SlideShare uma empresa Scribd logo

rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_calvo_-_roberto_amado

RootedCON
RootedCON

RootedCON https://www.rootedcon.com Marzo/March 5-7 2020 Madrid (Spain)

Tecnologia
1 de 55
Baixar para ler offline
Sandbox fingerprin.ng Evadiendo entornos de análisis
Whoami Víctor Calvo Miembro del Red Team de S2 Grupo @aetsu Roberto Amado Director Técnico de Seguridad en S2 Grupo @ramado78
Índice 1. Mo%vación 2. Entorno de análisis 3. Iden%ficación de sandbox 4. Análisis de la seguridad de las sandbox 5. Sandbox owner fingerprin%ng 6. En qué estamos trabajando 7. Conclusiones
1. Motivación • Queremos tratar de identificar si nuestros artefactos se encuentran en una sandbox. Partimos de la idea del siguiente post: • Machine Learning for Red Teams - Part 1: https://silentbreaksecurity.com/machine-learning-for- red-teams-part-1 • Queremos obtener inteligencia para saber como se construyen las sandbox de terceros y como un malware podría evadir su clasificación • Queremos saber si sería posible escapar de las sandbox e identificar a los analistas que las utilizan
2.1 Entorno de análisis - Arquitectura
2.1 Entorno de análisis – Desarrollo del artefacto • Artefacto escrito en C# y .Net • Exfiltración de información mediante peticiones POST sobre HTTPs • No necesitamos pasar desapercibidos, queremos ser analizados por cuantas más sandbox mejor. • “Le damos realismo”: Un documento Word con una macro que mediante powershell que descarga un binario y lo ejecuta.
2.1 Entorno de análisis - Desarrollo • Versión del sistema opera?vo • Usuario actual • Dominio • Versión de .Net • Iden?ficador de la placa base • Numero de procesadores • Modelo del procesadores • Serial de la BIOS • Can?dad de memoria RAM • Netstat • Netstat routes • Dirección MAC • Fabricante de la MAC • Listado de procesos en ejecución • Total de procesos en ejecución • Listado de usuarios • Número de usuarios • Grupos locales • Número de grupos locales • Unidades montadas • Listado de tareas programadas • An?virus instalado • Listado de archivos en C:Program Files (x86) • Listado de archivos en C:Program Files • Listado de archivos en C: • Listado de archivos en C:WindowsSystem32drivers • Listado de archivos en Otros discos montados • Listado de módulos cargados por nuestro programa Información recopilada en cada ejecución:
2.1 Entorno de análisis - Desarrollo
2.2 Obje>vos analizados • Virustotal • Sndbox • Any.run • Hybrid • Joe Sandbox • Analyz • Valkyrie • Intezer Analyze • Vicheck • Iobit • Jotti • VirScan.org • Metadefender Cloud • Avira • Kaspersky VirusDesk
2.3 Ejecuciones del artefacto Virustotal Sndbox Any.run Hybrid Joe Sandbox Analyz Valkyrie Intezer Analyze Vicheck Iobit Jotti VirScan.org Metadefender Cloud Avira Kaspersky VirusDesk Subimos muestras con identificadores únicos a cada servicio 13 11 7 2 1 1 1 1 0 2 4 6 8 10 12 14 Virustotal SndboxIntezerAnalyze Any.run Hybrid Kaspersky VirusDesk M etadefenderCloud Vicheck Conexiones establecidas Ejecuciones del artefacto y exfiltración de los datos de la sandbox
2.4 Plataforma de análisis Resultados recopilados en un repositorio centralizado
2.4 Plataforma de análisis Ejemplo de información recopilada Y mucha más…
3.1 Identificando Sandbox - Objetivos OBJETIVO: Saber si nuestro artefacto esta ejecutándose en una sandbox Estado del arte: Existen numerosas aplicaciones , estudios … como el de machine learning: • Machine Learning for Red Teams - Part 1: https://silentbreaksecurity.com/machine- learning-for-red-teams-part-1 Algunos números obtenidos… • Tenemos 37 ejecuciones de nuestro artefacto que recopilan información del los servicios de análisis de sandbox • 27 IPs orígenes públicas identificadas • De los 15 proveedores de servicios públicos de sandbox analizados, 8 han contactado con nuestra infraestructura
3.2 Iden)ficando Sandbox - Resultados preliminares Primeros análisis básicos muestran que palabras VMware, Vbox y KVM en la información recopilada De los 37, con un búsqueda de referencias a palabras clave como “VMware ”, 6 se sabe que es un entorno de análisis
