion en un entorno controlado como va un instalador a efectuar la instalacion?

PD: Buster, se te ha colado "Héchale". Es sin h xD.
« Última modificación: 13 Enero 2013, 20:46 pm por 0xDani » En línea

I keep searching for something that I never seem to find, but maybe I won't, because I left it all behind!

I code for $$$
Hago trabajos en C/C++
Contactar por PM
Buster_BSA

Desconectado Desconectado

Mensajes: 138


Ver Perfil
Re: ¿Saltarse heuristicas y sandbox modeando?
« Respuesta #34 en: 13 Enero 2013, 20:59 pm »

@Buster_BSA, y una pieza de malware no puede hacerse pasar por un instalador de Firefox?

Claro, por supuesto, por eso es importante desde el punto de vista de un usuario el descargar software solo de repositorios o sitios web confiables, pero una cosa es hacerte pasar por un instalador del FireFox y otra que luego te pongas a hacer cosas raras como crear valores en ciertas claves del registro.

Ademas si metes cada aplicacion en un entorno controlado como va un instalador a efectuar la instalacion?

Cuckoo Sandbox (http://www.cuckoosandbox.org/) utiliza una máquina virtual como entorno seguro para realizar los análisis. La instalación se efectuará de forma normal y sin ningún problema.

PD: Buster, se te ha colado "Héchale". Es sin h xD.

Corregido, ¡gracias!
En línea

r32
Ex-Staff
*
Desconectado Desconectado

Mensajes: 1.299



Ver Perfil WWW
Re: ¿Saltarse heuristicas y sandbox modeando?
« Respuesta #35 en: 13 Enero 2013, 21:09 pm »

ameise_1987 prueba a tomarte un tranquilizante  ;D.
Se estaban exponiendo diferentes puntos de vista hasta que te lo tomaste como algo personal y entre comillas faltaste el respeto a Buster, creo no hacía falta.

Si queremos que este tema siga adelante intentemos no llegar a tu extremo.
No hagas una montaña de esto, saludos.
En línea

0xDani


Desconectado Desconectado

Mensajes: 1.077



Ver Perfil
Re: ¿Saltarse heuristicas y sandbox modeando?
« Respuesta #36 en: 14 Enero 2013, 16:08 pm »

Entonces por ejemplo hacerse pasar por un instalador podria ser una forma de escribir en el host, la cuestion seria que no los archivos de la "instalacion" no sean detectados como maliciosos. Es algo que se me ocurre simplemente, al final hay que tener creatividad para encontrar el punto flaco.

Aun asi esta claro que es otro nivel de deteccion, pero claro que se encontrara la forma de saltarselo, como siempre se ha hecho, y todavia queda mucho para el antivirus que lo detecte absolutamente todo.

Es solamente mi opinion, pero en fin, el tiempo nos dara la razon.

Saludos.
En línea

I keep searching for something that I never seem to find, but maybe I won't, because I left it all behind!

I code for $$$
Hago trabajos en C/C++
Contactar por PM
Arkangel_0x7C5


Desconectado Desconectado

Mensajes: 361



Ver Perfil
Re: ¿Saltarse heuristicas y sandbox modeando?
« Respuesta #37 en: 14 Enero 2013, 17:12 pm »

yo pienso que siempre habra alguna manera, porque tu puedes ser un super programador e imaginar un monton de formas de evitar que se salten tu proteccion. Pero el que se la salta solo necesita una forma para saltarselo. Siempre es mas facil destruir que construir
Y como dicen por hay, arreglas una cosa y estropeas 2. un claro ejemplo es java que cada 2 por tres tiene un fallo critico.

Saludos
En línea

Buster_BSA

Desconectado Desconectado

Mensajes: 138


Ver Perfil
Re: ¿Saltarse heuristicas y sandbox modeando?
« Respuesta #38 en: 14 Enero 2013, 17:47 pm »

Entonces por ejemplo hacerse pasar por un instalador podria ser una forma de escribir en el host

No. Hacerse pasar por un instalador sería la forma de tratar de engañar al usuario.

Cuando ese instalador se ejecuta y se analiza con un analizador del comportamiento el malware debería ser capaz de no levantar sospechas mientras se analiza.
En línea

Buster_BSA

Desconectado Desconectado

Mensajes: 138


Ver Perfil
Re: ¿Saltarse heuristicas y sandbox modeando?
« Respuesta #39 en: 14 Enero 2013, 17:48 pm »

yo pienso que siempre habra alguna manera

Incurres en el mismo error que los otros: el número de vulnerabilidades posibles para lograr realizar una acción es un número finito. Cuando ese número llega a 0 es imposible realizar esa acción.

¿Tan difícil es de entender?
En línea

Páginas: 1 2 3 [4] 5 6 7 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Los antivirus y sus "poderosas" heurísticas
Análisis y Diseño de Malware
[ANTRAX] 7 5,902 Último mensaje 23 Junio 2010, 21:36 pm
por Debci
SandBox para Android
Noticias
wolfbcn 0 2,214 Último mensaje 18 Julio 2011, 14:03 pm
por wolfbcn
Aplicaciones tipo Sandbox
Seguridad
Gambinoh 0 1,941 Último mensaje 10 Junio 2015, 16:14 pm
por Gambinoh
Heuristicas Pathfinding
Java
obiderk7 0 1,875 Último mensaje 30 Abril 2018, 19:55 pm
por obiderk7
Saltarse sandbox de navegador?
Desarrollo Web
@XSStringManolo 3 2,204 Último mensaje 14 Octubre 2019, 01:41 am
por MinusFour
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines