Evitar y detectar máquinas virtuales
Desde hace bastante tiempo venimos escuchando y leyendo nuevos avances en cuanto a Malware se refiere. Uno de estos grandes avances, es a su vez una pesadilla para cualquier analista. Y es ver cómo un Malware que se intenta analizar en un entorno virtualizado, no realiza ningún tipo de acción.
A día de hoy ya es una realidad que muchas variantes de malware realicen comprobaciones para conocer en dónde se están ejecutando y en función del entorno o arquitectura, realizar un tipo de acción o no.
Personalmente, mis conocimientos de detección de entornos virtualizados bajo la platorma Windows se circunscriben a comprobar por ejemplo los drivers nativos de los fabricantes y algunas claves de registro. Tengo en casa una cantidad ingente de información esperando a ser devorada y lo más importante, comprendida.
Bajo esta premisa, me he encontrado con el proyecto pafish de Alberto Ortega que personalmente me ha parecido brillante. Se trata de una herramienta muy sencilla que intenta detectar varias características y entornos virtualizados en base a una serie de peticiones. Estos entornos van desde una SandBox a entornos virtualizados, y a nivel de características si se encuentra algún módulo de depuración (Debugging) activo.
Al ser Open Source, se puede ver todas las comprobaciones que la herramienta realiza. Sin duda algo muy práctico para el que quiera conocer con más detalle este tipo de labores, realizadas mayoritariamente por aplicaciones maliciosas.
Como soy un pirata, intenté hacer “sufrir” un poco a la herramienta de Alberto, probándola con algún tipo de aplicación que ocultase el entorno de virtualización. Por regla general, este tipo de aplicaciones enmascaran las peticiones que se realizan desde la capa de usuario, devolviendo en muchos casos respuestas erróneas o falseadas.
Una de estas aplicaciones se llama VMDetectguard. Esta aplicación entre otras funciones, intenta hacer creer a un Malware que se está ejecutando en otro entorno, mediante enmascaramiento de peticiones.
Fuente: Security by Default
A día de hoy ya es una realidad que muchas variantes de malware realicen comprobaciones para conocer en dónde se están ejecutando y en función del entorno o arquitectura, realizar un tipo de acción o no.
Personalmente, mis conocimientos de detección de entornos virtualizados bajo la platorma Windows se circunscriben a comprobar por ejemplo los drivers nativos de los fabricantes y algunas claves de registro. Tengo en casa una cantidad ingente de información esperando a ser devorada y lo más importante, comprendida.
Bajo esta premisa, me he encontrado con el proyecto pafish de Alberto Ortega que personalmente me ha parecido brillante. Se trata de una herramienta muy sencilla que intenta detectar varias características y entornos virtualizados en base a una serie de peticiones. Estos entornos van desde una SandBox a entornos virtualizados, y a nivel de características si se encuentra algún módulo de depuración (Debugging) activo.
Al ser Open Source, se puede ver todas las comprobaciones que la herramienta realiza. Sin duda algo muy práctico para el que quiera conocer con más detalle este tipo de labores, realizadas mayoritariamente por aplicaciones maliciosas.
Como soy un pirata, intenté hacer “sufrir” un poco a la herramienta de Alberto, probándola con algún tipo de aplicación que ocultase el entorno de virtualización. Por regla general, este tipo de aplicaciones enmascaran las peticiones que se realizan desde la capa de usuario, devolviendo en muchos casos respuestas erróneas o falseadas.
Una de estas aplicaciones se llama VMDetectguard. Esta aplicación entre otras funciones, intenta hacer creer a un Malware que se está ejecutando en otro entorno, mediante enmascaramiento de peticiones.
Fuente: Security by Default
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!