SlideShare ist ein Scribd-Unternehmen logo

Sandbox fingerprinting: Evadiendo entornos de análisis y obteniendo información de las sandbox

RootedCON
RootedCON

RootedCON https://www.rootedcon.com Marzo/March 5-7 2020 Madrid (Spain)

Technologie
1 von 55
Downloaden Sie, um offline zu lesen
Sandbox fingerprin.ng Evadiendo entornos de análisis
Whoami Víctor Calvo Miembro del Red Team de S2 Grupo @aetsu Roberto Amado Director Técnico de Seguridad en S2 Grupo @ramado78
Índice 1. Mo%vación 2. Entorno de análisis 3. Iden%ficación de sandbox 4. Análisis de la seguridad de las sandbox 5. Sandbox owner fingerprin%ng 6. En qué estamos trabajando 7. Conclusiones
1. Motivación • Queremos tratar de identificar si nuestros artefactos se encuentran en una sandbox. Partimos de la idea del siguiente post: • Machine Learning for Red Teams - Part 1: https://silentbreaksecurity.com/machine-learning-for- red-teams-part-1 • Queremos obtener inteligencia para saber como se construyen las sandbox de terceros y como un malware podría evadir su clasificación • Queremos saber si sería posible escapar de las sandbox e identificar a los analistas que las utilizan
2.1 Entorno de análisis - Arquitectura
2.1 Entorno de análisis – Desarrollo del artefacto • Artefacto escrito en C# y .Net • Exfiltración de información mediante peticiones POST sobre HTTPs • No necesitamos pasar desapercibidos, queremos ser analizados por cuantas más sandbox mejor. • “Le damos realismo”: Un documento Word con una macro que mediante powershell que descarga un binario y lo ejecuta.
2.1 Entorno de análisis - Desarrollo • Versión del sistema opera?vo • Usuario actual • Dominio • Versión de .Net • Iden?ficador de la placa base • Numero de procesadores • Modelo del procesadores • Serial de la BIOS • Can?dad de memoria RAM • Netstat • Netstat routes • Dirección MAC • Fabricante de la MAC • Listado de procesos en ejecución • Total de procesos en ejecución • Listado de usuarios • Número de usuarios • Grupos locales • Número de grupos locales • Unidades montadas • Listado de tareas programadas • An?virus instalado • Listado de archivos en C:Program Files (x86) • Listado de archivos en C:Program Files • Listado de archivos en C: • Listado de archivos en C:WindowsSystem32drivers • Listado de archivos en Otros discos montados • Listado de módulos cargados por nuestro programa Información recopilada en cada ejecución:
2.1 Entorno de análisis - Desarrollo
2.2 Obje>vos analizados • Virustotal • Sndbox • Any.run • Hybrid • Joe Sandbox • Analyz • Valkyrie • Intezer Analyze • Vicheck • Iobit • Jotti • VirScan.org • Metadefender Cloud • Avira • Kaspersky VirusDesk
2.3 Ejecuciones del artefacto Virustotal Sndbox Any.run Hybrid Joe Sandbox Analyz Valkyrie Intezer Analyze Vicheck Iobit Jotti VirScan.org Metadefender Cloud Avira Kaspersky VirusDesk Subimos muestras con identificadores únicos a cada servicio 13 11 7 2 1 1 1 1 0 2 4 6 8 10 12 14 Virustotal SndboxIntezerAnalyze Any.run Hybrid Kaspersky VirusDesk M etadefenderCloud Vicheck Conexiones establecidas Ejecuciones del artefacto y exfiltración de los datos de la sandbox
2.4 Plataforma de análisis Resultados recopilados en un repositorio centralizado
2.4 Plataforma de análisis Ejemplo de información recopilada Y mucha más…
3.1 Identificando Sandbox - Objetivos OBJETIVO: Saber si nuestro artefacto esta ejecutándose en una sandbox Estado del arte: Existen numerosas aplicaciones , estudios … como el de machine learning: • Machine Learning for Red Teams - Part 1: https://silentbreaksecurity.com/machine- learning-for-red-teams-part-1 Algunos números obtenidos… • Tenemos 37 ejecuciones de nuestro artefacto que recopilan información del los servicios de análisis de sandbox • 27 IPs orígenes públicas identificadas • De los 15 proveedores de servicios públicos de sandbox analizados, 8 han contactado con nuestra infraestructura
3.2 Iden)ficando Sandbox - Resultados preliminares Primeros análisis básicos muestran que palabras VMware, Vbox y KVM en la información recopilada De los 37, con un búsqueda de referencias a palabras clave como “VMware ”, 6 se sabe que es un entorno de análisis
