SlideShare una empresa de Scribd logo
1 de 55
Descargar para leer sin conexión
Sandbox fingerprin.ng
Evadiendo entornos de análisis
Whoami
Víctor Calvo
Miembro del Red Team de S2 Grupo
@aetsu
Roberto Amado
Director Técnico de Seguridad en S2 Grupo
@ramado78
Índice
1. Mo%vación
2. Entorno de análisis
3. Iden%ficación de sandbox
4. Análisis de la seguridad de las sandbox
5. Sandbox owner fingerprin%ng
6. En qué estamos trabajando
7. Conclusiones
1. Motivación
• Queremos tratar de identificar si nuestros artefactos se encuentran en una
sandbox. Partimos de la idea del siguiente post:
• Machine Learning for Red Teams - Part 1: https://silentbreaksecurity.com/machine-learning-for-
red-teams-part-1
• Queremos obtener inteligencia para saber como se construyen las sandbox
de terceros y como un malware podría evadir su clasificación
• Queremos saber si sería posible escapar de las sandbox e identificar a los
analistas que las utilizan
2.1 Entorno de análisis - Arquitectura
2.1 Entorno de análisis – Desarrollo del artefacto
• Artefacto escrito en C# y .Net
• Exfiltración de información mediante peticiones POST sobre
HTTPs
• No necesitamos pasar desapercibidos, queremos ser analizados
por cuantas más sandbox mejor.
• “Le damos realismo”: Un documento Word con una macro que
mediante powershell que descarga un binario y lo ejecuta.
2.1 Entorno de análisis - Desarrollo
• Versión del sistema opera?vo
• Usuario actual
• Dominio
• Versión de .Net
• Iden?ficador de la placa base
• Numero de procesadores
• Modelo del procesadores
• Serial de la BIOS
• Can?dad de memoria RAM
• Netstat
• Netstat routes
• Dirección MAC
• Fabricante de la MAC
• Listado de procesos en
ejecución
• Total de procesos en ejecución
• Listado de usuarios
• Número de usuarios
• Grupos locales
• Número de grupos locales
• Unidades montadas
• Listado de tareas programadas
• An?virus instalado
• Listado de archivos en
C:Program Files (x86)
• Listado de archivos en
C:Program Files
• Listado de archivos en C:
• Listado de archivos en
C:WindowsSystem32drivers
• Listado de archivos en Otros
discos montados
• Listado de módulos cargados
por nuestro programa
Información recopilada en cada ejecución:
2.1 Entorno de análisis - Desarrollo
2.2 Obje>vos analizados
• Virustotal
• Sndbox
• Any.run
• Hybrid
• Joe Sandbox
• Analyz
• Valkyrie
• Intezer Analyze
• Vicheck
• Iobit
• Jotti
• VirScan.org
• Metadefender Cloud
• Avira
• Kaspersky VirusDesk
2.3 Ejecuciones del artefacto
Virustotal
Sndbox
Any.run
Hybrid
Joe Sandbox
Analyz
Valkyrie
Intezer Analyze
Vicheck
Iobit
Jotti
VirScan.org
Metadefender Cloud
Avira
Kaspersky VirusDesk
Subimos muestras con identificadores únicos a cada servicio
13
11
7
2
1 1 1 1
0
2
4
6
8
10
12
14
Virustotal
SndboxIntezerAnalyze
Any.run
Hybrid
Kaspersky
VirusDesk
M
etadefenderCloud
Vicheck
Conexiones establecidas
Ejecuciones del artefacto y exfiltración de los datos de la sandbox
2.4 Plataforma de análisis
Resultados recopilados en un repositorio centralizado
2.4 Plataforma de análisis
Ejemplo de información recopilada
Y mucha más…
3.1 Identificando Sandbox - Objetivos
OBJETIVO: Saber si nuestro artefacto esta ejecutándose en una sandbox
Estado del arte: Existen numerosas aplicaciones , estudios … como el de
machine learning:
• Machine Learning for Red Teams - Part 1: https://silentbreaksecurity.com/machine-
learning-for-red-teams-part-1
Algunos números obtenidos…
• Tenemos 37 ejecuciones de nuestro artefacto que recopilan información del
los servicios de análisis de sandbox
• 27 IPs orígenes públicas identificadas
• De los 15 proveedores de servicios públicos de sandbox analizados, 8 han
contactado con nuestra infraestructura
3.2 Iden)ficando Sandbox - Resultados preliminares
Primeros análisis básicos muestran que palabras VMware, Vbox y KVM en la información recopilada
De los 37, con un búsqueda de referencias a palabras clave como “VMware ”,
6 se sabe que es un entorno de análisis
Máquinas que tienen como 0mb como memoria RAM
De los 37, con un simple comprobación de la memoria RAM, 10 se sabe que es un entorno de análisis
3.2 Iden)ficando Sandbox
