elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Curso de javascript por TickTack


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  ¿Saltarse heuristicas y sandbox modeando?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 2 3 4 [5] 6 7 Ir Abajo Respuesta Imprimir
Autor Tema: ¿Saltarse heuristicas y sandbox modeando?  (Leído 29,044 veces)
0xDani


Desconectado Desconectado

Mensajes: 1.077



Ver Perfil
Re: ¿Saltarse heuristicas y sandbox modeando?
« Respuesta #40 en: 14 Enero 2013, 19:06 pm »

Incurres en el mismo error que los otros: el número de vulnerabilidades posibles para lograr realizar una acción es un número finito. Cuando ese número llega a 0 es imposible realizar esa acción.

¿Tan difícil es de entender?

Esa afirmacion es correcta, sin embargo teniendo en cuenta la cantidad de maneras posibles que hay de realizar esa accion y que igual que se reparan fallos tambien se crean fallos nuevos ese numero finito da para mucho. Sin embargo algun dia llegara a 0, aceptemoslo.


No. Hacerse pasar por un instalador sería la forma de tratar de engañar al usuario.

Cuando ese instalador se ejecuta y se analiza con un analizador del comportamiento el malware debería ser capaz de no levantar sospechas mientras se analiza.

Exacto, para que la instalacion de un programa normal se efectue la sandbox debe permitir que se escriba en el host, entonces si consigue que los archivos de la "instalacion" pasen los analisis ha pasado al host no?
En línea

I keep searching for something that I never seem to find, but maybe I won't, because I left it all behind!

I code for $$$
Hago trabajos en C/C++
Contactar por PM
Buster_BSA

Desconectado Desconectado

Mensajes: 138


Ver Perfil
Re: ¿Saltarse heuristicas y sandbox modeando?
« Respuesta #41 en: 14 Enero 2013, 19:37 pm »

Exacto, para que la instalacion de un programa normal se efectue la sandbox debe permitir que se escriba en el host, entonces si consigue que los archivos de la "instalacion" pasen los analisis ha pasado al host no?

Veo que no lo tienes muy claro. A ver si lo explico de forma que se entienda bien.

¿Qué es una sandbox? Yo por sandbox entiendo un entorno controlado y aislado donde las aplicaciones que son ahí ejecutadas no tienen efecto sobre el "host", o sea, el sistema operativo donde se ejecuta la sandbox.

Una sandbox podría ser una máquina virtual como VirtualBox, VMWare, QEMU, ... o un software de virtualización como el Sandboxie.

Un programa que se ejecuta en una sandbox, en teoría, nunca pasa al "host". Tiene que ser el usuario el que ejecute el programa directamente en el "host".

La idea es que un malware disfrazado de instalación del FireFox no levante sospechas cuando se ejecuta en la sandbox para que el usuario piense que esa aplicación es inocua y por lo tanto la ejecute en el "host".

¿Se entiende ahora?
En línea

0x3c

Desconectado Desconectado

Mensajes: 108


learning, making mistakes, having fun


Ver Perfil
Re: ¿Saltarse heuristicas y sandbox modeando?
« Respuesta #42 en: 14 Enero 2013, 20:23 pm »

Hola, he estado leyendo este hilo, y me parece que discutiendo no se llegara a ningun lado en mi opinion y poca experiencia propia puedo decir lo siguiente:

Saltarse la heuristica para evitar la deteccion es mas que posible pero siempre que la pieza de software sea ejecutada en un entorno que simule ser un sistema operativo(simulador, sandbox o maquina virtual) a menos que el ejecutable detecte que esta siendo ejecutado en dicha forma sera monitorizado..y finalmente toda actividad realizada sera descubierta.

en cuanto a vulnerabilidades que permitan ejecutar codigo(shellcode o exploits) en el host viendolo, desde el punto de vista de que la maquina virtual se esta ejecutando en la memoria del huesped(host) es posible que en un futuro se encuentre una manera de atacarla..no estoy diciendo que en el momento sea algo que se esta haciendo o no eso no es lo que importa en este punto...
En línea

Si Vis Pacem, Para Bellum.