Máquinas que tienen como 0mb como memoria RAM De los 37, con un simple comprobación de la memoria RAM, 10 se sabe que es un entorno de análisis 3.2 Iden)ficando Sandbox
3.3 Identificando Sandbox Dato curioso: Archivos subidas a distinto servicio muestran conexiones desde la mismas IPs y comparten parámetros de las sandbox. Esto implica que los distintos servicios comparten sandbox de terceros para el análisis
3.3 Iden)ficando Sandbox Máquinas con mas de 85 procesos De los 37 resultados obtenidos, 36 tienen menos de 85 procesos en ejecución
3.4 Estado de las sandbox • Versión del sistema opera0vo • Usuario actual • Dominio • Versión de .Net • Iden%ficador de la placa base • Numero de procesadores • Modelo del procesadores • Serial de la BIOS • Can%dad de memoria RAM • Netstat • Netstat routes • Dirección MAC • Fabricante de la MAC • Listado de procesos en ejecución • Total de procesos en ejecución • Listado de usuarios • Número de usuarios • Grupos locales • Número de grupos locales • Unidades montadas • Listado de tareas programadas • An0virus instalado • Listado de archivos en C:Program Files (x86) • Listado de archivos en C:Program Files • Listado de archivos en C: • Listado de archivos en C:WindowsSystem32drivers • Listado de archivos en Otros discos montados • Listado de módulos cargados por nuestro programa Algoritmo “complejo” de detección de entorno sandbox: Cantidad de procesos en ejecución Otros parámetros interesantes son: • Serial de la BIOS • Iden?ficador de la placa base • Can?dad de memoria RAM Por lo tanto, el estado actual de las capacidades de ocultación de sandbox de proveedores de servicios públicos presentan poca madurez en este ámbito. Por lo que no es necesario, al menos de momento, del uso de machine learning para estos entornos
4. Análisis de la seguridad de las sandbox • Al listar directorios hemos visto que existen archivos interesantes, que forman parte de la lógica de análisis y ejecución de la sandbox y quizás sean accesibles… • ¿Tenemos permisos para acceder a los archivos o escribir en ellos? • ¿Cómo obtenemos los archivos? OBJETIVO: Obtener inteligencia de las sandbox, saber como trabajan
4. Análisis de la seguridad de las sandbox Consideraciones: • Tiempo de ejecución corto, de 3 a 5 minutos aproximadamente • Rediseñamos el binario con múlXples hilos • Limitamos por extensión del archivo: .7z .backup .bat .bin .bmp .cfg .cmd .conf .db .dll .doc .docx .exe .inf .ini .jar .jpeg .jpg .js .json .kdbx .key .log .pdf .pfx .ppk .ppt .pptx .pub .py .rar .reg .rules .rtf .sh .sql .ssdeep .sys .txt .vbs .xls .xlsx .yara .zip
4. Análisis de la seguridad de las sandbox
4.1 Análisis de archivos exfiltrados Se ha accedido a un total de 874 archivos
4.1 Análisis de archivos exfiltrados Archivos “legí?mos” para darle realismo a la sandbox: • benign.doc • benign.jar • benign.pdf • benign.xls • First Michigan Bank-11-2012.pdf • IMG_6014.jpg • IMG_6049.jpg • Presiden?al Savings Bank-2010- 02-13.pdf • Presiden?al Savings Bank-2010- 05-02.pdf Si encuentras este tipo de ficheros ya sabemos que estamos en una sandbox…
4.1 Análisis de archivos exfiltrados Ocultación de parámetros de la sandbox a través del fabricante: • oem.reg Configuraciones para Office 2010: • Office2010.reg Configuraciones para Acrobat Reader 9: • AcrobatReader9.reg Ficheros de configuración para enmascarar la sandbox:
4.1 Análisis de archivos exfiltrados Ficheros de configuración de despliegue del entorno: • mount.sh • edit_registry.bat • start.bat
4.1 Análisis de archivos exfiltrados Archivos del agente de análisis del malware: • loader.py • guest.py
4.1 Análisis de archivos exfiltrados Herramientas de análisis: • Facondetector.exe • messia.exe • c2ae_uiproxy.exe • dumper.exe Herramientas de simulación de entorno: • user_imitator.exe • hangload.exe
4.1 Análisis de archivos exfiltrados Hashes Ssdep (98304 entradas): • whitelist.ssdeep Inteligencia de detección uElizada por las sandbox
4.1 Análisis de archivos exfiltrados Yara rules : • rules.yara • triggers.yara • predetect.yara Inteligencia de detección uElizada por las sandbox