3.3 Identificando Sandbox
Dato curioso: Archivos subidas a distinto servicio muestran conexiones desde la mismas IPs y comparten
parámetros de las sandbox. Esto implica que los distintos servicios comparten sandbox de terceros para el análisis
3.3 Iden)ficando Sandbox
Máquinas con mas de 85 procesos
De los 37 resultados obtenidos, 36 tienen menos de 85 procesos en ejecución
3.4 Estado de las sandbox
• Versión del sistema opera0vo
• Usuario actual
• Dominio
• Versión de .Net
• Iden%ficador de la placa base
• Numero de procesadores
• Modelo del procesadores
• Serial de la BIOS
• Can%dad de memoria RAM
• Netstat
• Netstat routes
• Dirección MAC
• Fabricante de la MAC
• Listado de procesos en ejecución
• Total de procesos en ejecución
• Listado de usuarios
• Número de usuarios
• Grupos locales
• Número de grupos locales
• Unidades montadas
• Listado de tareas programadas
• An0virus instalado
• Listado de archivos en C:Program Files (x86)
• Listado de archivos en C:Program Files
• Listado de archivos en C:
• Listado de archivos en
C:WindowsSystem32drivers
• Listado de archivos en Otros discos montados
• Listado de módulos cargados por nuestro
programa
Algoritmo “complejo” de detección de entorno sandbox: Cantidad de procesos en ejecución
Otros parámetros interesantes son:
• Serial de la BIOS
• Iden?ficador de la placa base
• Can?dad de memoria RAM
Por lo tanto, el estado actual de las capacidades de ocultación de sandbox de proveedores de
servicios públicos presentan poca madurez en este ámbito. Por lo que no es necesario, al
menos de momento, del uso de machine learning para estos entornos
4. Análisis de la seguridad de las sandbox
• Al listar directorios hemos visto que existen archivos interesantes,
que forman parte de la lógica de análisis y ejecución de la
sandbox y quizás sean accesibles…
• ¿Tenemos permisos para acceder a los archivos o escribir en
ellos?
• ¿Cómo obtenemos los archivos?
OBJETIVO: Obtener inteligencia de las sandbox, saber como trabajan
4. Análisis de la seguridad de las sandbox
Consideraciones:
• Tiempo de ejecución corto, de 3 a 5 minutos aproximadamente
• Rediseñamos el binario con múlXples hilos
• Limitamos por extensión del archivo:
.7z
.backup
.bat
.bin
.bmp
.cfg
.cmd
.conf
.db
.dll
.doc
.docx
.exe
.inf
.ini
.jar
.jpeg
.jpg
.js
.json
.kdbx
.key
.log
.pdf
.pfx
.ppk
.ppt
.pptx
.pub
.py
.rar
.reg
.rules
.rtf
.sh
.sql
.ssdeep
.sys
.txt
.vbs
.xls
.xlsx
.yara
.zip
4. Análisis de la seguridad de las sandbox
4.1 Análisis de archivos exfiltrados
Se ha accedido a un total de 874 archivos
4.1 Análisis de archivos exfiltrados
Archivos “legí?mos” para darle
realismo a la sandbox:
• benign.doc
• benign.jar
• benign.pdf
• benign.xls
• First Michigan Bank-11-2012.pdf
• IMG_6014.jpg
• IMG_6049.jpg
• Presiden?al Savings Bank-2010-
02-13.pdf
• Presiden?al Savings Bank-2010-
05-02.pdf
Si encuentras este tipo de ficheros
ya sabemos que estamos en una sandbox…
4.1 Análisis de archivos exfiltrados
Ocultación de parámetros de la sandbox a
través del fabricante:
• oem.reg
Configuraciones para Office 2010:
• Office2010.reg
Configuraciones para Acrobat Reader 9:
• AcrobatReader9.reg
Ficheros de configuración para enmascarar la sandbox:
4.1 Análisis de archivos exfiltrados
Ficheros de configuración de
despliegue del entorno:
• mount.sh
• edit_registry.bat
• start.bat
4.1 Análisis de archivos exfiltrados
Archivos del agente de
análisis del malware:
• loader.py
• guest.py
4.1 Análisis de archivos exfiltrados
Herramientas de análisis:
• Facondetector.exe
• messia.exe
• c2ae_uiproxy.exe
• dumper.exe
Herramientas de simulación de
entorno:
• user_imitator.exe
• hangload.exe
4.1 Análisis de archivos exfiltrados
Hashes Ssdep (98304 entradas):
• whitelist.ssdeep
Inteligencia de detección uElizada por las sandbox
4.1 Análisis de archivos exfiltrados
Yara rules :
• rules.yara
• triggers.yara
• predetect.yara
Inteligencia de detección uElizada por las sandbox
4.2 Conclusiones
• Es posible acceder a archivos de configuración utilizados para
generar las sandbox
• Conociendo como trabajan las sandbox de terceros podemos