Máquinas que tienen como 0mb como memoria RAM De los 37, con un simple comprobación de la memoria RAM, 10 se sabe que es un entorno de análisis 3.2 Iden)ficando Sandbox
3.3 Identificando Sandbox Dato curioso: Archivos subidas a distinto servicio muestran conexiones desde la mismas IPs y comparten parámetros de las sandbox. Esto implica que los distintos servicios comparten sandbox de terceros para el análisis
3.3 Iden)ficando Sandbox Máquinas con mas de 85 procesos De los 37 resultados obtenidos, 36 tienen menos de 85 procesos en ejecución
3.4 Estado de las sandbox • Versión del sistema opera0vo • Usuario actual • Dominio • Versión de .Net • Iden%ficador de la placa base • Numero de procesadores • Modelo del procesadores • Serial de la BIOS • Can%dad de memoria RAM • Netstat • Netstat routes • Dirección MAC • Fabricante de la MAC • Listado de procesos en ejecución • Total de procesos en ejecución • Listado de usuarios • Número de usuarios • Grupos locales • Número de grupos locales • Unidades montadas • Listado de tareas programadas • An0virus instalado • Listado de archivos en C:Program Files (x86) • Listado de archivos en C:Program Files • Listado de archivos en C: • Listado de archivos en C:WindowsSystem32drivers • Listado de archivos en Otros discos montados • Listado de módulos cargados por nuestro programa Algoritmo “complejo” de detección de entorno sandbox: Cantidad de procesos en ejecución Otros parámetros interesantes son: • Serial de la BIOS • Iden?ficador de la placa base • Can?dad de memoria RAM Por lo tanto, el estado actual de las capacidades de ocultación de sandbox de proveedores de servicios públicos presentan poca madurez en este ámbito. Por lo que no es necesario, al menos de momento, del uso de machine learning para estos entornos
4. Análisis de la seguridad de las sandbox • Al listar directorios hemos visto que existen archivos interesantes, que forman parte de la lógica de análisis y ejecución de la sandbox y quizás sean accesibles… • ¿Tenemos permisos para acceder a los archivos o escribir en ellos? • ¿Cómo obtenemos los archivos? OBJETIVO: Obtener inteligencia de las sandbox, saber como trabajan
4. Análisis de la seguridad de las sandbox Consideraciones: • Tiempo de ejecución corto, de 3 a 5 minutos aproximadamente • Rediseñamos el binario con múlXples hilos • Limitamos por extensión del archivo: .7z .backup .bat .bin .bmp .cfg .cmd .conf .db .dll .doc .docx .exe .inf .ini .jar .jpeg .jpg .js .json .kdbx .key .log .pdf .pfx .ppk .ppt .pptx .pub .py .rar .reg .rules .rtf .sh .sql .ssdeep .sys .txt .vbs .xls .xlsx .yara .zip
4. Análisis de la seguridad de las sandbox
4.1 Análisis de archivos exfiltrados Se ha accedido a un total de 874 archivos
4.1 Análisis de archivos exfiltrados Archivos “legí?mos” para darle realismo a la sandbox: • benign.doc • benign.jar • benign.pdf • benign.xls • First Michigan Bank-11-2012.pdf • IMG_6014.jpg • IMG_6049.jpg • Presiden?al Savings Bank-2010- 02-13.pdf • Presiden?al Savings Bank-2010- 05-02.pdf Si encuentras este tipo de ficheros ya sabemos que estamos en una sandbox…
4.1 Análisis de archivos exfiltrados Ocultación de parámetros de la sandbox a través del fabricante: • oem.reg Configuraciones para Office 2010: • Office2010.reg Configuraciones para Acrobat Reader 9: • AcrobatReader9.reg Ficheros de configuración para enmascarar la sandbox:
4.1 Análisis de archivos exfiltrados Ficheros de configuración de despliegue del entorno: • mount.sh • edit_registry.bat • start.bat
4.1 Análisis de archivos exfiltrados Archivos del agente de análisis del malware: • loader.py • guest.py
4.1 Análisis de archivos exfiltrados Herramientas de análisis: • Facondetector.exe • messia.exe • c2ae_uiproxy.exe • dumper.exe Herramientas de simulación de entorno: • user_imitator.exe • hangload.exe
4.1 Análisis de archivos exfiltrados Hashes Ssdep (98304 entradas): • whitelist.ssdeep Inteligencia de detección uElizada por las sandbox
4.1 Análisis de archivos exfiltrados Yara rules : • rules.yara • triggers.yara • predetect.yara Inteligencia de detección uElizada por las sandbox
