Pafish es una herramienta para detectar entornos de análisis de malware, replicando las acciones que el malware hará normalmente para detectar si está siendo analizado. Viene con una serie de controles genéricos y específicos para revelar la presencia de ciertos productos de seguridad. Esto permite a los desarrolladores y usuarios de tales herramientas de análisis identificar y si es posible, mitigar sus debilidades en términos de detectabilidad.
Desafortunadamente, la mitigación no siempre es posible ya que algunos mecanismos de detección buscarán efectos secundarios inevitables de la tecnología de monitoreo aplicada. Por ejemplo, si la herramienta de análisis se basa en llamadas de función de Hooking, es relativamente trivial detectar la modificación de memoria resultante y probablemente no es posible mitigarlo.
Pafish está escrito en C y puede ser construido con MinGW (gcc + make). Es posible ver el código fuente del proyecto, que tiene diferentes archivos, cada uno utilizado para diferentes propósitos de detección:
- Detectar un depurador: debuggers.c
- Detectar una caja de seguridad: gensandbox.c
- Detectar funciones Hooking: hooks.c
- Detectar VirtualBox: vbox.c
- Detectar VMWare: vmware.c
- Detectar Qemu: qemu.c
- Detectar Bochs: bochs.c
- Detectar Cuckoo: cuckoo.c
- Detectar Sandboxie: sandboxie.c
- Detectar vino: wine.c
Pafish sólo contiene detecciones de depurador muy simples utilizando dos funciones de la API de Windows: IsDebuggerPresent() y OutputDebugString() . Dado que la mayoría de las sandbox de malware no utilizan la depuración en la máquina, estas comprobaciones son inútiles para detectarlas. Además de las rutinas Pafish, hay muchos métodos más sofisticados para detectar depuradores, ya sea genérica o específicamente.
Fuente: Gurú de la Informática
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!