mejorar las nuestras
• Se han obtenido reglas utilizadas para detectar malware ¿Posible
evasión de detección?
• Las sandbox no están tan maduras como creíamos ya que ha sido
posible acceder a gran cantidad de ficheros utilizados para su
configuración y análisis de malware
5. Sandbox owner fingerprinting
OBJETIVO:
• IdenXficar al propietario de la sandbox
• IdenXficar a las enXdades que obXenen inteligencia de ellas
• ÚXl para los ejercicios de Red Team
5.1 Sandbox owner fingerprin>ng
¿Podemos saber que están analizando nuestras muestras si estas no se pueden
conectar a Internet?
¿Podemos identificar quién o qué empresa está analizando las muestras? Por
ejemplo, ¿podemos conocer la empresa que gestiona el SOC de un cliente?
¿Podemos escapar de la sandbox?
¿Están los analistas protegidos?
5.1 Sandbox owner fingerprinting
Clasificamos con e?quetas las dis?ntas sandbox iden?ficadas, mediante : análisis de procesos, iden?ficación
de las direcciones IP, archivos iden?ficados…
5.1 Sandbox owner fingerprin>ng
Necesitábamos ir mas allá,
dado que no nos aportaba suficiente información…
5.1 Sandbox owner fingerprinting
5.2 Sandbox owner fingerprin>ng - Desarrollo
• Desarrollo de un nuevo artefacto
• Obje%vo: Interfaces internos de visualización de muestras
• UElizamos C# y .Net
• UElizamos un framework para explotar blind XSS -> XSS Hunter
• Obtener IPs desde donde se ejecutan nuestros XSS
• Hacer capturas de pantalla del navegador
• Obtener el código de las páginas vulnerables
5.2 Sandbox owner fingerprinting - Desarrollo
5.3 Sandbox owner fingerprinting
Obje2vos analizados:
• VirusTotal
• Any.Run
• Hybrid Analysis
• Open Threat Exchange (AlienVault)
5.4 Sandboxes vulnerables - resultados
VirusTotal MultiSandbox -> VenusEye
5.4 Resultados
VirusTotal Mul;Sandbox -> Tencent HABO
5.4 Resultados
VirusTotal MultiSandbox -> SNDBOX
5.4 Resultados
VirusTotal Mul;Sandbox -> Jujubox Sandbox
5.4 Resultados
Any.run -> Processes graph
5.4 Resultados
Open Threat Exchange (Alienvault)
5.5 ¿Quién analiza nuestras muestras?
• ¿Qué empresas ?
• ¿Qué países?
• ¿Qué ingenieros?
5.5 ¿Quién analiza nuestras muestras?
Captura de pantalla realizada con un blind XSS en el navegador de la red interna de una empresa
AnWvirus, en su APLICACIÓN INTERNA DE ANALISIS
5.5 ¿Quién analiza nuestras muestras?
Captura de pantalla realizada con un blind XSS de una APLICACIÓN INTERNA DE ANALISIS de
malware de una empresa china
5.5 ¿Quién analiza nuestras muestras?
Captura de pantalla realizada con un blind XSS del análisis de una muestra con una APLICACIÓN
INTERNA de una empresa china
5.5 Resultados
220
10 4 4 2 2 1 1 1
0
50
100
150
200
250
CN HK JP IL NO EU RU NL CZ
Peticiones (agrupadas)3295
36 10 9 8 6 3 2 1
0
500
1000
1500
2000
2500
3000
3500
CN HK JP IL EU NL CZ NO RU
Peticiones (sin agrupar)
¿Cuál es el país que más se está interesando por obtener inteligencia del malware?
CHINA
5.5 Resultados
• No hemos podido evidenciar ninguna vulnerabilidad en Hybrid
Analysis
Pero…
• Hemos contactado con Google (Virustotal)
• Hemos contactado con Any.run
• Hemos contactado con Alienvault
6. En qué estamos trabajando
• Obtener más datos. Continuamente aparecen más servicios con análisis de
comportamiento de malware y queremos analizarlos
• Explorar nuevas formas de explotar vulnerabilidades que puedan afectar a
los analistas.
• Abrir la base de datos al público y quizás, un servicio para pentesters
mediante el que con el envío de determinada información saber si es una
sandbox y a quien está asociada.
7. Conclusiones generales
• Mediante unos simples parámetros podemos idenEficar gran canEdad de
sandbox
• Es posible acceder a archivos sensibles de configuración de las sandbox
pudiendo:
• Obtener inteligencia para desarrollar nuestra sandbox
• Poder evadirla
• Países como China está dedicando grandes recursos para obtener
inteligencia a parEr del malware
• Y por úlEmo…
Y por ulEmo, es posible atacar a los analistas en su propia red interna…
Posible escenario del vector de ataque:
Cuidado !!!
con las muestras que se analizan y dónde se visualizan
Muchas gracias