4.2 Conclusiones • Es posible acceder a archivos de configuración utilizados para generar las sandbox • Conociendo como trabajan las sandbox de terceros podemos mejorar las nuestras • Se han obtenido reglas utilizadas para detectar malware ¿Posible evasión de detección? • Las sandbox no están tan maduras como creíamos ya que ha sido posible acceder a gran cantidad de ficheros utilizados para su configuración y análisis de malware
5. Sandbox owner fingerprinting OBJETIVO: • IdenXficar al propietario de la sandbox • IdenXficar a las enXdades que obXenen inteligencia de ellas • ÚXl para los ejercicios de Red Team
5.1 Sandbox owner fingerprin>ng ¿Podemos saber que están analizando nuestras muestras si estas no se pueden conectar a Internet? ¿Podemos identificar quién o qué empresa está analizando las muestras? Por ejemplo, ¿podemos conocer la empresa que gestiona el SOC de un cliente? ¿Podemos escapar de la sandbox? ¿Están los analistas protegidos?
5.1 Sandbox owner fingerprinting Clasificamos con e?quetas las dis?ntas sandbox iden?ficadas, mediante : análisis de procesos, iden?ficación de las direcciones IP, archivos iden?ficados…
5.1 Sandbox owner fingerprin>ng Necesitábamos ir mas allá, dado que no nos aportaba suficiente información…
5.1 Sandbox owner fingerprinting
5.2 Sandbox owner fingerprin>ng - Desarrollo • Desarrollo de un nuevo artefacto • Obje%vo: Interfaces internos de visualización de muestras • UElizamos C# y .Net • UElizamos un framework para explotar blind XSS -> XSS Hunter • Obtener IPs desde donde se ejecutan nuestros XSS • Hacer capturas de pantalla del navegador • Obtener el código de las páginas vulnerables
5.2 Sandbox owner fingerprinting - Desarrollo
5.3 Sandbox owner fingerprinting Obje2vos analizados: • VirusTotal • Any.Run • Hybrid Analysis • Open Threat Exchange (AlienVault)
5.4 Sandboxes vulnerables - resultados VirusTotal MultiSandbox -> VenusEye
5.4 Resultados VirusTotal Mul;Sandbox -> Tencent HABO
5.4 Resultados VirusTotal MultiSandbox -> SNDBOX
5.4 Resultados VirusTotal Mul;Sandbox -> Jujubox Sandbox
5.4 Resultados Any.run -> Processes graph
5.4 Resultados Open Threat Exchange (Alienvault)
5.5 ¿Quién analiza nuestras muestras? • ¿Qué empresas ? • ¿Qué países? • ¿Qué ingenieros?
5.5 ¿Quién analiza nuestras muestras? Captura de pantalla realizada con un blind XSS en el navegador de la red interna de una empresa AnWvirus, en su APLICACIÓN INTERNA DE ANALISIS
5.5 ¿Quién analiza nuestras muestras? Captura de pantalla realizada con un blind XSS de una APLICACIÓN INTERNA DE ANALISIS de malware de una empresa china
5.5 ¿Quién analiza nuestras muestras? Captura de pantalla realizada con un blind XSS del análisis de una muestra con una APLICACIÓN INTERNA de una empresa china
5.5 Resultados 220 10 4 4 2 2 1 1 1 0 50 100 150 200 250 CN HK JP IL NO EU RU NL CZ Peticiones (agrupadas)3295 36 10 9 8 6 3 2 1 0 500 1000 1500 2000 2500 3000 3500 CN HK JP IL EU NL CZ NO RU Peticiones (sin agrupar) ¿Cuál es el país que más se está interesando por obtener inteligencia del malware? CHINA
5.5 Resultados • No hemos podido evidenciar ninguna vulnerabilidad en Hybrid Analysis Pero… • Hemos contactado con Google (Virustotal) • Hemos contactado con Any.run • Hemos contactado con Alienvault
6. En qué estamos trabajando • Obtener más datos. Continuamente aparecen más servicios con análisis de comportamiento de malware y queremos analizarlos • Explorar nuevas formas de explotar vulnerabilidades que puedan afectar a los analistas. • Abrir la base de datos al público y quizás, un servicio para pentesters mediante el que con el envío de determinada información saber si es una sandbox y a quien está asociada.
7. Conclusiones generales • Mediante unos simples parámetros podemos idenEficar gran canEdad de sandbox • Es posible acceder a archivos sensibles de configuración de las sandbox pudiendo: • Obtener inteligencia para desarrollar nuestra sandbox • Poder evadirla • Países como China está dedicando grandes recursos para obtener inteligencia a parEr del malware • Y por úlEmo…
Y por ulEmo, es posible atacar a los analistas en su propia red interna… Posible escenario del vector de ataque:
Cuidado !!! con las muestras que se analizan y dónde se visualizan
Muchas gracias