4.2 Conclusiones • Es posible acceder a archivos de configuración utilizados para generar las sandbox • Conociendo como trabajan las sandbox de terceros podemos mejorar las nuestras • Se han obtenido reglas utilizadas para detectar malware ¿Posible evasión de detección? • Las sandbox no están tan maduras como creíamos ya que ha sido posible acceder a gran cantidad de ficheros utilizados para su configuración y análisis de malware
5. Sandbox owner fingerprinting OBJETIVO: • IdenXficar al propietario de la sandbox • IdenXficar a las enXdades que obXenen inteligencia de ellas • ÚXl para los ejercicios de Red Team
5.1 Sandbox owner fingerprin>ng ¿Podemos saber que están analizando nuestras muestras si estas no se pueden conectar a Internet? ¿Podemos identificar quién o qué empresa está analizando las muestras? Por ejemplo, ¿podemos conocer la empresa que gestiona el SOC de un cliente? ¿Podemos escapar de la sandbox? ¿Están los analistas protegidos?
5.1 Sandbox owner fingerprinting Clasificamos con e?quetas las dis?ntas sandbox iden?ficadas, mediante : análisis de procesos, iden?ficación de las direcciones IP, archivos iden?ficados…
5.1 Sandbox owner fingerprin>ng Necesitábamos ir mas allá, dado que no nos aportaba suficiente información…
5.1 Sandbox owner fingerprinting
5.2 Sandbox owner fingerprin>ng - Desarrollo • Desarrollo de un nuevo artefacto • Obje%vo: Interfaces internos de visualización de muestras • UElizamos C# y .Net • UElizamos un framework para explotar blind XSS -> XSS Hunter • Obtener IPs desde donde se ejecutan nuestros XSS • Hacer capturas de pantalla del navegador • Obtener el código de las páginas vulnerables
5.2 Sandbox owner fingerprinting - Desarrollo
5.3 Sandbox owner fingerprinting Obje2vos analizados: • VirusTotal • Any.Run • Hybrid Analysis • Open Threat Exchange (AlienVault)
5.4 Sandboxes vulnerables - resultados VirusTotal MultiSandbox -> VenusEye
5.4 Resultados VirusTotal Mul;Sandbox -> Tencent HABO
5.4 Resultados VirusTotal MultiSandbox -> SNDBOX
5.4 Resultados VirusTotal Mul;Sandbox -> Jujubox Sandbox
5.4 Resultados Any.run -> Processes graph
5.4 Resultados Open Threat Exchange (Alienvault)
5.5 ¿Quién analiza nuestras muestras? • ¿Qué empresas ? • ¿Qué países? • ¿Qué ingenieros?
5.5 ¿Quién analiza nuestras muestras? Captura de pantalla realizada con un blind XSS en el navegador de la red interna de una empresa AnWvirus, en su APLICACIÓN INTERNA DE ANALISIS
5.5 ¿Quién analiza nuestras muestras? Captura de pantalla realizada con un blind XSS de una APLICACIÓN INTERNA DE ANALISIS de malware de una empresa china
5.5 ¿Quién analiza nuestras muestras? Captura de pantalla realizada con un blind XSS del análisis de una muestra con una APLICACIÓN INTERNA de una empresa china
5.5 Resultados 220 10 4 4 2 2 1 1 1 0 50 100 150 200 250 CN HK JP IL NO EU RU NL CZ Peticiones (agrupadas)3295 36 10 9 8 6 3 2 1 0 500 1000 1500 2000 2500 3000 3500 CN HK JP IL EU NL CZ NO RU Peticiones (sin agrupar) ¿Cuál es el país que más se está interesando por obtener inteligencia del malware? CHINA
5.5 Resultados • No hemos podido evidenciar ninguna vulnerabilidad en Hybrid Analysis Pero… • Hemos contactado con Google (Virustotal) • Hemos contactado con Any.run • Hemos contactado con Alienvault
6. En qué estamos trabajando • Obtener más datos. Continuamente aparecen más servicios con análisis de comportamiento de malware y queremos analizarlos • Explorar nuevas formas de explotar vulnerabilidades que puedan afectar a los analistas. • Abrir la base de datos al público y quizás, un servicio para pentesters mediante el que con el envío de determinada información saber si es una sandbox y a quien está asociada.
7. Conclusiones generales • Mediante unos simples parámetros podemos idenEficar gran canEdad de sandbox • Es posible acceder a archivos sensibles de configuración de las sandbox pudiendo: • Obtener inteligencia para desarrollar nuestra sandbox • Poder evadirla • Países como China está dedicando grandes recursos para obtener inteligencia a parEr del malware • Y por úlEmo…
Y por ulEmo, es posible atacar a los analistas en su propia red interna… Posible escenario del vector de ataque:
Cuidado !!! con las muestras que se analizan y dónde se visualizan
Muchas gracias