Más contenido relacionado

La actualidad más candente

Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...
Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...
Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...RootedCON
 
Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]RootedCON
 
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]RootedCON
 
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]RootedCON
 
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]RootedCON
 
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoWebsec México, S.C.
 
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...RootedCON
 
Pentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonPentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonWebsec México, S.C.
 
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]RootedCON
 
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]RootedCON
 
David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]RootedCON
 
Técnicas de escaneo masivo - 11/2013
Técnicas de escaneo masivo - 11/2013Técnicas de escaneo masivo - 11/2013
Técnicas de escaneo masivo - 11/2013Websec México, S.C.
 
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...RootedCON
 
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]RootedCON
 
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)Jaime Sánchez
 
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]RootedCON
 
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]RootedCON
 

La actualidad más candente (19)

Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...
Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...
Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...
 
Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]
 
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
 
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
 
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
 
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto Salgado
 
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
 
Pentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonPentesting 101 por Paulino Calderon
Pentesting 101 por Paulino Calderon
 
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]
 
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
 
David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]
 
Kali linux v2_re_y_des
Kali linux v2_re_y_desKali linux v2_re_y_des
Kali linux v2_re_y_des
 
Nikto
Nikto Nikto
Nikto
 
Técnicas de escaneo masivo - 11/2013
Técnicas de escaneo masivo - 11/2013Técnicas de escaneo masivo - 11/2013
Técnicas de escaneo masivo - 11/2013
 
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...
 
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
 
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
 
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
 
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
 

Similar a Sandbox fingerprinting: Evadiendo entornos de análisis y obteniendo información de las sandbox

VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)Iván Portillo
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-ossSykrayo
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAMConferencias FIST
 
Backbox Distribución deriva de Ubuntu
Backbox Distribución deriva de UbuntuBackbox Distribución deriva de Ubuntu
Backbox Distribución deriva de UbuntuJosé Moreno
 
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...RootedCON
 
Curso forensics power_tools
Curso forensics power_toolsCurso forensics power_tools
Curso forensics power_toolspsanchezcordero
 
Tacita, análisis de APKS y big data
Tacita, análisis de APKS y big dataTacita, análisis de APKS y big data
Tacita, análisis de APKS y big dataQuantiKa14
 
Fedora Security LAB
Fedora Security LABFedora Security LAB
Fedora Security LABBaruch Ramos
 
Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...
Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...
Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...RootedCON
 
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesFIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesEgdares Futch H.
 
Ingeniería Inversa en Android. Rooted Labs. Rooted CON 2012.
Ingeniería Inversa en Android.  Rooted Labs. Rooted CON 2012.Ingeniería Inversa en Android.  Rooted Labs. Rooted CON 2012.
Ingeniería Inversa en Android. Rooted Labs. Rooted CON 2012.Internet Security Auditors
 
Presentacion kali linux
Presentacion kali linuxPresentacion kali linux
Presentacion kali linuxKevin Medina
 

Similar a Sandbox fingerprinting: Evadiendo entornos de análisis y obteniendo información de las sandbox (20)

Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
 
3.redes seguridad
3.redes seguridad3.redes seguridad
3.redes seguridad
 
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
 
S7 hack-hacking con google bing y shodan p3
S7 hack-hacking con google bing y shodan p3S7 hack-hacking con google bing y shodan p3
S7 hack-hacking con google bing y shodan p3
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAM
 
Backbox Distribución deriva de Ubuntu
Backbox Distribución deriva de UbuntuBackbox Distribución deriva de Ubuntu
Backbox Distribución deriva de Ubuntu
 
4.test de penetración pentest
4.test de penetración   pentest4.test de penetración   pentest
4.test de penetración pentest
 
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
 
Curso forensics power_tools
Curso forensics power_toolsCurso forensics power_tools
Curso forensics power_tools
 
S7-Hack-Hacking con Google Bing y Shodan P3
S7-Hack-Hacking con Google Bing y Shodan P3S7-Hack-Hacking con Google Bing y Shodan P3
S7-Hack-Hacking con Google Bing y Shodan P3
 
Tacita, análisis de APKS y big data
Tacita, análisis de APKS y big dataTacita, análisis de APKS y big data
Tacita, análisis de APKS y big data
 
14-Seguridad de la Información
14-Seguridad de la Información14-Seguridad de la Información
14-Seguridad de la Información
 
webminar ataques de fuerza bruta kali linux
webminar ataques de fuerza bruta kali linux webminar ataques de fuerza bruta kali linux
webminar ataques de fuerza bruta kali linux
 
Fedora Security LAB
Fedora Security LABFedora Security LAB
Fedora Security LAB
 
Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...
Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...
Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...
 