Another Legend Has Fallen
Buster_BSA

Desconectado Desconectado

Mensajes: 138


Ver Perfil
Re: ¿Saltarse heuristicas y sandbox modeando?
« Respuesta #43 en: 14 Enero 2013, 20:32 pm »

siempre que la pieza de software sea ejecutada en un entorno que simule ser un sistema operativo(simulador, sandbox o maquina virtual) a menos que el ejecutable detecte que esta siendo ejecutado en dicha forma sera monitorizado..y finalmente toda actividad realizada sera descubierta.

Pues a ver si Karcrack a ti te cree.
En línea

Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: ¿Saltarse heuristicas y sandbox modeando?
« Respuesta #44 en: 14 Enero 2013, 20:45 pm »

en cuanto a vulnerabilidades que permitan ejecutar codigo(shellcode o exploits) en el host viendolo, desde el punto de vista de que la maquina virtual se esta ejecutando en la memoria del huesped(host) es posible que en un futuro se encuentre una manera de atacarla..no estoy diciendo que en el momento sea algo que se esta haciendo o no eso no es lo que importa en este punto...
Pues a ver si Buster_BSA a ti te cree.

(:rolleyes:)
En línea

0x3c

Desconectado Desconectado

Mensajes: 108


learning, making mistakes, having fun


Ver Perfil
Re: ¿Saltarse heuristicas y sandbox modeando?
« Respuesta #45 en: 14 Enero 2013, 21:01 pm »

Buster_BSA

me tome un tiempo para buscar informacion en cuanto a la existencia de la posibilidad de que software malicioso pueda atacar o escribir en la memoria del host..para ello estuve hechandole el ojo a un 'white paper' escrito por Peter Ferrie[creo que sabes quien es] en el que el describe cuales son los 'vectores de ataque' porsibles que el malware puede realizar al detectar que esta siendo ejecutado en una maquina virtual..

Abstract As virtual machine emulators have become
commonplace in the analysis of malicious code, malicious code
has started to fight back. This paper describes known attacks
against the most widely used virtual machine emulators (VMware
and VirtualPC). This paper also demonstrates newly discovered
attacks on other virtual machine emulators (Bochs, Hydra,
QEMU, and Xen), and describes how to defend against them.


en ese white paper el menciona tres:

*detectar y para la ejecucion

*DOS[denegacion de servicio]

*Finally, the most interesting attack that malicious code can
perform against a virtual machine emulator is to escape from
its protected environment.


tradusco: finalmente. el ataque mas interesante que codigos maliciosos pueden realizar contra de las maquinas virtuales es escapar de su entorno protegido.

creo, si mi ingles no me falla, que el autor se refiere a que el codigo malicioso podria, en teoria, escapar del entorno que la maquina virtua le provee...ademas pude leer que el las maquinas virtuales(especificamente las que se basan en software) usa buffers para alojar las intrucciones ejecutadas por el codigo ejecutable[quizas me equivoco al pensar que esto abre muchas posibilidades] pero al mismo tiempo reduce posibilidades por que esas secciones de memoria se ejecutan en modo no privilegiado...

E.P.: lo que nos deja con que para ciertos ataques sean exitosos los privilegios de la maquina virtual deberian estar ejecutandose en modo privilegiado..

E.P.2: este es el 'white paper' que estuve leyendo:
www.symantec.com/avcenter/reference/Virtual_Machine_Threats.pd


este tema esta interesante :D
saludos
« Última modificación: 14 Enero 2013, 21:10 pm por 0x3c » En línea

Si Vis Pacem, Para Bellum.