Empfohlen

Rooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRootedCON
 
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...RootedCON
 
Rooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRootedCON
 
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...RootedCON
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...RootedCON
 
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRootedCON
 
Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...
Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...
Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...RootedCON
 
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]RootedCON
 

Empfohlen

Rooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRootedCON
 
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...RootedCON
 
Rooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRootedCON
 
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...RootedCON
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...RootedCON
 
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRootedCON
 
Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...
Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...
Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...RootedCON
 
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]RootedCON
 
Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...
Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...
Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...RootedCON
 
Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]RootedCON
 
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]RootedCON
 
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]RootedCON
 
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]RootedCON
 
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoWebsec México, S.C.
 
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...RootedCON
 
Pentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonPentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonWebsec México, S.C.
 
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]RootedCON
 
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]RootedCON
 
David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]RootedCON
 
Kali linux v2_re_y_des
Kali linux v2_re_y_desKali linux v2_re_y_des
Kali linux v2_re_y_desCarlos Ansotegui Pardo
 
Nikto
Nikto Nikto
Nikto Rafael Ibarra Alvarez
 
Técnicas de escaneo masivo - 11/2013
Técnicas de escaneo masivo - 11/2013Técnicas de escaneo masivo - 11/2013
Técnicas de escaneo masivo - 11/2013Websec México, S.C.
 
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...RootedCON
 
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]RootedCON
 
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)Jaime Sánchez
 
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]RootedCON
 
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]RootedCON
 
Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.Internet Security Auditors
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
3.redes seguridad
3.redes seguridad3.redes seguridad
3.redes seguridadRamiro Estigarribia Canese
 

Weitere ähnliche Inhalte

Was ist angesagt?

Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...
Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...
Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...RootedCON
 
Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]RootedCON
 
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]RootedCON
 
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]RootedCON
 
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]RootedCON
 
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoWebsec México, S.C.
 
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...RootedCON
 
Pentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonPentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonWebsec México, S.C.
 
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]RootedCON
 
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]RootedCON
 
David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]RootedCON
 
Técnicas de escaneo masivo - 11/2013
Técnicas de escaneo masivo - 11/2013Técnicas de escaneo masivo - 11/2013
Técnicas de escaneo masivo - 11/2013Websec México, S.C.
 
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...RootedCON
 
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]RootedCON
 
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)Jaime Sánchez
 
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]RootedCON
 
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]RootedCON
 

Was ist angesagt? (19)

Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...
Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...
Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...
 
Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]
 
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
 
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
 
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
 
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto Salgado
 
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
 
Pentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonPentesting 101 por Paulino Calderon
Pentesting 101 por Paulino Calderon
 
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]
 
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
 
David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]
 
Kali linux v2_re_y_des
Kali linux v2_re_y_desKali linux v2_re_y_des
Kali linux v2_re_y_des
 
Nikto
Nikto Nikto
Nikto
 
Técnicas de escaneo masivo - 11/2013
Técnicas de escaneo masivo - 11/2013Técnicas de escaneo masivo - 11/2013
Técnicas de escaneo masivo - 11/2013
 
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...
 
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
 
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
 
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
 
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
 

Ähnlich wie Sandbox fingerprinting: Evadiendo entornos de análisis y obteniendo información de las sandbox

VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)Iván Portillo
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-ossSykrayo
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAMConferencias FIST
 
Backbox Distribución deriva de Ubuntu
Backbox Distribución deriva de UbuntuBackbox Distribución deriva de Ubuntu
Backbox Distribución deriva de UbuntuJosé Moreno
 
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...RootedCON
 
Curso forensics power_tools
Curso forensics power_toolsCurso forensics power_tools
Curso forensics power_toolspsanchezcordero
 
Tacita, análisis de APKS y big data
Tacita, análisis de APKS y big dataTacita, análisis de APKS y big data
Tacita, análisis de APKS y big dataQuantiKa14
 
Fedora Security LAB
Fedora Security LABFedora Security LAB
Fedora Security LABBaruch Ramos
 
Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...
Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...
Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...RootedCON
 
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesFIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesEgdares Futch H.
 
