Continuo con el análisis de software en Tuguu, y a cada paso más difícil y más interesante: virtualización, anti-virtualización, anti-anti-virtualización; etc. Continuamente intentando analizar y algún que otro software intentando no ser analizado.
En esta semana, además de realizar varios análisis, he estado intentando hacer hardening a VirtualBox. Por seguridad es necesario algún sandbox (o varios para formar diferentes barreras de seguridad) como por ejemplo una maquina virtual especialmente preparada y configurada para ello, el problema es que sea detectado y el comportamiento del software cambie al detectarlo.
Aunque yo el hardening lo estoy probando para VirtualBox este problema es común a, por ejemplo, VMware, Wine, Qemu, Sandboxie, etc. En resumen, intento lograr que desde el interior de una MV esta parezca real al consultar el hardware e inspeccionar el sistema. Por el momento he logrado cambiar el "VBOX HARDDISK" en el disco duro virtual.
También estoy intentando analizar conexiones SSL/TLS para poder analizar la comunicación del software con internet. Pensé aprovecharme de una vulnerabilidad que deja los primeros 64 bytes de HTTPS accesibles pero por desgracia solo afecta si la comunicación emplea cifrado RC4.
He aprendido a utilizar Cuckoo sandbox para automatizar los análisis dinámicos (Cuckoo es usado por ejemplo por VirusTotal). Aún con Cuckoo es necesario un análisis manual para poder comprobar en profundidad el comportamiento y las singularidades de cada software, pero ayuda tener información previamente obtenida con Cuckoo para orientarse mejor.
De resto todo genial, aprendiendo la linea de trabajo, organización a seguir, etc. Y conociendo a la gente, que hay mucha y en continuo crecimiento. También encontré que hay djangueros, algunos con interés en aprender Japones y moviendo que la escuela de idiomas lo imparta o algo así (si, he de admitir que ni lo pensé cuando me preguntaron si me interesaba y dije que si). Es fácil y agradable integrarse en un buen ambiente como este.
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.