¿Saltarse heuristicas y sandbox modeando?

Iniciado por Tr0Y4N0, 9 Diciembre 2012, 01:29 AM

0 Miembros y 6 Visitantes están viendo este tema.

ameise_1987

Cita de: Buster_BSA en 13 Enero 2013, 17:55 PM
Obviamente la ingeniería inversa suele ser la forma más empleada para buscar vulnerabilidades y exploits porque, sobre todo en software de seguridad, el código fuente no está disponible.

Lo que también es obvio es que es muchísimo más fácil encontrar defectos en el software si tienes el código fuente porque te ahorras toda la parte de la ingeniería inversa y te puedes centrar completamente en buscar los fallos de seguridad.

Si eres capaz de darme un argumento por el cual puedas concluir de forma lógica y razonada que la imaginación del que busca un fallo de seguridad en concreto en un software es mayor o mejor o como lo quieras llamar que la de la persona o personas que diseñaron y programaron el software para evitar que ese fallo exista, entonces te daré la razón.

¿Te parece justo?

1)bájate de la nube, que hallas echo una herramienta no te da el titulo de dios sabelo todo y que tiene la verdad absoluta, me importa un verdadero carajo si me das la razón, para mi no eres nada importante como para preocuparme por ello.

2)es cosa de ver cuanto software es parchado y en base a esa misma corrección aparecen nuevos fallos, no lo digo yo y repito que me importa un carajo lo que pienses(quizás a los demás intimidas con tu herramienta a mi no) lo dicen los grandes, es cosa de ver las ponencias de la defcon y leer  a los grandes que llevan no 3 sino que toda su vida dedicado a la explotación de fallos.

3)solo posteaba con el afán de realizar la corrección anterior echa, no me interesa discutir
con el super programador de la super herramienta de detección de malware en base a heurística que kaspersky y nod32 se la pelean  :laugh: :laugh: :laugh: :laugh:  .


saluos!!
firma retirada por insultar/cachondearse de (anelkaos) del staff.

burbu_1

hola a todos,

me imagino que monitorizar un proceso en un entorno virtual consumirá una gran cantidad de recursos, no? vamos que para un av comercial montorizar constantemente todos los procesos sería un suicidio  :rolleyes:
por lo que he visto en algunos avs solo virtualizan el proceso la primera vez y después trabajan con listas blancas... ;D

Buster_BSA

#32
Cita de: burbu_1 en 13 Enero 2013, 18:48 PMme imagino que monitorizar un proceso en un entorno virtual consumirá una gran cantidad de recursos, no?

Pues la verdad es que no muchos. Échale un vistazo al Capture-BAT.

Cita de: burbu_1 en 13 Enero 2013, 18:48 PMvamos que para un av comercial montorizar constantemente todos los procesos sería un suicidio  :rolleyes:

Los HIPS es lo que hacen y no hay problema.

0xDani

#33
@ameise_1987, sigo pensando que te pasas un huevo, efectivamente que haya hecho una herramienta no lo hace un dios, pero desde luego que hace absurda tu afirmacion de que habla desde la ignorancia. A mi me parece que habla mas desde la ignorancia aquel que escribe en plan "Ola k ase" y diciendo que "le importa un carajo" lo que digan los demas.

Haz el favor de expresarte en terminos correctos, no sea que bloqueen el post por que tu eres el unico hasta ahora que se ha salido de tono.

@Buster_BSA, y una pieza de malware no puede hacerse pasar por un instalador de Firefox?

Ademas si metes cada aplicacion en un entorno controlado como va un instalador a efectuar la instalacion?

PD: Buster, se te ha colado "Héchale". Es sin h xD.
I keep searching for something that I never seem to find, but maybe I won't, because I left it all behind!

I code for $$$
Hago trabajos en C/C++
Contactar por PM

Buster_BSA

Cita de: 0xDani en 13 Enero 2013, 20:30 PM@Buster_BSA, y una pieza de malware no puede hacerse pasar por un instalador de Firefox?

Claro, por supuesto, por eso es importante desde el punto de vista de un usuario el descargar software solo de repositorios o sitios web confiables, pero una cosa es hacerte pasar por un instalador del FireFox y otra que luego te pongas a hacer cosas raras como crear valores en ciertas claves del registro.

Cita de: 0xDani en 13 Enero 2013, 20:30 PMAdemas si metes cada aplicacion en un entorno controlado como va un instalador a efectuar la instalacion?

Cuckoo Sandbox (http://www.cuckoosandbox.org/) utiliza una máquina virtual como entorno seguro para realizar los análisis. La instalación se efectuará de forma normal y sin ningún problema.

Cita de: 0xDani en 13 Enero 2013, 20:30 PMPD: Buster, se te ha colado "Héchale". Es sin h xD.

Corregido, ¡gracias!

r32

ameise_1987 prueba a tomarte un tranquilizante  ;D.
Se estaban exponiendo diferentes puntos de vista hasta que te lo tomaste como algo personal y entre comillas faltaste el respeto a Buster, creo no hacía falta.

Si queremos que este tema siga adelante intentemos no llegar a tu extremo.
No hagas una montaña de esto, saludos.

0xDani

Entonces por ejemplo hacerse pasar por un instalador podria ser una forma de escribir en el host, la cuestion seria que no los archivos de la "instalacion" no sean detectados como maliciosos. Es algo que se me ocurre simplemente, al final hay que tener creatividad para encontrar el punto flaco.

Aun asi esta claro que es otro nivel de deteccion, pero claro que se encontrara la forma de saltarselo, como siempre se ha hecho, y todavia queda mucho para el antivirus que lo detecte absolutamente todo.

Es solamente mi opinion, pero en fin, el tiempo nos dara la razon.

Saludos.
I keep searching for something that I never seem to find, but maybe I won't, because I left it all behind!

I code for $$$
Hago trabajos en C/C++
Contactar por PM

Arkangel_0x7C5

yo pienso que siempre habra alguna manera, porque tu puedes ser un super programador e imaginar un monton de formas de evitar que se salten tu proteccion. Pero el que se la salta solo necesita una forma para saltarselo. Siempre es mas facil destruir que construir
Y como dicen por hay, arreglas una cosa y estropeas 2. un claro ejemplo es java que cada 2 por tres tiene un fallo critico.

Saludos

Buster_BSA

Cita de: 0xDani en 14 Enero 2013, 16:08 PM
Entonces por ejemplo hacerse pasar por un instalador podria ser una forma de escribir en el host

No. Hacerse pasar por un instalador sería la forma de tratar de engañar al usuario.

Cuando ese instalador se ejecuta y se analiza con un analizador del comportamiento el malware debería ser capaz de no levantar sospechas mientras se analiza.

Buster_BSA

Cita de: Arkangel_0x7C5 en 14 Enero 2013, 17:12 PM
yo pienso que siempre habra alguna manera

Incurres en el mismo error que los otros: el número de vulnerabilidades posibles para lograr realizar una acción es un número finito. Cuando ese número llega a 0 es imposible realizar esa acción.

¿Tan difícil es de entender?