Ingeniería Inversa en Android. Rooted Labs. Rooted CON 2012.
Ingeniería Inversa en Android. Rooted Labs. Rooted CON 2012.Ingeniería Inversa en Android. Rooted Labs. Rooted CON 2012.
Ingeniería Inversa en Android. Rooted Labs. Rooted CON 2012.Internet Security Auditors
 
Presentacion kali linux
Presentacion kali linuxPresentacion kali linux
Presentacion kali linuxKevin Medina
 

Ähnlich wie Sandbox fingerprinting: Evadiendo entornos de análisis y obteniendo información de las sandbox (20)

Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
 
3.redes seguridad
3.redes seguridad3.redes seguridad
3.redes seguridad
 
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
 
S7 hack-hacking con google bing y shodan p3
S7 hack-hacking con google bing y shodan p3S7 hack-hacking con google bing y shodan p3
S7 hack-hacking con google bing y shodan p3
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAM
 
Backbox Distribución deriva de Ubuntu
Backbox Distribución deriva de UbuntuBackbox Distribución deriva de Ubuntu
Backbox Distribución deriva de Ubuntu
 
4.test de penetración pentest
4.test de penetración pentest4.test de penetración pentest
4.test de penetración pentest
 
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
 
Curso forensics power_tools
Curso forensics power_toolsCurso forensics power_tools
Curso forensics power_tools
 
S7-Hack-Hacking con Google Bing y Shodan P3
S7-Hack-Hacking con Google Bing y Shodan P3S7-Hack-Hacking con Google Bing y Shodan P3
S7-Hack-Hacking con Google Bing y Shodan P3
 
Tacita, análisis de APKS y big data
Tacita, análisis de APKS y big dataTacita, análisis de APKS y big data
Tacita, análisis de APKS y big data
 
14-Seguridad de la Información
14-Seguridad de la Información14-Seguridad de la Información
14-Seguridad de la Información
 
webminar ataques de fuerza bruta kali linux
webminar ataques de fuerza bruta kali linux webminar ataques de fuerza bruta kali linux
webminar ataques de fuerza bruta kali linux
 
Fedora Security LAB
Fedora Security LABFedora Security LAB
Fedora Security LAB
 
Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...
Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...
Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...
 
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesFIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
 
Ingeniería Inversa en Android. Rooted Labs. Rooted CON 2012.
Ingeniería Inversa en Android. Rooted Labs. Rooted CON 2012.Ingeniería Inversa en Android. Rooted Labs. Rooted CON 2012.
Ingeniería Inversa en Android. Rooted Labs. Rooted CON 2012.
 
Presentacion kali linux
Presentacion kali linuxPresentacion kali linux
Presentacion kali linux
 

Mehr von RootedCON

Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_RootedCON
 
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...RootedCON
 
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...RootedCON
 
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRootedCON
 
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRootedCON
 
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...RootedCON
 
Rooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRootedCON
 
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRootedCON
 
Rooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRootedCON
 
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...RootedCON
 
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...RootedCON
 
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRootedCON
 
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRootedCON
 
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acin
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acinRooted2020 emotet is-dead_long_live_emotet_-_victor_acin
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acinRootedCON
 
Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...
Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...
Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...RootedCON
 
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalezRooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalezRootedCON
 
Rooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torrano
Rooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torranoRooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torrano
Rooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torranoRootedCON
 
Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.
Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.
Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.RootedCON
 
Jordi Ubach - Breaking critical infrastructures [rootedvlc2019]
Jordi Ubach - Breaking critical infrastructures [rootedvlc2019]Jordi Ubach - Breaking critical infrastructures [rootedvlc2019]
Jordi Ubach - Breaking critical infrastructures [rootedvlc2019]RootedCON
 
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...RootedCON
 

Mehr von RootedCON (20)

Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
 
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
 
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
 
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
 
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
 
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
 
Rooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopez
 
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
 
Rooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jara
 
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
 
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
 
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
 
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
 
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acin
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acinRooted2020 emotet is-dead_long_live_emotet_-_victor_acin
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acin
 
Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...
Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...
Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...
 
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalezRooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
 
Rooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torrano
Rooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torranoRooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torrano
Rooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torrano
 
Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.
Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.
Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.
 
Jordi Ubach - Breaking critical infrastructures [rootedvlc2019]
Jordi Ubach - Breaking critical infrastructures [rootedvlc2019]Jordi Ubach - Breaking critical infrastructures [rootedvlc2019]
Jordi Ubach - Breaking critical infrastructures [rootedvlc2019]
 
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
 

Kürzlich hochgeladen

Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxGESTECPERUSAC
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúCEFERINO DELGADO FLORES
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzzAlexandergo5
 
Presentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia ArtificialPresentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia Artificialcynserafini89
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerValentinaTabares11
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxtjcesar1
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptchaverriemily794
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptJavierHerrera662252
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOnarvaezisabella21
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesEdomar AR
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 

Kürzlich hochgeladen (20)

Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptx
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzz
 
Presentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia ArtificialPresentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia Artificial
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel taller
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, Aplicaciones
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 

Sandbox fingerprinting: Evadiendo entornos de análisis y obteniendo información de las sandbox

