Autor
|
Tema: ¿Saltarse heuristicas y sandbox modeando? (Leído 29,044 veces)
|
0xDani
Desconectado
Mensajes: 1.077
|
Incurres en el mismo error que los otros: el número de vulnerabilidades posibles para lograr realizar una acción es un número finito. Cuando ese número llega a 0 es imposible realizar esa acción.
¿Tan difícil es de entender?
Esa afirmacion es correcta, sin embargo teniendo en cuenta la cantidad de maneras posibles que hay de realizar esa accion y que igual que se reparan fallos tambien se crean fallos nuevos ese numero finito da para mucho. Sin embargo algun dia llegara a 0, aceptemoslo. No. Hacerse pasar por un instalador sería la forma de tratar de engañar al usuario.
Cuando ese instalador se ejecuta y se analiza con un analizador del comportamiento el malware debería ser capaz de no levantar sospechas mientras se analiza.
Exacto, para que la instalacion de un programa normal se efectue la sandbox debe permitir que se escriba en el host, entonces si consigue que los archivos de la "instalacion" pasen los analisis ha pasado al host no?
|
|
|
En línea
|
I keep searching for something that I never seem to find, but maybe I won't, because I left it all behind!
I code for $$$ Hago trabajos en C/C++ Contactar por PM
|
|
|
Buster_BSA
Desconectado
Mensajes: 138
|
Exacto, para que la instalacion de un programa normal se efectue la sandbox debe permitir que se escriba en el host, entonces si consigue que los archivos de la "instalacion" pasen los analisis ha pasado al host no?
Veo que no lo tienes muy claro. A ver si lo explico de forma que se entienda bien. ¿Qué es una sandbox? Yo por sandbox entiendo un entorno controlado y aislado donde las aplicaciones que son ahí ejecutadas no tienen efecto sobre el "host", o sea, el sistema operativo donde se ejecuta la sandbox. Una sandbox podría ser una máquina virtual como VirtualBox, VMWare, QEMU, ... o un software de virtualización como el Sandboxie. Un programa que se ejecuta en una sandbox, en teoría, nunca pasa al "host". Tiene que ser el usuario el que ejecute el programa directamente en el "host". La idea es que un malware disfrazado de instalación del FireFox no levante sospechas cuando se ejecuta en la sandbox para que el usuario piense que esa aplicación es inocua y por lo tanto la ejecute en el "host". ¿Se entiende ahora?
|
|
|
En línea
|
|
|
|
0x3c
Desconectado
Mensajes: 108
learning, making mistakes, having fun
|
Hola, he estado leyendo este hilo, y me parece que discutiendo no se llegara a ningun lado en mi opinion y poca experiencia propia puedo decir lo siguiente:
Saltarse la heuristica para evitar la deteccion es mas que posible pero siempre que la pieza de software sea ejecutada en un entorno que simule ser un sistema operativo(simulador, sandbox o maquina virtual) a menos que el ejecutable detecte que esta siendo ejecutado en dicha forma sera monitorizado..y finalmente toda actividad realizada sera descubierta.
en cuanto a vulnerabilidades que permitan ejecutar codigo(shellcode o exploits) en el host viendolo, desde el punto de vista de que la maquina virtual se esta ejecutando en la memoria del huesped(host) es posible que en un futuro se encuentre una manera de atacarla..no estoy diciendo que en el momento sea algo que se esta haciendo o no eso no es lo que importa en este punto...
|
|
|
En línea
|
Si Vis Pacem, Para Bellum.Another Legend Has Fallen
|
|
|
Buster_BSA
Desconectado
Mensajes: 138
|
siempre que la pieza de software sea ejecutada en un entorno que simule ser un sistema operativo(simulador, sandbox o maquina virtual) a menos que el ejecutable detecte que esta siendo ejecutado en dicha forma sera monitorizado..y finalmente toda actividad realizada sera descubierta. Pues a ver si Karcrack a ti te cree.
|
|
|
En línea
|
|
|
|
Karcrack
Desconectado
Mensajes: 2.416
Se siente observado ¬¬'
|
en cuanto a vulnerabilidades que permitan ejecutar codigo(shellcode o exploits) en el host viendolo, desde el punto de vista de que la maquina virtual se esta ejecutando en la memoria del huesped(host) es posible que en un futuro se encuentre una manera de atacarla..no estoy diciendo que en el momento sea algo que se esta haciendo o no eso no es lo que importa en este punto...