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesFIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
 
Ingeniería Inversa en Android. Rooted Labs. Rooted CON 2012.
Ingeniería Inversa en Android.  Rooted Labs. Rooted CON 2012.Ingeniería Inversa en Android.  Rooted Labs. Rooted CON 2012.
Ingeniería Inversa en Android. Rooted Labs. Rooted CON 2012.
 
Presentacion kali linux
Presentacion kali linuxPresentacion kali linux
Presentacion kali linux
 

Más de RootedCON

Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_RootedCON
 
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...RootedCON
 
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...RootedCON
 
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRootedCON
 
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRootedCON
 
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...RootedCON
 
Rooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRootedCON
 
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRootedCON
 
Rooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRootedCON
 
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...RootedCON
 
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...RootedCON
 
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRootedCON
 
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRootedCON
 
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acin
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acinRooted2020 emotet is-dead_long_live_emotet_-_victor_acin
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acinRootedCON
 
Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...
Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...
Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...RootedCON
 
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalezRooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalezRootedCON
 
Rooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torrano
Rooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torranoRooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torrano
Rooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torranoRootedCON
 
Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.
Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.
Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.RootedCON
 
Jordi Ubach - Breaking critical infrastructures [rootedvlc2019]
Jordi Ubach - Breaking critical infrastructures [rootedvlc2019]Jordi Ubach - Breaking critical infrastructures [rootedvlc2019]
Jordi Ubach - Breaking critical infrastructures [rootedvlc2019]RootedCON
 
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...RootedCON
 

Más de RootedCON (20)

Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
 
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
 
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
 
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
 
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
 
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
 
Rooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopez
 
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
 
Rooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jara
 
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
 
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
 
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
 
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
 
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acin
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acinRooted2020 emotet is-dead_long_live_emotet_-_victor_acin
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acin
 
Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...
Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...
Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...
 
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalezRooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
 
Rooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torrano
Rooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torranoRooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torrano
Rooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torrano
 
Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.
Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.
Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.
 
Jordi Ubach - Breaking critical infrastructures [rootedvlc2019]
Jordi Ubach - Breaking critical infrastructures [rootedvlc2019]Jordi Ubach - Breaking critical infrastructures [rootedvlc2019]
Jordi Ubach - Breaking critical infrastructures [rootedvlc2019]
 
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
 

Último

Presentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia ArtificialPresentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia Artificialcynserafini89
 
Slideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan GerenciaSlideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan Gerenciacubillannoly
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesEdomar AR
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
Documentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosDocumentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosAlbanyMartinez7
 
Herramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfHerramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfKarinaCambero3
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfedepmariaperez
 
tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzzAlexandergo5
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptchaverriemily794
 
Análisis de Artefactos Tecnologicos (3) (1).pdf
Análisis de Artefactos Tecnologicos  (3) (1).pdfAnálisis de Artefactos Tecnologicos  (3) (1).pdf
Análisis de Artefactos Tecnologicos (3) (1).pdfsharitcalderon04
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1ivanapaterninar
 
CommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersCommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersIván López Martín
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOnarvaezisabella21
 
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION  PART 2 (1)-1.docxTALLER DE ANALISIS SOLUCION  PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxobandopaula444
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxtjcesar1
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxGESTECPERUSAC
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúCEFERINO DELGADO FLORES
 
certificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfcertificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfFernandoOblitasVivan
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfjeondanny1997
 

Último (20)

Presentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia ArtificialPresentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia Artificial
 
Slideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan GerenciaSlideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan Gerencia
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, Aplicaciones
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
Documentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosDocumentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos Juridicos
 
Herramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfHerramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdf
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdf
 
tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzz
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
 
Análisis de Artefactos Tecnologicos (3) (1).pdf
Análisis de Artefactos Tecnologicos  (3) (1).pdfAnálisis de Artefactos Tecnologicos  (3) (1).pdf
Análisis de Artefactos Tecnologicos (3) (1).pdf
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1
 
CommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersCommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 Testcontainers
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
 
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION  PART 2 (1)-1.docxTALLER DE ANALISIS SOLUCION  PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptx
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
 
certificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfcertificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdf
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
 

Sandbox fingerprinting: Evadiendo entornos de análisis y obteniendo información de las sandbox