Another Legend Has Fallen
Buster_BSA

Desconectado Desconectado

Mensajes: 138


Ver Perfil
Re: ¿Saltarse heuristicas y sandbox modeando?
« Respuesta #46 en: 14 Enero 2013, 21:10 pm »

Evidentemente el ataque más interesante que un malware pueda realizar contra una máquina virtual siempre será el escapar del entorno aislado, pero una cosa es querer y otra poder.

Vuelvo a preguntar porque nadie me ha respondido todavía: ¿cuántos años han pasado desde la última vez que se encontró una vulnerabilidad que permitiera a un programa escapar de VirtualBox o VMWare y escribir directamente al host?
En línea

0x3c

Desconectado Desconectado

Mensajes: 108


learning, making mistakes, having fun


Ver Perfil
Re: ¿Saltarse heuristicas y sandbox modeando?
« Respuesta #47 en: 14 Enero 2013, 21:27 pm »

Citar
Vuelvo a preguntar porque nadie me ha respondido todavía: ¿cuántos años han pasado desde la última vez que se encontró una vulnerabilidad que permitiera a un programa escapar de VirtualBox o VMWare y escribir directamente al host?

entiendo tu punto...pero tengo que aceptar que karcrack tambien tiene razon podrian pasar semanas, meses, anos, o quizas siglos antes de que se encuentre un bug en el software de las maquinas virtuales actuales o un error en la arquitectura de los 'hypervisors' y quizas tomes mucho mas para desarrollar codigo que explote ese bug exitosamente pero no es questionable que es totalmente posible....dificil, si, es dificil pero no imposible...

no se si te acuerdas que Google alegaba que su browser era casi 'unhackable' por que hacia uso de un sandbox entonces paso esto:

http://www.zdnet.com/blog/security/cansecwest-pwnium-google-chrome-hacked-with-sandbox-bypass/10563

aunque no se si existe comparasion entre la sandbox de Chrome y software que emula un sistema operativo en su totalidad...


saludos
En línea

Si Vis Pacem, Para Bellum.

Another Legend Has Fallen
Buster_BSA

Desconectado Desconectado

Mensajes: 138


Ver Perfil
Re: ¿Saltarse heuristicas y sandbox modeando?
« Respuesta #48 en: 14 Enero 2013, 21:30 pm »

Yo no he dicho en ningún momento que no sea posible. Yo defiendo la idea de que no siempre habrá una vulnerabilidad, porque su número es finito y a base de correcciones llegará a 0, y defiendo que las cosas no se logran porque seas capaz de imaginarlas.
En línea

Novlucker
Ninja y
Colaborador
***
Desconectado Desconectado

Mensajes: 10.683

Yo que tu lo pienso dos veces


Ver Perfil
Re: ¿Saltarse heuristicas y sandbox modeando?
« Respuesta #49 en: 14 Enero 2013, 21:37 pm »

Tengo dudas respecto a este advisor ...
http://www.vmware.com/security/advisories/VMSA-2012-0009.html

Igual no venía a eso ... Relax por favor :)

Saludos
En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
Páginas: 1 2 3 4 [5] 6 7 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Los antivirus y sus "poderosas" heurísticas
Análisis y Diseño de Malware
[ANTRAX] 7 5,902 Último mensaje 23 Junio 2010, 21:36 pm
por Debci
SandBox para Android
Noticias
wolfbcn 0 2,214 Último mensaje 18 Julio 2011, 14:03 pm
por wolfbcn
Aplicaciones tipo Sandbox
Seguridad
Gambinoh 0 1,941 Último mensaje 10 Junio 2015, 16:14 pm
por Gambinoh
Heuristicas Pathfinding
Java
obiderk7 0 1,874 Último mensaje 30 Abril 2018, 19:55 pm
por obiderk7
Saltarse sandbox de navegador?
Desarrollo Web
@XSStringManolo 3 2,204 Último mensaje 14 Octubre 2019, 01:41 am
por MinusFour
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines