Ocultando entornos virtuales a malware y atacantes
Si recordáis hace tiempo repasamos una serie de técnicas para que nuestro malware de cada día pudiera detectar que está "dentro" de una máquina virtual o en un sandbox y así ejecutar inmediatamente un rutina de escape para dejar con un palmo de narices a los analistas (o al menos a los analistas más noveles).
Ahora vamos a cambiarnos de chaqueta y vamos a ponernos en la piel de quién tiene que realizar el análisis del software malicioso. Si antes la pieza de malware intentaba detectar el entorno dónde estaba para engañarle y no seguir ejecutando sus malignas acciones, ahora es el propio entorno el que intentará engañar al malware y hacerle creer que está campando a sus anchas en el sistema operativo de su víctima inocente.
Para ello nos viene al pelo un breve post de Hexacorn en el que se describen algunas maneras de ocultar que el sistema es realmente una máquina virtual (principalmente VMWare). Por supuesto no son las únicas medidas que se pueden tomar, pero es un excelente comienzo para ocultar ficheros, procesos, servicios y claves de registro de cara a evadir los controles anti-VM de algunos tipos de malware.
Contenido completo en fuente original HackPlayers
Ahora vamos a cambiarnos de chaqueta y vamos a ponernos en la piel de quién tiene que realizar el análisis del software malicioso. Si antes la pieza de malware intentaba detectar el entorno dónde estaba para engañarle y no seguir ejecutando sus malignas acciones, ahora es el propio entorno el que intentará engañar al malware y hacerle creer que está campando a sus anchas en el sistema operativo de su víctima inocente.
Para ello nos viene al pelo un breve post de Hexacorn en el que se describen algunas maneras de ocultar que el sistema es realmente una máquina virtual (principalmente VMWare). Por supuesto no son las únicas medidas que se pueden tomar, pero es un excelente comienzo para ocultar ficheros, procesos, servicios y claves de registro de cara a evadir los controles anti-VM de algunos tipos de malware.
Contenido completo en fuente original HackPlayers
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!