  • 2. Whoami Víctor Calvo Miembro del Red Team de S2 Grupo @aetsu Roberto Amado Director Técnico de Seguridad en S2 Grupo @ramado78
  • 3. Índice 1. Mo%vación 2. Entorno de análisis 3. Iden%ficación de sandbox 4. Análisis de la seguridad de las sandbox 5. Sandbox owner fingerprin%ng 6. En qué estamos trabajando 7. Conclusiones
  • 4. 1. Motivación • Queremos tratar de identificar si nuestros artefactos se encuentran en una sandbox. Partimos de la idea del siguiente post: • Machine Learning for Red Teams - Part 1: https://silentbreaksecurity.com/machine-learning-for- red-teams-part-1 • Queremos obtener inteligencia para saber como se construyen las sandbox de terceros y como un malware podría evadir su clasificación • Queremos saber si sería posible escapar de las sandbox e identificar a los analistas que las utilizan
  • 5. 2.1 Entorno de análisis - Arquitectura
  • 6. 2.1 Entorno de análisis – Desarrollo del artefacto • Artefacto escrito en C# y .Net • Exfiltración de información mediante peticiones POST sobre HTTPs • No necesitamos pasar desapercibidos, queremos ser analizados por cuantas más sandbox mejor. • “Le damos realismo”: Un documento Word con una macro que mediante powershell que descarga un binario y lo ejecuta.
  • 7. 2.1 Entorno de análisis - Desarrollo • Versión del sistema opera?vo • Usuario actual • Dominio • Versión de .Net • Iden?ficador de la placa base • Numero de procesadores • Modelo del procesadores • Serial de la BIOS • Can?dad de memoria RAM • Netstat • Netstat routes • Dirección MAC • Fabricante de la MAC • Listado de procesos en ejecución • Total de procesos en ejecución • Listado de usuarios • Número de usuarios • Grupos locales • Número de grupos locales • Unidades montadas • Listado de tareas programadas • An?virus instalado • Listado de archivos en C:Program Files (x86) • Listado de archivos en C:Program Files • Listado de archivos en C: • Listado de archivos en C:WindowsSystem32drivers • Listado de archivos en Otros discos montados • Listado de módulos cargados por nuestro programa Información recopilada en cada ejecución:
  • 8. 2.1 Entorno de análisis - Desarrollo
  • 9. 2.2 Obje>vos analizados • Virustotal • Sndbox • Any.run • Hybrid • Joe Sandbox • Analyz • Valkyrie • Intezer Analyze • Vicheck • Iobit • Jotti • VirScan.org • Metadefender Cloud • Avira • Kaspersky VirusDesk
  • 10. 2.3 Ejecuciones del artefacto Virustotal Sndbox Any.run Hybrid Joe Sandbox Analyz Valkyrie Intezer Analyze Vicheck Iobit Jotti VirScan.org Metadefender Cloud Avira Kaspersky VirusDesk Subimos muestras con identificadores únicos a cada servicio 13 11 7 2 1 1 1 1 0 2 4 6 8 10 12 14 Virustotal SndboxIntezerAnalyze Any.run Hybrid Kaspersky VirusDesk M etadefenderCloud Vicheck Conexiones establecidas Ejecuciones del artefacto y exfiltración de los datos de la sandbox
  • 11. 2.4 Plataforma de análisis Resultados recopilados en un repositorio centralizado
  • 12. 2.4 Plataforma de análisis Ejemplo de información recopilada Y mucha más…
  • 13. 3.1 Identificando Sandbox - Objetivos OBJETIVO: Saber si nuestro artefacto esta ejecutándose en una sandbox Estado del arte: Existen numerosas aplicaciones , estudios … como el de machine learning: • Machine Learning for Red Teams - Part 1: https://silentbreaksecurity.com/machine- learning-for-red-teams-part-1 Algunos números obtenidos… • Tenemos 37 ejecuciones de nuestro artefacto que recopilan información del los servicios de análisis de sandbox • 27 IPs orígenes públicas identificadas • De los 15 proveedores de servicios públicos de sandbox analizados, 8 han contactado con nuestra infraestructura
  • 14. 3.2 Iden)ficando Sandbox - Resultados preliminares Primeros análisis básicos muestran que palabras VMware, Vbox y KVM en la información recopilada De los 37, con un búsqueda de referencias a palabras clave como “VMware ”, 6 se sabe que es un entorno de análisis
  • 15. Máquinas que tienen como 0mb como memoria RAM De los 37, con un simple comprobación de la memoria RAM, 10 se sabe que es un entorno de análisis 3.2 Iden)ficando Sandbox