  • 2. Whoami Víctor Calvo Miembro del Red Team de S2 Grupo @aetsu Roberto Amado Director Técnico de Seguridad en S2 Grupo @ramado78
  • 3. Índice 1. Mo%vación 2. Entorno de análisis 3. Iden%ficación de sandbox 4. Análisis de la seguridad de las sandbox 5. Sandbox owner fingerprin%ng 6. En qué estamos trabajando 7. Conclusiones
  • 4. 1. Motivación • Queremos tratar de identificar si nuestros artefactos se encuentran en una sandbox. Partimos de la idea del siguiente post: • Machine Learning for Red Teams - Part 1: https://silentbreaksecurity.com/machine-learning-for- red-teams-part-1 • Queremos obtener inteligencia para saber como se construyen las sandbox de terceros y como un malware podría evadir su clasificación • Queremos saber si sería posible escapar de las sandbox e identificar a los analistas que las utilizan
  • 5. 2.1 Entorno de análisis - Arquitectura
  • 6. 2.1 Entorno de análisis – Desarrollo del artefacto • Artefacto escrito en C# y .Net • Exfiltración de información mediante peticiones POST sobre HTTPs • No necesitamos pasar desapercibidos, queremos ser analizados por cuantas más sandbox mejor. • “Le damos realismo”: Un documento Word con una macro que mediante powershell que descarga un binario y lo ejecuta.
  • 7. 2.1 Entorno de análisis - Desarrollo • Versión del sistema opera?vo • Usuario actual • Dominio • Versión de .Net • Iden?ficador de la placa base • Numero de procesadores • Modelo del procesadores • Serial de la BIOS • Can?dad de memoria RAM • Netstat • Netstat routes • Dirección MAC • Fabricante de la MAC • Listado de procesos en ejecución • Total de procesos en ejecución • Listado de usuarios • Número de usuarios • Grupos locales • Número de grupos locales • Unidades montadas • Listado de tareas programadas • An?virus instalado • Listado de archivos en C:Program Files (x86) • Listado de archivos en C:Program Files • Listado de archivos en C: • Listado de archivos en C:WindowsSystem32drivers • Listado de archivos en Otros discos montados • Listado de módulos cargados por nuestro programa Información recopilada en cada ejecución:
  • 8. 2.1 Entorno de análisis - Desarrollo
  • 9. 2.2 Obje>vos analizados • Virustotal • Sndbox • Any.run • Hybrid • Joe Sandbox • Analyz • Valkyrie • Intezer Analyze • Vicheck • Iobit • Jotti • VirScan.org • Metadefender Cloud • Avira • Kaspersky VirusDesk
  • 10. 2.3 Ejecuciones del artefacto Virustotal Sndbox Any.run Hybrid Joe Sandbox Analyz Valkyrie Intezer Analyze Vicheck Iobit Jotti VirScan.org Metadefender Cloud Avira Kaspersky VirusDesk Subimos muestras con identificadores únicos a cada servicio 13 11 7 2 1 1 1 1 0 2 4 6 8 10 12 14 Virustotal SndboxIntezerAnalyze Any.run Hybrid Kaspersky VirusDesk M etadefenderCloud Vicheck Conexiones establecidas Ejecuciones del artefacto y exfiltración de los datos de la sandbox
  • 11. 2.4 Plataforma de análisis Resultados recopilados en un repositorio centralizado
  • 12. 2.4 Plataforma de análisis Ejemplo de información recopilada Y mucha más…
  • 13. 3.1 Identificando Sandbox - Objetivos OBJETIVO: Saber si nuestro artefacto esta ejecutándose en una sandbox Estado del arte: Existen numerosas aplicaciones , estudios … como el de machine learning: • Machine Learning for Red Teams - Part 1: https://silentbreaksecurity.com/machine- learning-for-red-teams-part-1 Algunos números obtenidos… • Tenemos 37 ejecuciones de nuestro artefacto que recopilan información del los servicios de análisis de sandbox • 27 IPs orígenes públicas identificadas • De los 15 proveedores de servicios públicos de sandbox analizados, 8 han contactado con nuestra infraestructura
  • 14. 3.2 Iden)ficando Sandbox - Resultados preliminares Primeros análisis básicos muestran que palabras VMware, Vbox y KVM en la información recopilada De los 37, con un búsqueda de referencias a palabras clave como “VMware ”, 6 se sabe que es un entorno de análisis
  • 15. Máquinas que tienen como 0mb como memoria RAM De los 37, con un simple comprobación de la memoria RAM, 10 se sabe que es un entorno de análisis 3.2 Iden)ficando Sandbox
