¿Saltarse heuristicas y sandbox modeando?

Iniciado por Tr0Y4N0, 9 Diciembre 2012, 01:29 AM

0 Miembros y 1 Visitante están viendo este tema.

0xDani

Cita de: Buster_BSA en 14 Enero 2013, 17:48 PM
Incurres en el mismo error que los otros: el número de vulnerabilidades posibles para lograr realizar una acción es un número finito. Cuando ese número llega a 0 es imposible realizar esa acción.

¿Tan difícil es de entender?

Esa afirmacion es correcta, sin embargo teniendo en cuenta la cantidad de maneras posibles que hay de realizar esa accion y que igual que se reparan fallos tambien se crean fallos nuevos ese numero finito da para mucho. Sin embargo algun dia llegara a 0, aceptemoslo.


Cita de: Buster_BSA en 14 Enero 2013, 17:47 PM
No. Hacerse pasar por un instalador sería la forma de tratar de engañar al usuario.

Cuando ese instalador se ejecuta y se analiza con un analizador del comportamiento el malware debería ser capaz de no levantar sospechas mientras se analiza.

Exacto, para que la instalacion de un programa normal se efectue la sandbox debe permitir que se escriba en el host, entonces si consigue que los archivos de la "instalacion" pasen los analisis ha pasado al host no?
I keep searching for something that I never seem to find, but maybe I won't, because I left it all behind!

I code for $$$
Hago trabajos en C/C++
Contactar por PM

Buster_BSA

Cita de: 0xDani en 14 Enero 2013, 19:06 PMExacto, para que la instalacion de un programa normal se efectue la sandbox debe permitir que se escriba en el host, entonces si consigue que los archivos de la "instalacion" pasen los analisis ha pasado al host no?

Veo que no lo tienes muy claro. A ver si lo explico de forma que se entienda bien.

¿Qué es una sandbox? Yo por sandbox entiendo un entorno controlado y aislado donde las aplicaciones que son ahí ejecutadas no tienen efecto sobre el "host", o sea, el sistema operativo donde se ejecuta la sandbox.

Una sandbox podría ser una máquina virtual como VirtualBox, VMWare, QEMU, ... o un software de virtualización como el Sandboxie.

Un programa que se ejecuta en una sandbox, en teoría, nunca pasa al "host". Tiene que ser el usuario el que ejecute el programa directamente en el "host".

La idea es que un malware disfrazado de instalación del FireFox no levante sospechas cuando se ejecuta en la sandbox para que el usuario piense que esa aplicación es inocua y por lo tanto la ejecute en el "host".

¿Se entiende ahora?

0x3c

Hola, he estado leyendo este hilo, y me parece que discutiendo no se llegara a ningun lado en mi opinion y poca experiencia propia puedo decir lo siguiente:

Saltarse la heuristica para evitar la deteccion es mas que posible pero siempre que la pieza de software sea ejecutada en un entorno que simule ser un sistema operativo(simulador, sandbox o maquina virtual) a menos que el ejecutable detecte que esta siendo ejecutado en dicha forma sera monitorizado..y finalmente toda actividad realizada sera descubierta.

en cuanto a vulnerabilidades que permitan ejecutar codigo(shellcode o exploits) en el host viendolo, desde el punto de vista de que la maquina virtual se esta ejecutando en la memoria del huesped(host) es posible que en un futuro se encuentre una manera de atacarla..no estoy diciendo que en el momento sea algo que se esta haciendo o no eso no es lo que importa en este punto...
Si Vis Pacem, Para Bellum.

Another Legend Has Fallen

Buster_BSA

Cita de: 0x3c en 14 Enero 2013, 20:23 PM
siempre que la pieza de software sea ejecutada en un entorno que simule ser un sistema operativo(simulador, sandbox o maquina virtual) a menos que el ejecutable detecte que esta siendo ejecutado en dicha forma sera monitorizado..y finalmente toda actividad realizada sera descubierta.

Pues a ver si Karcrack a ti te cree.

Karcrack

Cita de: 0x3c en 14 Enero 2013, 20:23 PM
en cuanto a vulnerabilidades que permitan ejecutar codigo(shellcode o exploits) en el host viendolo, desde el punto de vista de que la maquina virtual se esta ejecutando en la memoria del huesped(host) es posible que en un futuro se encuentre una manera de atacarla..no estoy diciendo que en el momento sea algo que se esta haciendo o no eso no es lo que importa en este punto...
Pues a ver si Buster_BSA a ti te cree.