Recomendados

Rooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amado
RootedCON
 
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
RootedCON
 
Rooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molina
RootedCON
 
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
RootedCON
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
RootedCON
 
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
RootedCON
 
Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...
Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...
Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...
RootedCON
 
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]
RootedCON
 

Recomendados

Rooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amado
RootedCON
 
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
RootedCON
 
Rooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molina
RootedCON
 
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
RootedCON
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
RootedCON
 
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
RootedCON
 
Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...
Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...
Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...
RootedCON
 
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]
RootedCON
 
Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...
Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...
Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...
RootedCON
 
Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]
RootedCON
 
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
RootedCON
 
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
RootedCON
 
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
RootedCON
 
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto Salgado
Websec México, S.C.
 
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
RootedCON
 
Pentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonPentesting 101 por Paulino Calderon
Pentesting 101 por Paulino Calderon
Websec México, S.C.
 
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]
RootedCON
 
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
RootedCON
 
David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]
RootedCON
 
Kali linux v2_re_y_des
Kali linux v2_re_y_desKali linux v2_re_y_des
Kali linux v2_re_y_des
Carlos Ansotegui Pardo
 
Nikto
Nikto Nikto
Nikto
Rafael Ibarra Alvarez
 
Técnicas de escaneo masivo - 11/2013
Técnicas de escaneo masivo - 11/2013Técnicas de escaneo masivo - 11/2013
Técnicas de escaneo masivo - 11/2013
Websec México, S.C.
 
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...
RootedCON
 
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
RootedCON
 
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
Jaime Sánchez
 
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
RootedCON
 
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
RootedCON
 
Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.
Internet Security Auditors
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
Internet Security Auditors
 
3.redes seguridad
3.redes seguridad3.redes seguridad
3.redes seguridad
Ramiro Estigarribia Canese
 

Mais conteúdo relacionado

Mais procurados

Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]
RootedCON
 
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto Salgado
Websec México, S.C.
 
David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]
RootedCON
 
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
Jaime Sánchez
 
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
RootedCON
 
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
RootedCON
 

Mais procurados (19)

Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...
Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...
Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...
 
Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]
 
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
 
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
 
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
 
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto Salgado
 
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
 
Pentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonPentesting 101 por Paulino Calderon
Pentesting 101 por Paulino Calderon
 
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]
 
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
 
David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]
 
Kali linux v2_re_y_des
Kali linux v2_re_y_desKali linux v2_re_y_des
Kali linux v2_re_y_des
 
Nikto
Nikto Nikto
Nikto
 
Técnicas de escaneo masivo - 11/2013
Técnicas de escaneo masivo - 11/2013Técnicas de escaneo masivo - 11/2013
Técnicas de escaneo masivo - 11/2013
 
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...
 