Pues a ver si Buster_BSA a ti te cree. ( )
|
|
|
En línea
|
|
|
|
0x3c
Desconectado
Mensajes: 108
learning, making mistakes, having fun
|
Buster_BSAme tome un tiempo para buscar informacion en cuanto a la existencia de la posibilidad de que software malicioso pueda atacar o escribir en la memoria del host..para ello estuve hechandole el ojo a un 'white paper' escrito por Peter Ferrie[creo que sabes quien es] en el que el describe cuales son los 'vectores de ataque' porsibles que el malware puede realizar al detectar que esta siendo ejecutado en una maquina virtual.. Abstract As virtual machine emulators have become commonplace in the analysis of malicious code, malicious code has started to fight back. This paper describes known attacks against the most widely used virtual machine emulators (VMware and VirtualPC). This paper also demonstrates newly discovered attacks on other virtual machine emulators (Bochs, Hydra, QEMU, and Xen), and describes how to defend against them.en ese white paper el menciona tres: *detectar y para la ejecucion *DOS[denegacion de servicio] * Finally, the most interesting attack that malicious code can perform against a virtual machine emulator is to escape from its protected environment. tradusco: finalmente. el ataque mas interesante que codigos maliciosos pueden realizar contra de las maquinas virtuales es escapar de su entorno protegido. creo, si mi ingles no me falla, que el autor se refiere a que el codigo malicioso podria, en teoria, escapar del entorno que la maquina virtua le provee...ademas pude leer que el las maquinas virtuales(especificamente las que se basan en software) usa buffers para alojar las intrucciones ejecutadas por el codigo ejecutable[quizas me equivoco al pensar que esto abre muchas posibilidades] pero al mismo tiempo reduce posibilidades por que esas secciones de memoria se ejecutan en modo no privilegiado... E.P.: lo que nos deja con que para ciertos ataques sean exitosos los privilegios de la maquina virtual deberian estar ejecutandose en modo privilegiado.. E.P.2: este es el 'white paper' que estuve leyendo: www.symantec.com/avcenter/reference/Virtual_Machine_Threats.pdeste tema esta interesante saludos
|
|
« Última modificación: 14 Enero 2013, 21:10 pm por 0x3c »
|
En línea
|
Si Vis Pacem, Para Bellum.Another Legend Has Fallen
|
|
|
Buster_BSA
Desconectado
Mensajes: 138
|
Evidentemente el ataque más interesante que un malware pueda realizar contra una máquina virtual siempre será el escapar del entorno aislado, pero una cosa es querer y otra poder.
Vuelvo a preguntar porque nadie me ha respondido todavía: ¿cuántos años han pasado desde la última vez que se encontró una vulnerabilidad que permitiera a un programa escapar de VirtualBox o VMWare y escribir directamente al host?
|
|
|
En línea
|
|
|
|
0x3c
Desconectado
Mensajes: 108
learning, making mistakes, having fun
|
Vuelvo a preguntar porque nadie me ha respondido todavía: ¿cuántos años han pasado desde la última vez que se encontró una vulnerabilidad que permitiera a un programa escapar de VirtualBox o VMWare y escribir directamente al host?
entiendo tu punto...pero tengo que aceptar que karcrack tambien tiene razon podrian pasar semanas, meses, anos, o quizas siglos antes de que se encuentre un bug en el software de las maquinas virtuales actuales o un error en la arquitectura de los 'hypervisors' y quizas tomes mucho mas para desarrollar codigo que explote ese bug exitosamente pero no es questionable que es totalmente posible....dificil, si, es dificil pero no imposible... no se si te acuerdas que Google alegaba que su browser era casi 'unhackable' por que hacia uso de un sandbox entonces paso esto: http://www.zdnet.com/blog/security/cansecwest-pwnium-google-chrome-hacked-with-sandbox-bypass/10563aunque no se si existe comparasion entre la sandbox de Chrome y software que emula un sistema operativo en su totalidad... saludos
|
|
|
En línea
|
Si Vis Pacem, Para Bellum.Another Legend Has Fallen
|
|
|
Buster_BSA
Desconectado
Mensajes: 138
|
Yo no he dicho en ningún momento que no sea posible. Yo defiendo la idea de que no siempre habrá una vulnerabilidad, porque su número es finito y a base de correcciones llegará a 0, y defiendo que las cosas no se logran porque seas capaz de imaginarlas.
|
|
|
En línea
|
|
|
|
Novlucker
Ninja y
Colaborador
Desconectado
Mensajes: 10.683
Yo que tu lo pienso dos veces
|
Tengo dudas respecto a este advisor ... http://www.vmware.com/security/advisories/VMSA-2012-0009.htmlIgual no venía a eso ... Relax por favor Saludos
|
|
|
En línea
|
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD "Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro." Albert Einstein
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
Los antivirus y sus "poderosas" heurísticas
Análisis y Diseño de Malware
|
[ANTRAX]
|
7
|
5,902
|
23 Junio 2010, 21:36 pm
por Debci
|
|
|
SandBox para Android
Noticias
|
wolfbcn
|
0
|
2,214
|
18 Julio 2011, 14:03 pm
por wolfbcn
|
|
|
Aplicaciones tipo Sandbox
Seguridad
|
Gambinoh
|
0
|
1,941
|
10 Junio 2015, 16:14 pm
por Gambinoh
|
|
|
Heuristicas Pathfinding
Java
|
obiderk7
|
0
|
1,874
|
30 Abril 2018, 19:55 pm
por obiderk7
|
|
|
Saltarse sandbox de navegador?
Desarrollo Web
|
@XSStringManolo
|
3
|
2,204
|
14 Octubre 2019, 01:41 am
por MinusFour
|
|