  • 16. 3.3 Identificando Sandbox Dato curioso: Archivos subidas a distinto servicio muestran conexiones desde la mismas IPs y comparten parámetros de las sandbox. Esto implica que los distintos servicios comparten sandbox de terceros para el análisis
  • 17. 3.3 Iden)ficando Sandbox Máquinas con mas de 85 procesos De los 37 resultados obtenidos, 36 tienen menos de 85 procesos en ejecución
  • 18. 3.4 Estado de las sandbox • Versión del sistema opera0vo • Usuario actual • Dominio • Versión de .Net • Iden%ficador de la placa base • Numero de procesadores • Modelo del procesadores • Serial de la BIOS • Can%dad de memoria RAM • Netstat • Netstat routes • Dirección MAC • Fabricante de la MAC • Listado de procesos en ejecución • Total de procesos en ejecución • Listado de usuarios • Número de usuarios • Grupos locales • Número de grupos locales • Unidades montadas • Listado de tareas programadas • An0virus instalado • Listado de archivos en C:Program Files (x86) • Listado de archivos en C:Program Files • Listado de archivos en C: • Listado de archivos en C:WindowsSystem32drivers • Listado de archivos en Otros discos montados • Listado de módulos cargados por nuestro programa Algoritmo “complejo” de detección de entorno sandbox: Cantidad de procesos en ejecución Otros parámetros interesantes son: • Serial de la BIOS • Iden?ficador de la placa base • Can?dad de memoria RAM Por lo tanto, el estado actual de las capacidades de ocultación de sandbox de proveedores de servicios públicos presentan poca madurez en este ámbito. Por lo que no es necesario, al menos de momento, del uso de machine learning para estos entornos
  • 19. 4. Análisis de la seguridad de las sandbox • Al listar directorios hemos visto que existen archivos interesantes, que forman parte de la lógica de análisis y ejecución de la sandbox y quizás sean accesibles… • ¿Tenemos permisos para acceder a los archivos o escribir en ellos? • ¿Cómo obtenemos los archivos? OBJETIVO: Obtener inteligencia de las sandbox, saber como trabajan
  • 20. 4. Análisis de la seguridad de las sandbox Consideraciones: • Tiempo de ejecución corto, de 3 a 5 minutos aproximadamente • Rediseñamos el binario con múlXples hilos • Limitamos por extensión del archivo: .7z .backup .bat .bin .bmp .cfg .cmd .conf .db .dll .doc .docx .exe .inf .ini .jar .jpeg .jpg .js .json .kdbx .key .log .pdf .pfx .ppk .ppt .pptx .pub .py .rar .reg .rules .rtf .sh .sql .ssdeep .sys .txt .vbs .xls .xlsx .yara .zip
  • 21. 4. Análisis de la seguridad de las sandbox
  • 22. 4.1 Análisis de archivos exfiltrados Se ha accedido a un total de 874 archivos
  • 23. 4.1 Análisis de archivos exfiltrados Archivos “legí?mos” para darle realismo a la sandbox: • benign.doc • benign.jar • benign.pdf • benign.xls • First Michigan Bank-11-2012.pdf • IMG_6014.jpg • IMG_6049.jpg • Presiden?al Savings Bank-2010- 02-13.pdf • Presiden?al Savings Bank-2010- 05-02.pdf Si encuentras este tipo de ficheros ya sabemos que estamos en una sandbox…
  • 24. 4.1 Análisis de archivos exfiltrados Ocultación de parámetros de la sandbox a través del fabricante: • oem.reg Configuraciones para Office 2010: • Office2010.reg Configuraciones para Acrobat Reader 9: • AcrobatReader9.reg Ficheros de configuración para enmascarar la sandbox:
  • 25. 4.1 Análisis de archivos exfiltrados Ficheros de configuración de despliegue del entorno: • mount.sh • edit_registry.bat • start.bat
  • 26. 4.1 Análisis de archivos exfiltrados Archivos del agente de análisis del malware: • loader.py • guest.py
  • 27. 4.1 Análisis de archivos exfiltrados Herramientas de análisis: • Facondetector.exe • messia.exe • c2ae_uiproxy.exe • dumper.exe Herramientas de simulación de entorno: • user_imitator.exe • hangload.exe
  • 28. 4.1 Análisis de archivos exfiltrados Hashes Ssdep (98304 entradas): • whitelist.ssdeep Inteligencia de detección uElizada por las sandbox
  • 29. 4.1 Análisis de archivos exfiltrados Yara rules : • rules.yara • triggers.yara • predetect.yara Inteligencia de detección uElizada por las sandbox
  • 30. 4.2 Conclusiones • Es posible acceder a archivos de configuración utilizados para generar las sandbox • Conociendo como trabajan las sandbox de terceros podemos mejorar las nuestras • Se han obtenido reglas utilizadas para detectar malware ¿Posible evasión de detección? • Las sandbox no están tan maduras como creíamos ya que ha sido posible acceder a gran cantidad de ficheros utilizados para su configuración y análisis de malware
  • 31. 5. Sandbox owner fingerprinting OBJETIVO: • IdenXficar al propietario de la sandbox • IdenXficar a las enXdades que obXenen inteligencia de ellas • ÚXl para los ejercicios de Red Team
  • 32. 5.1 Sandbox owner fingerprin>ng ¿Podemos saber que están analizando nuestras muestras si estas no se pueden conectar a Internet? ¿Podemos identificar quién o qué empresa está analizando las muestras? Por ejemplo, ¿podemos conocer la empresa que gestiona el SOC de un cliente? ¿Podemos escapar de la sandbox? ¿Están los analistas protegidos?
  • 33. 5.1 Sandbox owner fingerprinting Clasificamos con e?quetas las dis?ntas sandbox iden?ficadas, mediante : análisis de procesos, iden?ficación de las direcciones IP, archivos iden?ficados…
  • 34. 5.1 Sandbox owner fingerprin>ng Necesitábamos ir mas allá, dado que no nos aportaba suficiente información…
  • 35. 5.1 Sandbox owner fingerprinting
  • 36. 5.2 Sandbox owner fingerprin>ng - Desarrollo • Desarrollo de un nuevo artefacto • Obje%vo: Interfaces internos de visualización de muestras • UElizamos C# y .Net • UElizamos un framework para explotar blind XSS -> XSS Hunter • Obtener IPs desde donde se ejecutan nuestros XSS • Hacer capturas de pantalla del navegador • Obtener el código de las páginas vulnerables
  • 37. 5.2 Sandbox owner fingerprinting - Desarrollo
  • 38. 5.3 Sandbox owner fingerprinting Obje2vos analizados: • VirusTotal • Any.Run • Hybrid Analysis • Open Threat Exchange (AlienVault)
  • 39. 5.4 Sandboxes vulnerables - resultados VirusTotal MultiSandbox -> VenusEye
  • 43. 5.4 Resultados Any.run -> Processes graph
  • 44. 5.4 Resultados Open Threat Exchange (Alienvault)
  • 45. 5.5 ¿Quién analiza nuestras muestras? • ¿Qué empresas ? • ¿Qué países? • ¿Qué ingenieros?
  • 46. 5.5 ¿Quién analiza nuestras muestras? Captura de pantalla realizada con un blind XSS en el navegador de la red interna de una empresa AnWvirus, en su APLICACIÓN INTERNA DE ANALISIS
  • 47. 5.5 ¿Quién analiza nuestras muestras? Captura de pantalla realizada con un blind XSS de una APLICACIÓN INTERNA DE ANALISIS de malware de una empresa china
  • 48. 5.5 ¿Quién analiza nuestras muestras? Captura de pantalla realizada con un blind XSS del análisis de una muestra con una APLICACIÓN INTERNA de una empresa china
  • 49. 5.5 Resultados 220 10 4 4 2 2 1 1 1 0 50 100 150 200 250 CN HK JP IL NO EU RU NL CZ Peticiones (agrupadas)3295 36 10 9 8 6 3 2 1 0 500 1000 1500 2000 2500 3000 3500 CN HK JP IL EU NL CZ NO RU Peticiones (sin agrupar) ¿Cuál es el país que más se está interesando por obtener inteligencia del malware? CHINA
  • 50. 5.5 Resultados • No hemos podido evidenciar ninguna vulnerabilidad en Hybrid Analysis Pero… • Hemos contactado con Google (Virustotal) • Hemos contactado con Any.run • Hemos contactado con Alienvault
  • 51. 6. En qué estamos trabajando • Obtener más datos. Continuamente aparecen más servicios con análisis de comportamiento de malware y queremos analizarlos • Explorar nuevas formas de explotar vulnerabilidades que puedan afectar a los analistas. • Abrir la base de datos al público y quizás, un servicio para pentesters mediante el que con el envío de determinada información saber si es una sandbox y a quien está asociada.
  • 52. 7. Conclusiones generales • Mediante unos simples parámetros podemos idenEficar gran canEdad de sandbox • Es posible acceder a archivos sensibles de configuración de las sandbox pudiendo: • Obtener inteligencia para desarrollar nuestra sandbox • Poder evadirla • Países como China está dedicando grandes recursos para obtener inteligencia a parEr del malware • Y por úlEmo…
  • 53. Y por ulEmo, es posible atacar a los analistas en su propia red interna… Posible escenario del vector de ataque:
  • 54. Cuidado !!! con las muestras que se analizan y dónde se visualizan