¿Saltarse heuristicas y sandbox modeando?

Karcrack · 11 Enero 2013, 23:37 PM

Al parecer sí que tenemos una diferencia de conceptos. Yo no equiparo una máquina virtual con un sandbox, ya que la VM engloba Sandbox según comprendo el concepto.

Tristemente no dispongo de ninguna muestra práctica pero supongo que sabrás qué es una elevación de privilegios. Podrás encontrar fallos de este tipo en entornos virtualizados, ya sea: una máquina virtual, un sandbox o incluso en la separación de privilegios en SO.

No creo que esté confundiendo a alguien cuando digo que cualquier cosa es posible con suficiente esfuerzo y dedicación. No sólo eso sino que además creo que es una forma perfecta de mantenerse motivado.

Buster_BSA · 12 Enero 2013, 00:38 AM

Cita de: Karcrack en 11 Enero 2013, 23:37 PMTristemente no dispongo de ninguna muestra práctica

Que se sepa, ni tú ni nadie. Por ejemplo la última vulnerabilidad conocida en el Sandboxie fue descubierta en el 2010. Da la casualidad de que la encontré yo mientras analizaba malwares. Desde entonces nadie ha sido capaz de crear un malware o un POC capaz de escribir en el disco duro real desde dentro de la sandbox. Y no será porque gente muy cualificada no lo haya intentado. Solo hay que ver el análisis que le hizo el amigo Vallejo:

http://vallejo.cc/48

Cita de: Karcrack en 11 Enero 2013, 23:37 PMpero supongo que sabrás qué es una elevación de privilegios. Podrás encontrar fallos de este tipo en entornos virtualizados, ya sea: una máquina virtual, un sandbox o incluso en la separación de privilegios en SO.

Pareces olvidar que VirtualBox, VMWare, Sandboxie... no es software que haya sido publicado hace dos días. Cuentan con años de desarrollo y han sido escrutados por verdaderos especialistas en ingeniería inversa. ¿Qué posibilidades reales existen de que a estas alturas exista alguna forma de poder saltarse una máquina virtual o una sandbox y realizar acciones directamente en el host?

Hablas de elevación de privilegios. ¿De qué te sirve la elevación de privilegios dentro de una máquina virtual? ¿De qué te sirve la elevación de privilegios en un entorno controlado como es una sandbox donde ciertas acciones se restringen? Por ejemplo el Sandboxie no permite la ejecución de drivers dentro de la sandbox. Por muchos privilegios que eleves eso no te lo va a permitir hacer.

Cita de: Karcrack en 11 Enero 2013, 23:37 PMNo creo que esté confundiendo a alguien cuando digo que cualquier cosa es posible con suficiente esfuerzo y dedicación. No sólo eso sino que además creo que es una forma perfecta de mantenerse motivado.

Veo que no acabas de entender que ya ha habido gente muy preparada que ha puesto esfuerzo y dedicación para saltarse el VMWare o el VirtualBox tratando de escribir en el host y no lo ha logrado.

Saludos.

Arkangel_0x7C5 · 12 Enero 2013, 15:29 PM

yo he visto a virtualbox crasear algunas veces a causa del anfitrion, y si crasea es que hay bug, y si hay bug es posible salirse de la maquina virtual. otra cosa es que sea tan complicado que no lo hayan conseguido

Saludoa

Buster_BSA · 12 Enero 2013, 15:52 PM

Cita de: Arkangel_0x7C5 en 12 Enero 2013, 15:29 PMyo he visto a virtualbox crasear algunas veces a causa del anfitrion, y si crasea es que hay bug, y si hay bug es posible salirse de la maquina virtual. otra cosa es que sea tan complicado que no lo hayan conseguido

Que haya bug en una parte del programa no significa que lo haya en la parte que aisla el host de los programas que corren en la máquina virtual.

Insisto: gente muy preparada han intentando saltar de la VM al host y en el pasado, hace años, lo han logrado, pero el número de vías posibles para hacer eso es limitado, no infinito, y por lo tanto en cuanto se han cerrado todas las vías posibles, ¿cuántas quedan? Pues obviamente 0.

