Ejecutando malware de manera segura sin una VM [cerrada]

0

Quiero ejecutar software no confiable de una manera que solo pueda destruir archivos que pertenezcan a ese software.

Creo que esto es común en GNU / Linux, por ejemplo. ejecutando Apache como usuario "www" que solo tiene acceso de lectura para sus datos y acceso de lectura / escritura para sus archivos temporales.

¿Cómo logro lo mismo en Windows?

    
pregunta Cees Timmerman 07.12.2017 - 22:08
fuente

4 respuestas

2

No lo haces. Un usuario estándar de Windows tiene acceso a decenas (cientos si se permiten aplicaciones autoinstaladas) de protocolos automatizados y manejadores de archivos, todos los cuales pueden acceder a cientos de claves de registro persistentes indocumentadas, tareas programadas y otras aplicaciones que persisten y pueden ser secuestradas por DLL .

Luego está la capa UAC que tiene docenas de desvíos, lo que lleva a una escalada de privilegios, además de cientos si no miles de escaladas de privilegios a nivel del SISTEMA a través de cosas como controladores y motores escalares de fuentes (demasiado numerosos para incluso enumerar cuántos métodos hay).

Una vez elevado, ese tipo de derrota afecta a todo el propósito de esta conversación, pero la suscripción de WMI y muchas otras técnicas de precaución están disponibles. Es aún peor cuando la computadora está en un dominio de Windows Server.

Podría argumentar que tampoco puede reducir los privilegios en un host de Unix o Linux de la misma manera, pero parece estar convencido de que un único binario con permisos restringidos está de alguna manera en algún tipo de zona de pruebas. No es. Incluso en chroot, no lo es. Hice una búsqueda en Google de escapes de chroot y hay casi 100 mil visitas.

    
respondido por el atdre 08.12.2017 - 14:05
fuente
2

Depende del malware que haya "desarrollado", la respuesta real es simplemente NO. He visto malware que comienza con los derechos de los usuarios invitados y se extiende a Admin.

Si necesita una solución alternativa a una máquina virtual para ejecutar Malware en su PC con controles completos de PC y no tiene consecuencias, DeepFreeze .

Una vez instalado, puedes ejecutar cualquier cosa o eliminar cualquier cosa en tu PC. Siempre reiniciará la copia de seguridad normal, igual que en el momento en que instaló DeepFreeze. Desactívalo y todos los cambios se escriben de forma permanente. Si está habilitado, siempre se reiniciará en el estado normal sin importar lo que haga, incluso si elimina / system32 ... :)

    
respondido por el JsEveryDay 08.12.2017 - 16:26
fuente
0

Entonces, ¿cómo hiciste este "malware" si no sabes cosas básicas?

Depende de muchos factores: 1. Su código fuente. No somos telépatas, por lo que no podemos analizar su código y darle una respuesta. 2. Todo sobre el grupo de usuarios de este usuario y sus derechos. Si es solo un usuario, que no puede ver los archivos de otros, entonces él no puede dañar nada excepto sus archivos.

Por cierto, todo es sobre el código y creo que solo quieres usar algunos scripts. No sabemos qué script, su lenguaje de programación y muchas otras cosas que son necesarias. No puede simplemente escribir dos símbolos y decirle a su malware que dañe a un solo usuario, es una tarea más compleja.

    
respondido por el Nik 08.12.2017 - 07:46
fuente
0

DropMyRights se desarrolló para XP y parece que detener los virus. Podría intentar eso o el recomendado PsExec para ver si detienen un archivo por lotes que intenta sobrescribir un archivo de texto en la carpeta de documentos de una cuenta de usuario normal ...

Parece que la forma más sencilla de ejecutar software sin que lea y escriba sus archivos es esta:

  1. Crear un nuevo usuario estándar
  2. Instale ShellRunas
  3. Ejecutar shellrunas /reg
  4. Haz clic derecho en el archivo sospechoso
  5. Haz clic en "Ejecutar como usuario diferente ..."
  6. Iniciar sesión con la nueva cuenta de usuario.

Ejemplo usando usuario estándar:

C:\WINDOWS\system32>whoami
pc\squee

C:\WINDOWS\system32>echo test > testSquee.txt
Toegang geweigerd.

C:\WINDOWS\system32>cd \Users\Squee

C:\Users\Squee>echo test > testSquee.txt

C:\Users\Squee>type testSquee.txt
test

C:\Users\Squee>echo test > C:\Temp\testSquee.txt

Nuevo usuario para software no confiable:

C:\WINDOWS\system32>whoami
pc\nny

C:\WINDOWS\system32>cd \Users\Squee
Toegang geweigerd.

C:\WINDOWS\system32>type \Users\Squee\testSquee.txt
Toegang geweigerd.

C:\WINDOWS\system32>type C:\Temp\testSquee.txt
test

C:\WINDOWS\system32>echo hi > C:\Temp\testSquee.txt

C:\WINDOWS\system32>type C:\Temp\testSquee.txt
hi

No parece muy seguro, pero probablemente sea una ACL que hereda la escritura para otros. Tal vez Sandboxie es la opción más infalible.

    
respondido por el Cees Timmerman 08.12.2017 - 13:15
fuente

Lea otras preguntas en las etiquetas