  • 16. 3.3 Identificando Sandbox Dato curioso: Archivos subidas a distinto servicio muestran conexiones desde la mismas IPs y comparten parámetros de las sandbox. Esto implica que los distintos servicios comparten sandbox de terceros para el análisis
  • 17. 3.3 Iden)ficando Sandbox Máquinas con mas de 85 procesos De los 37 resultados obtenidos, 36 tienen menos de 85 procesos en ejecución
  • 18. 3.4 Estado de las sandbox • Versión del sistema opera0vo • Usuario actual • Dominio • Versión de .Net • Iden%ficador de la placa base • Numero de procesadores • Modelo del procesadores • Serial de la BIOS • Can%dad de memoria RAM • Netstat • Netstat routes • Dirección MAC • Fabricante de la MAC • Listado de procesos en ejecución • Total de procesos en ejecución • Listado de usuarios • Número de usuarios • Grupos locales • Número de grupos locales • Unidades montadas • Listado de tareas programadas • An0virus instalado • Listado de archivos en C:Program Files (x86) • Listado de archivos en C:Program Files • Listado de archivos en C: • Listado de archivos en C:WindowsSystem32drivers • Listado de archivos en Otros discos montados • Listado de módulos cargados por nuestro programa Algoritmo “complejo” de detección de entorno sandbox: Cantidad de procesos en ejecución Otros parámetros interesantes son: • Serial de la BIOS • Iden?ficador de la placa base • Can?dad de memoria RAM Por lo tanto, el estado actual de las capacidades de ocultación de sandbox de proveedores de servicios públicos presentan poca madurez en este ámbito. Por lo que no es necesario, al menos de momento, del uso de machine learning para estos entornos
  • 19. 4. Análisis de la seguridad de las sandbox • Al listar directorios hemos visto que existen archivos interesantes, que forman parte de la lógica de análisis y ejecución de la sandbox y quizás sean accesibles… • ¿Tenemos permisos para acceder a los archivos o escribir en ellos? • ¿Cómo obtenemos los archivos? OBJETIVO: Obtener inteligencia de las sandbox, saber como trabajan
  • 20. 4. Análisis de la seguridad de las sandbox Consideraciones: • Tiempo de ejecución corto, de 3 a 5 minutos aproximadamente • Rediseñamos el binario con múlXples hilos • Limitamos por extensión del archivo: .7z .backup .bat .bin .bmp .cfg .cmd .conf .db .dll .doc .docx .exe .inf .ini .jar .jpeg .jpg .js .json .kdbx .key .log .pdf .pfx .ppk .ppt .pptx .pub .py .rar .reg .rules .rtf .sh .sql .ssdeep .sys .txt .vbs .xls .xlsx .yara .zip
  • 21. 4. Análisis de la seguridad de las sandbox
  • 22. 4.1 Análisis de archivos exfiltrados Se ha accedido a un total de 874 archivos
  • 23. 4.1 Análisis de archivos exfiltrados Archivos “legí?mos” para darle realismo a la sandbox: • benign.doc • benign.jar • benign.pdf • benign.xls • First Michigan Bank-11-2012.pdf • IMG_6014.jpg • IMG_6049.jpg • Presiden?al Savings Bank-2010- 02-13.pdf • Presiden?al Savings Bank-2010- 05-02.pdf Si encuentras este tipo de ficheros ya sabemos que estamos en una sandbox…
  • 24. 4.1 Análisis de archivos exfiltrados Ocultación de parámetros de la sandbox a través del fabricante: • oem.reg Configuraciones para Office 2010: • Office2010.reg Configuraciones para Acrobat Reader 9: • AcrobatReader9.reg Ficheros de configuración para enmascarar la sandbox:
  • 25. 4.1 Análisis de archivos exfiltrados Ficheros de configuración de despliegue del entorno: • mount.sh • edit_registry.bat • start.bat
  • 26. 4.1 Análisis de archivos exfiltrados Archivos del agente de análisis del malware: • loader.py • guest.py
  • 27. 4.1 Análisis de archivos exfiltrados Herramientas de análisis: • Facondetector.exe • messia.exe • c2ae_uiproxy.exe • dumper.exe Herramientas de simulación de entorno: • user_imitator.exe • hangload.exe
  • 28. 4.1 Análisis de archivos exfiltrados Hashes Ssdep (98304 entradas): • whitelist.ssdeep Inteligencia de detección uElizada por las sandbox
  • 29. 4.1 Análisis de archivos exfiltrados Yara rules : • rules.yara • triggers.yara • predetect.yara Inteligencia de detección uElizada por las sandbox
  • 30. 4.2 Conclusiones • Es posible acceder a archivos de configuración utilizados para generar las sandbox • Conociendo como trabajan las sandbox de terceros podemos mejorar las nuestras • Se han obtenido reglas utilizadas para detectar malware ¿Posible evasión de detección? • Las sandbox no están tan maduras como creíamos ya que ha sido posible acceder a gran cantidad de ficheros utilizados para su configuración y análisis de malware
  • 31. 5. Sandbox owner fingerprinting OBJETIVO: • IdenXficar al propietario de la sandbox • IdenXficar a las enXdades que obXenen inteligencia de ellas • ÚXl para los ejercicios de Red Team
  • 32. 5.1 Sandbox owner fingerprin>ng ¿Podemos saber que están analizando nuestras muestras si estas no se pueden conectar a Internet? ¿Podemos identificar quién o qué empresa está analizando las muestras? Por ejemplo, ¿podemos conocer la empresa que gestiona el SOC de un cliente? ¿Podemos escapar de la sandbox? ¿Están los analistas protegidos?
  • 33. 5.1 Sandbox owner fingerprinting Clasificamos con e?quetas las dis?ntas sandbox iden?ficadas, mediante : análisis de procesos, iden?ficación de las direcciones IP, archivos iden?ficados…
  • 34. 5.1 Sandbox owner fingerprin>ng Necesitábamos ir mas allá, dado que no nos aportaba suficiente información…
  • 35. 5.1 Sandbox owner fingerprinting
  • 36. 5.2 Sandbox owner fingerprin>ng - Desarrollo • Desarrollo de un nuevo artefacto • Obje%vo: Interfaces internos de visualización de muestras • UElizamos C# y .Net • UElizamos un framework para explotar blind XSS -> XSS Hunter • Obtener IPs desde donde se ejecutan nuestros XSS • Hacer capturas de pantalla del navegador • Obtener el código de las páginas vulnerables
  • 37. 5.2 Sandbox owner fingerprinting - Desarrollo
  • 38. 5.3 Sandbox owner fingerprinting Obje2vos analizados: • VirusTotal • Any.Run • Hybrid Analysis • Open Threat Exchange (AlienVault)
  • 39. 5.4 Sandboxes vulnerables - resultados VirusTotal MultiSandbox -> VenusEye
  • 43. 5.4 Resultados Any.run -> Processes graph
  • 44. 5.4 Resultados Open Threat Exchange (Alienvault)
  • 45. 5.5 ¿Quién analiza nuestras muestras? • ¿Qué empresas ? • ¿Qué países? • ¿Qué ingenieros?
  • 46. 5.5 ¿Quién analiza nuestras muestras? Captura de pantalla realizada con un blind XSS en el navegador de la red interna de una empresa AnWvirus, en su APLICACIÓN INTERNA DE ANALISIS
  • 47. 5.5 ¿Quién analiza nuestras muestras? Captura de pantalla realizada con un blind XSS de una APLICACIÓN INTERNA DE ANALISIS de malware de una empresa china
  • 48. 5.5 ¿Quién analiza nuestras muestras? Captura de pantalla realizada con un blind XSS del análisis de una muestra con una APLICACIÓN INTERNA de una empresa china
  • 49. 5.5 Resultados 220 10 4 4 2 2 1 1 1 0 50 100 150 200 250 CN HK JP IL NO EU RU NL CZ Peticiones (agrupadas)3295 36 10 9 8 6 3 2 1 0 500 1000 1500 2000 2500 3000 3500 CN HK JP IL EU NL CZ NO RU Peticiones (sin agrupar) ¿Cuál es el país que más se está interesando por obtener inteligencia del malware? CHINA
  • 50. 5.5 Resultados • No hemos podido evidenciar ninguna vulnerabilidad en Hybrid Analysis Pero… • Hemos contactado con Google (Virustotal) • Hemos contactado con Any.run • Hemos contactado con Alienvault
  • 51. 6. En qué estamos trabajando • Obtener más datos. Continuamente aparecen más servicios con análisis de comportamiento de malware y queremos analizarlos • Explorar nuevas formas de explotar vulnerabilidades que puedan afectar a los analistas. • Abrir la base de datos al público y quizás, un servicio para pentesters mediante el que con el envío de determinada información saber si es una sandbox y a quien está asociada.
  • 52. 7. Conclusiones generales • Mediante unos simples parámetros podemos idenEficar gran canEdad de sandbox • Es posible acceder a archivos sensibles de configuración de las sandbox pudiendo: • Obtener inteligencia para desarrollar nuestra sandbox • Poder evadirla • Países como China está dedicando grandes recursos para obtener inteligencia a parEr del malware • Y por úlEmo…
  • 53. Y por ulEmo, es posible atacar a los analistas en su propia red interna… Posible escenario del vector de ataque:
  • 54. Cuidado !!! con las muestras que se analizan y dónde se visualizan