(:rolleyes:)

0x3c

#45
Buster_BSA

me tome un tiempo para buscar informacion en cuanto a la existencia de la posibilidad de que software malicioso pueda atacar o escribir en la memoria del host..para ello estuve hechandole el ojo a un 'white paper' escrito por Peter Ferrie[creo que sabes quien es] en el que el describe cuales son los 'vectores de ataque' porsibles que el malware puede realizar al detectar que esta siendo ejecutado en una maquina virtual..

Abstract As virtual machine emulators have become
commonplace in the analysis of malicious code, malicious code
has started to fight back. This paper describes known attacks
against the most widely used virtual machine emulators (VMware
and VirtualPC). This paper also demonstrates newly discovered
attacks on other virtual machine emulators (Bochs, Hydra,
QEMU, and Xen), and describes how to defend against them.


en ese white paper el menciona tres:

*detectar y para la ejecucion

*DOS[denegacion de servicio]

*Finally, the most interesting attack that malicious code can
perform against a virtual machine emulator is to escape from
its protected environment.


tradusco: finalmente. el ataque mas interesante que codigos maliciosos pueden realizar contra de las maquinas virtuales es escapar de su entorno protegido.

creo, si mi ingles no me falla, que el autor se refiere a que el codigo malicioso podria, en teoria, escapar del entorno que la maquina virtua le provee...ademas pude leer que el las maquinas virtuales(especificamente las que se basan en software) usa buffers para alojar las intrucciones ejecutadas por el codigo ejecutable[quizas me equivoco al pensar que esto abre muchas posibilidades] pero al mismo tiempo reduce posibilidades por que esas secciones de memoria se ejecutan en modo no privilegiado...

E.P.: lo que nos deja con que para ciertos ataques sean exitosos los privilegios de la maquina virtual deberian estar ejecutandose en modo privilegiado..

E.P.2: este es el 'white paper' que estuve leyendo:
www.symantec.com/avcenter/reference/Virtual_Machine_Threats.pd


este tema esta interesante :D
saludos
Si Vis Pacem, Para Bellum.

Another Legend Has Fallen

Buster_BSA

Evidentemente el ataque más interesante que un malware pueda realizar contra una máquina virtual siempre será el escapar del entorno aislado, pero una cosa es querer y otra poder.

Vuelvo a preguntar porque nadie me ha respondido todavía: ¿cuántos años han pasado desde la última vez que se encontró una vulnerabilidad que permitiera a un programa escapar de VirtualBox o VMWare y escribir directamente al host?

0x3c

Citar
Vuelvo a preguntar porque nadie me ha respondido todavía: ¿cuántos años han pasado desde la última vez que se encontró una vulnerabilidad que permitiera a un programa escapar de VirtualBox o VMWare y escribir directamente al host?

entiendo tu punto...pero tengo que aceptar que karcrack tambien tiene razon podrian pasar semanas, meses, anos, o quizas siglos antes de que se encuentre un bug en el software de las maquinas virtuales actuales o un error en la arquitectura de los 'hypervisors' y quizas tomes mucho mas para desarrollar codigo que explote ese bug exitosamente pero no es questionable que es totalmente posible....dificil, si, es dificil pero no imposible...

no se si te acuerdas que Google alegaba que su browser era casi 'unhackable' por que hacia uso de un sandbox entonces paso esto:

http://www.zdnet.com/blog/security/cansecwest-pwnium-google-chrome-hacked-with-sandbox-bypass/10563

aunque no se si existe comparasion entre la sandbox de Chrome y software que emula un sistema operativo en su totalidad...


saludos
Si Vis Pacem, Para Bellum.

Another Legend Has Fallen

Buster_BSA

Yo no he dicho en ningún momento que no sea posible. Yo defiendo la idea de que no siempre habrá una vulnerabilidad, porque su número es finito y a base de correcciones llegará a 0, y defiendo que las cosas no se logran porque seas capaz de imaginarlas.

Novlucker

Tengo dudas respecto a este advisor ...
http://www.vmware.com/security/advisories/VMSA-2012-0009.html

Igual no venía a eso ... Relax por favor :)

Saludos
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein