detección de caja de arena de malware

12

Comencé algunos ejercicios de ingeniería inversa usando Ollydbg , IDA Pro y otras herramientas como suite Sysinternals , etc. Algunos de estos ejercicios son sobre malware. Descargué algunos tipos de malware diferentes del increíble repositorio de github llamado The Zoo .

Creé mi propio Virtualbox vm basado en Windows como un entorno de sandbox. El problema es que algunos programas maliciosos avanzados pueden detectar que se está ejecutando en un entorno de espacio aislado y tiene un comportamiento diferente (es un buen chico en el recinto).

Probé un software como Pafish para detectar el entorno virtual. Se trazaron algunas características:

Intenté"modificar" algunos de ellos (teclas de registro) pero se restauran en cada reinicio. De todos modos supongo que hay algunos de ellos imposibles de ocultar. Así que supongamos que el malware, si está un poco elaborado, siempre puede detectar el entorno vm de espacio aislado.

¿Hay algún otro método mejor para el sandbox que evite la detección de malware en el sandbox?

    
pregunta OscarAkaElvis 28.10.2017 - 12:55
fuente

2 respuestas

8

Comience con esta guía, enlace : está increíblemente actualizada en términos de hacer que una VM invitada de VirtualBox tenga más difícil de detectar, incluidas las técnicas válidas en 2017. Esto hará que sus iniciativas y objetivos de análisis de malware automatizado sean más fáciles de lograr.

Considere rastrear y depurar fuera de la máquina virtual invitada usando VirtualKD, como se ve en los tres libros 1) Windows Malware Analysis Essentials, 2) Gray Hat Hacking 4ta edición, y 3) Práctica ingeniería inversa. Puede sincronizar las vistas entre Windbg y IDA Pro utilizando qb-sync.

Prefiero VirtualKD a otras técnicas de depuración de usuarios como Scylla, HideToolz , HideCon, et al. Estos no son tan buenos porque vencer la detección de VM es bastante difícil. Derrotar la anti-depuración y el mal comportamiento asociado solo requiere demasiado trabajo en el mundo del usuario.

Pafish, como sems tool , también está un poco anticuado. Le sugiero que utilice - enlace - para poner a prueba su análisis automatizado de malware con cajas de arena como las máquinas virtuales invitadas. / p>

Hay información adicional sobre la detección de máquinas virtuales en estos blogs:

respondido por el atdre 28.10.2017 - 20:00
fuente
4

Dirija las preguntas sobre análisis binario e ingeniería inversa a enlace especialmente si está empezando, ya que ya hay una gran cantidad de información relevante. el conocimiento que se ha compartido allí es frecuentado por profesionales de ingeniería inversa y analistas de malware.

Posiblemente relevantes Q & amp A:

Lo primero y más importante: Cómo ¿Puedo analizar un binario potencialmente dañino de forma segura?

Si desea analizar dinámicamente los binarios de PE que emplean técnicas de análisis, ScyllaHide , Immunity Debugger y Cheat Engine pueden ser útiles. Ver

para más información.

Según el artículo A Look en Malware con detección de máquina virtual , dependiendo de los métodos empleados para detectar si el programa se está ejecutando en una máquina virtual, puede ser sencillo parchear el binario de manera que esos métodos no se ejecuten.

Un documento de 2006 por Ed Skoudis mencionado en el artículo anterior llamado En la vanguardia: frustrando la detección de máquinas virtuales También puede darte algunas ideas.

Las técnicas de detección de VM empleadas por el binario también pueden depender de cuándo se escribió: según el artículo de Symantec 2014 ¿El malware sigue detectando máquinas virtuales? ,

  

La mayoría de las muestras utilizan un empaquetador de tiempo de ejecución con detección de VM integrada. En general, esto significa que el empaquetador o crypter realizará las detecciones, no la muestra en sí. Los autores de malware se han dado cuenta de que es sospechoso cuando una aplicación detecta que se está ejecutando en una máquina virtual, por lo que han dejado de usar esas funciones en los últimos años.

Si este es el caso de algunos de los binarios que desea analizar, estos pueden contener información útil:

Además de los métodos tradicionales, existen marcos de instrumentación binarios como angr y valgrind que realizan un análisis dinámico sin ejecutar el código objeto original del binario.

Si nada de esto le resulta útil, haga una nueva pregunta en enlace .

    
respondido por el SYS_V 28.10.2017 - 18:44
fuente

Lea otras preguntas en las etiquetas