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
 
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
 
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
 
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
 

Semelhante a rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_calvo_-_roberto_amado

VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
Internet Security Auditors
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss
Sykrayo
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAM
Conferencias FIST
 

Semelhante a rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_calvo_-_roberto_amado (20)

Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
 
3.redes seguridad
3.redes seguridad3.redes seguridad
3.redes seguridad
 
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
 
S7 hack-hacking con google bing y shodan p3
S7 hack-hacking con google bing y shodan p3S7 hack-hacking con google bing y shodan p3
S7 hack-hacking con google bing y shodan p3
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAM
 
Backbox Distribución deriva de Ubuntu
Backbox Distribución deriva de UbuntuBackbox Distribución deriva de Ubuntu
Backbox Distribución deriva de Ubuntu
 
4.test de penetración pentest
4.test de penetración pentest4.test de penetración pentest
4.test de penetración pentest
 
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
 
Curso forensics power_tools
Curso forensics power_toolsCurso forensics power_tools
Curso forensics power_tools
 
S7-Hack-Hacking con Google Bing y Shodan P3
S7-Hack-Hacking con Google Bing y Shodan P3S7-Hack-Hacking con Google Bing y Shodan P3
S7-Hack-Hacking con Google Bing y Shodan P3
 
Tacita, análisis de APKS y big data
Tacita, análisis de APKS y big dataTacita, análisis de APKS y big data
Tacita, análisis de APKS y big data
 
14-Seguridad de la Información
14-Seguridad de la Información14-Seguridad de la Información
14-Seguridad de la Información
 
webminar ataques de fuerza bruta kali linux
webminar ataques de fuerza bruta kali linux webminar ataques de fuerza bruta kali linux
webminar ataques de fuerza bruta kali linux
 
Fedora Security LAB
Fedora Security LABFedora Security LAB
Fedora Security LAB
 
Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...
Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...
Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...
 
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesFIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
 
Ingeniería Inversa en Android. Rooted Labs. Rooted CON 2012.
Ingeniería Inversa en Android. Rooted Labs. Rooted CON 2012.Ingeniería Inversa en Android. Rooted Labs. Rooted CON 2012.
Ingeniería Inversa en Android. Rooted Labs. Rooted CON 2012.
 
Presentacion kali linux
Presentacion kali linuxPresentacion kali linux
Presentacion kali linux
 

Mais de RootedCON

Mais de RootedCON (20)

Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
 
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
 
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
 
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
 
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
 
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
 
Rooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopez
 
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
 
Rooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jara
 
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
 
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
 
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
 
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
 
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acin
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acinRooted2020 emotet is-dead_long_live_emotet_-_victor_acin
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acin
 
Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...
Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...
Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...
 
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalezRooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
 
Rooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torrano
Rooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torranoRooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torrano
Rooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torrano
 
Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.
Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.
Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.
 
Jordi Ubach - Breaking critical infrastructures [rootedvlc2019]
Jordi Ubach - Breaking critical infrastructures [rootedvlc2019]Jordi Ubach - Breaking critical infrastructures [rootedvlc2019]
Jordi Ubach - Breaking critical infrastructures [rootedvlc2019]
 
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
 

Último

redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
nicho110
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 

Último (10)

redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos Basicos
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 

rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_calvo_-_roberto_amado

  • 2. Whoami Víctor Calvo Miembro del Red Team de S2 Grupo @aetsu Roberto Amado Director Técnico de Seguridad en S2 Grupo @ramado78
  • 3. Índice 1. Mo%vación 2. Entorno de análisis 3. Iden%ficación de sandbox 4. Análisis de la seguridad de las sandbox 5. Sandbox owner fingerprin%ng 6. En qué estamos trabajando 7. Conclusiones
  • 4. 1. Motivación • Queremos tratar de identificar si nuestros artefactos se encuentran en una sandbox. Partimos de la idea del siguiente post: • Machine Learning for Red Teams - Part 1: https://silentbreaksecurity.com/machine-learning-for- red-teams-part-1 • Queremos obtener inteligencia para saber como se construyen las sandbox de terceros y como un malware podría evadir su clasificación • Queremos saber si sería posible escapar de las sandbox e identificar a los analistas que las utilizan
  • 5. 2.1 Entorno de análisis - Arquitectura
  • 6. 2.1 Entorno de análisis – Desarrollo del artefacto • Artefacto escrito en C# y .Net • Exfiltración de información mediante peticiones POST sobre HTTPs • No necesitamos pasar desapercibidos, queremos ser analizados por cuantas más sandbox mejor. • “Le damos realismo”: Un documento Word con una macro que mediante powershell que descarga un binario y lo ejecuta.
  • 7. 2.1 Entorno de análisis - Desarrollo • Versión del sistema opera?vo • Usuario actual • Dominio • Versión de .Net • Iden?ficador de la placa base • Numero de procesadores • Modelo del procesadores • Serial de la BIOS • Can?dad de memoria RAM • Netstat • Netstat routes • Dirección MAC • Fabricante de la MAC • Listado de procesos en ejecución • Total de procesos en ejecución • Listado de usuarios • Número de usuarios • Grupos locales • Número de grupos locales • Unidades montadas • Listado de tareas programadas • An?virus instalado • Listado de archivos en C:Program Files (x86) • Listado de archivos en C:Program Files • Listado de archivos en C: • Listado de archivos en C:WindowsSystem32drivers • Listado de archivos en Otros discos montados • Listado de módulos cargados por nuestro programa Información recopilada en cada ejecución:
  • 8. 2.1 Entorno de análisis - Desarrollo
  • 9. 2.2 Obje>vos analizados • Virustotal • Sndbox • Any.run • Hybrid • Joe Sandbox • Analyz • Valkyrie • Intezer Analyze • Vicheck • Iobit • Jotti • VirScan.org • Metadefender Cloud • Avira • Kaspersky VirusDesk
  • 10. 2.3 Ejecuciones del artefacto Virustotal Sndbox Any.run Hybrid Joe Sandbox Analyz Valkyrie Intezer Analyze Vicheck Iobit Jotti VirScan.org Metadefender Cloud Avira Kaspersky VirusDesk Subimos muestras con identificadores únicos a cada servicio 13 11 7 2 1 1 1 1 0 2 4 6 8 10 12 14 Virustotal SndboxIntezerAnalyze Any.run Hybrid Kaspersky VirusDesk M etadefenderCloud Vicheck Conexiones establecidas Ejecuciones del artefacto y exfiltración de los datos de la sandbox
  • 11. 2.4 Plataforma de análisis Resultados recopilados en un repositorio centralizado
  • 12. 2.4 Plataforma de análisis Ejemplo de información recopilada Y mucha más…
  • 13. 3.1 Identificando Sandbox - Objetivos OBJETIVO: Saber si nuestro artefacto esta ejecutándose en una sandbox Estado del arte: Existen numerosas aplicaciones , estudios … como el de machine learning: • Machine Learning for Red Teams - Part 1: https://silentbreaksecurity.com/machine- learning-for-red-teams-part-1 Algunos números obtenidos… • Tenemos 37 ejecuciones de nuestro artefacto que recopilan información del los servicios de análisis de sandbox • 27 IPs orígenes públicas identificadas • De los 15 proveedores de servicios públicos de sandbox analizados, 8 han contactado con nuestra infraestructura
  • 14. 3.2 Iden)ficando Sandbox - Resultados preliminares Primeros análisis básicos muestran que palabras VMware, Vbox y KVM en la información recopilada De los 37, con un búsqueda de referencias a palabras clave como “VMware ”, 6 se sabe que es un entorno de análisis
  • 15. Máquinas que tienen como 0mb como memoria RAM De los 37, con un simple comprobación de la memoria RAM, 10 se sabe que es un entorno de análisis 3.2 Iden)ficando Sandbox