Karcrack · 12 Enero 2013, 17:40 PM

No vamos a llegar a ningún acuerdo aquí. Está claro que son distintas formas de pensar. Tú crees que cuando algo es muy difícil y ya lo han probado muchos expertos es que ya no hay forma de hacerlo. Yo creo que aún no ha llegado el que descubra como hacerlo.

Tú eres más realista y yo más optimista. Tus argumentos son tan validos como los míos.

Por mi parte nada más que añadir

Buster_BSA · 12 Enero 2013, 19:52 PM

Al menos estarás de acuerdo en que el número de formas distintas de hacerlo es un número finito, ¿no?

Karcrack · 12 Enero 2013, 23:59 PM

Estoy completamente de acuerdo en que hay una cantidad finita pero con el paso de tiempo aumenta

Yo creo que el límite está en la imaginación y tú (en mi opinión) pones el límite donde los mejores lo han dejado.

Buster_BSA · 13 Enero 2013, 01:45 AM

Cita de: Karcrack en 12 Enero 2013, 23:59 PM
Estoy completamente de acuerdo en que hay una cantidad finita pero con el paso de tiempo aumenta

Yo creo que el límite está en la imaginación y tú (en mi opinión) pones el límite donde los mejores lo han dejado.

Aquí la imaginación no vale de nada. Los agujeros son los que son y hay que saber encontrarlos.

De hecho el VirtualBox es de código abierto, con lo cual el código fuente está disponible y no hace falta hacer ingeniería inversa. Que a pesar de contar con el código fuente no salgan nuevas vulnerabilidades, ¿es que no te dice nada?

Karcrack · 13 Enero 2013, 02:10 AM

Tú dirás:

Código [Seleccionar]

https://www.virtualbox.org/report/6

Obviamente no basta con imaginar las cosas hay que tener alguna base por dónde empezar. Para software muy trabajado como el kernel de Linux (de código abierto) o Windows siguen apareciendo graves vulnerabilidades. ¿No te da que pensar?

Sinceramente no veo que esta charla nos lleve a ningún lado y nos estamos yendo bastante del asunto principal. Si te interesa estaría encantado de seguir intercambiando opiniones contigo por privado.

Un saludo

Buster_BSA · 13 Enero 2013, 02:21 AM

Cita de: Karcrack en 13 Enero 2013, 02:10 AM
Tú dirás:
Código [Seleccionar] Expandir
https://www.virtualbox.org/report/6

¿Y cuál de esos reportes se refiere a que puedas escribir en el host desde dentro de la máquina si se puede saber?

Cita de: Karcrack en 13 Enero 2013, 02:10 AMObviamente no basta con imaginar las cosas hay que tener alguna base por dónde empezar. Para software muy trabajado como el kernel de Linux (de código abierto) o Windows siguen apareciendo graves vulnerabilidades. ¿No te da que pensar?

Una cosa es un sistema operativo y otra cosa es una máquina virtual. Te vuelvo a preguntar: ¿qué vulnerabilidades han aparecido en los últimos dos años que permitieran escribir en el host desde la máquina virtual en VirtualBox o en VMWare?

Cita de: Karcrack en 13 Enero 2013, 02:10 AMSinceramente no veo que esta charla nos lleve a ningún lado y nos estamos yendo bastante del asunto principal. Si te interesa estaría encantado de seguir intercambiando opiniones contigo por privado.

Nos lleva a responder la pregunta inicial: "Hola, estoy iniciándome en el tema de indetectar malware, mi pregunta es si modeando se puede evitar que te pille la heurística y el sandbox"

Y la respuesta es no, no se puede, a no ser que detectes que estás bajo un entorno de análisis y entonces abortes la ejecuación.

Bueno, si me apuras te diría que el malware realice acciones maliciosas solo a determinadas horas del día y que el resto del tiempo simplemente no haga nada para que así si es analizado por una herramienta de análisis de comportamiento lo más probable sea que no coincida la hora y por lo tanto el análisis dé negativo.

Lo que está claro es que si el malware realiza acciones maliciosas durante un análisis eso no hay modeo que se lo salte.