  • 16. 3.3 Identificando Sandbox Dato curioso: Archivos subidas a distinto servicio muestran conexiones desde la mismas IPs y comparten parámetros de las sandbox. Esto implica que los distintos servicios comparten sandbox de terceros para el análisis
  • 17. 3.3 Iden)ficando Sandbox Máquinas con mas de 85 procesos De los 37 resultados obtenidos, 36 tienen menos de 85 procesos en ejecución
  • 18. 3.4 Estado de las sandbox • Versión del sistema opera0vo • Usuario actual • Dominio • Versión de .Net • Iden%ficador de la placa base • Numero de procesadores • Modelo del procesadores • Serial de la BIOS • Can%dad de memoria RAM • Netstat • Netstat routes • Dirección MAC • Fabricante de la MAC • Listado de procesos en ejecución • Total de procesos en ejecución • Listado de usuarios • Número de usuarios • Grupos locales • Número de grupos locales • Unidades montadas • Listado de tareas programadas • An0virus instalado • Listado de archivos en C:Program Files (x86) • Listado de archivos en C:Program Files • Listado de archivos en C: • Listado de archivos en C:WindowsSystem32drivers • Listado de archivos en Otros discos montados • Listado de módulos cargados por nuestro programa Algoritmo “complejo” de detección de entorno sandbox: Cantidad de procesos en ejecución Otros parámetros interesantes son: • Serial de la BIOS • Iden?ficador de la placa base • Can?dad de memoria RAM Por lo tanto, el estado actual de las capacidades de ocultación de sandbox de proveedores de servicios públicos presentan poca madurez en este ámbito. Por lo que no es necesario, al menos de momento, del uso de machine learning para estos entornos
  • 19. 4. Análisis de la seguridad de las sandbox • Al listar directorios hemos visto que existen archivos interesantes, que forman parte de la lógica de análisis y ejecución de la sandbox y quizás sean accesibles… • ¿Tenemos permisos para acceder a los archivos o escribir en ellos? • ¿Cómo obtenemos los archivos? OBJETIVO: Obtener inteligencia de las sandbox, saber como trabajan
  • 20. 4. Análisis de la seguridad de las sandbox Consideraciones: • Tiempo de ejecución corto, de 3 a 5 minutos aproximadamente • Rediseñamos el binario con múlXples hilos • Limitamos por extensión del archivo: .7z .backup .bat .bin .bmp .cfg .cmd .conf .db .dll .doc .docx .exe .inf .ini .jar .jpeg .jpg .js .json .kdbx .key .log .pdf .pfx .ppk .ppt .pptx .pub .py .rar .reg .rules .rtf .sh .sql .ssdeep .sys .txt .vbs .xls .xlsx .yara .zip
  • 21. 4. Análisis de la seguridad de las sandbox
  • 22. 4.1 Análisis de archivos exfiltrados Se ha accedido a un total de 874 archivos
  • 23. 4.1 Análisis de archivos exfiltrados Archivos “legí?mos” para darle realismo a la sandbox: • benign.doc • benign.jar • benign.pdf • benign.xls • First Michigan Bank-11-2012.pdf • IMG_6014.jpg • IMG_6049.jpg • Presiden?al Savings Bank-2010- 02-13.pdf • Presiden?al Savings Bank-2010- 05-02.pdf Si encuentras este tipo de ficheros ya sabemos que estamos en una sandbox…
  • 24. 4.1 Análisis de archivos exfiltrados Ocultación de parámetros de la sandbox a través del fabricante: • oem.reg Configuraciones para Office 2010: • Office2010.reg Configuraciones para Acrobat Reader 9: • AcrobatReader9.reg Ficheros de configuración para enmascarar la sandbox:
  • 25. 4.1 Análisis de archivos exfiltrados Ficheros de configuración de despliegue del entorno: • mount.sh • edit_registry.bat • start.bat
  • 26. 4.1 Análisis de archivos exfiltrados Archivos del agente de análisis del malware: • loader.py • guest.py
  • 27. 4.1 Análisis de archivos exfiltrados Herramientas de análisis: • Facondetector.exe • messia.exe • c2ae_uiproxy.exe • dumper.exe Herramientas de simulación de entorno: • user_imitator.exe • hangload.exe
  • 28. 4.1 Análisis de archivos exfiltrados Hashes Ssdep (98304 entradas): • whitelist.ssdeep Inteligencia de detección uElizada por las sandbox
  • 29. 4.1 Análisis de archivos exfiltrados Yara rules : • rules.yara • triggers.yara • predetect.yara Inteligencia de detección uElizada por las sandbox
  • 30. 4.2 Conclusiones • Es posible acceder a archivos de configuración utilizados para generar las sandbox • Conociendo como trabajan las sandbox de terceros podemos mejorar las nuestras • Se han obtenido reglas utilizadas para detectar malware ¿Posible evasión de detección? • Las sandbox no están tan maduras como creíamos ya que ha sido posible acceder a gran cantidad de ficheros utilizados para su configuración y análisis de malware
  • 31. 5. Sandbox owner fingerprinting OBJETIVO: • IdenXficar al propietario de la sandbox • IdenXficar a las enXdades que obXenen inteligencia de ellas • ÚXl para los ejercicios de Red Team
  • 32. 5.1 Sandbox owner fingerprin>ng ¿Podemos saber que están analizando nuestras muestras si estas no se pueden conectar a Internet? ¿Podemos identificar quién o qué empresa está analizando las muestras? Por ejemplo, ¿podemos conocer la empresa que gestiona el SOC de un cliente? ¿Podemos escapar de la sandbox? ¿Están los analistas protegidos?
  • 33. 5.1 Sandbox owner fingerprinting Clasificamos con e?quetas las dis?ntas sandbox iden?ficadas, mediante : análisis de procesos, iden?ficación de las direcciones IP, archivos iden?ficados…
  • 34. 5.1 Sandbox owner fingerprin>ng Necesitábamos ir mas allá, dado que no nos aportaba suficiente información…
  • 35. 5.1 Sandbox owner fingerprinting
  • 36. 5.2 Sandbox owner fingerprin>ng - Desarrollo • Desarrollo de un nuevo artefacto • Obje%vo: Interfaces internos de visualización de muestras • UElizamos C# y .Net • UElizamos un framework para explotar blind XSS -> XSS Hunter • Obtener IPs desde donde se ejecutan nuestros XSS • Hacer capturas de pantalla del navegador • Obtener el código de las páginas vulnerables
  • 37. 5.2 Sandbox owner fingerprinting - Desarrollo
  • 38. 5.3 Sandbox owner fingerprinting Obje2vos analizados: • VirusTotal • Any.Run • Hybrid Analysis • Open Threat Exchange (AlienVault)
  • 39. 5.4 Sandboxes vulnerables - resultados VirusTotal MultiSandbox -> VenusEye
  • 43. 5.4 Resultados Any.run -> Processes graph
  • 44. 5.4 Resultados Open Threat Exchange (Alienvault)
  • 45. 5.5 ¿Quién analiza nuestras muestras? • ¿Qué empresas ? • ¿Qué países? • ¿Qué ingenieros?
  • 46. 5.5 ¿Quién analiza nuestras muestras? Captura de pantalla realizada con un blind XSS en el navegador de la red interna de una empresa AnWvirus, en su APLICACIÓN INTERNA DE ANALISIS
  • 47. 5.5 ¿Quién analiza nuestras muestras? Captura de pantalla realizada con un blind XSS de una APLICACIÓN INTERNA DE ANALISIS de malware de una empresa china
  • 48. 5.5 ¿Quién analiza nuestras muestras? Captura de pantalla realizada con un blind XSS del análisis de una muestra con una APLICACIÓN INTERNA de una empresa china
  • 49. 5.5 Resultados 220 10 4 4 2 2 1 1 1 0 50 100 150 200 250 CN HK JP IL NO EU RU NL CZ Peticiones (agrupadas)3295 36 10 9 8 6 3 2 1 0 500 1000 1500 2000 2500 3000 3500 CN HK JP IL EU NL CZ NO RU Peticiones (sin agrupar) ¿Cuál es el país que más se está interesando por obtener inteligencia del malware? CHINA
  • 50. 5.5 Resultados • No hemos podido evidenciar ninguna vulnerabilidad en Hybrid Analysis Pero… • Hemos contactado con Google (Virustotal) • Hemos contactado con Any.run • Hemos contactado con Alienvault
  • 51. 6. En qué estamos trabajando • Obtener más datos. Continuamente aparecen más servicios con análisis de comportamiento de malware y queremos analizarlos • Explorar nuevas formas de explotar vulnerabilidades que puedan afectar a los analistas. • Abrir la base de datos al público y quizás, un servicio para pentesters mediante el que con el envío de determinada información saber si es una sandbox y a quien está asociada.
  • 52. 7. Conclusiones generales • Mediante unos simples parámetros podemos idenEficar gran canEdad de sandbox • Es posible acceder a archivos sensibles de configuración de las sandbox pudiendo: • Obtener inteligencia para desarrollar nuestra sandbox • Poder evadirla • Países como China está dedicando grandes recursos para obtener inteligencia a parEr del malware • Y por úlEmo…
  • 53. Y por ulEmo, es posible atacar a los analistas en su propia red interna… Posible escenario del vector de ataque:
  • 54. Cuidado !!! con las muestras que se analizan y dónde se visualizan