rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_calvo_-_roberto_amado

RootedCON
RootedCONRootedCON
Sandbox fingerprin.ng Evadiendo entornos de análisis
Whoami Víctor Calvo Miembro del Red Team de S2 Grupo @aetsu Roberto Amado Director Técnico de Seguridad en S2 Grupo @ramado78
Índice 1. Mo%vación 2. Entorno de análisis 3. Iden%ficación de sandbox 4. Análisis de la seguridad de las sandbox 5. Sandbox owner fingerprin%ng 6. En qué estamos trabajando 7. Conclusiones
1. Motivación • Queremos tratar de identificar si nuestros artefactos se encuentran en una sandbox. Partimos de la idea del siguiente post: • Machine Learning for Red Teams - Part 1: https://silentbreaksecurity.com/machine-learning-for- red-teams-part-1 • Queremos obtener inteligencia para saber como se construyen las sandbox de terceros y como un malware podría evadir su clasificación • Queremos saber si sería posible escapar de las sandbox e identificar a los analistas que las utilizan
2.1 Entorno de análisis - Arquitectura
2.1 Entorno de análisis – Desarrollo del artefacto • Artefacto escrito en C# y .Net • Exfiltración de información mediante peticiones POST sobre HTTPs • No necesitamos pasar desapercibidos, queremos ser analizados por cuantas más sandbox mejor. • “Le damos realismo”: Un documento Word con una macro que mediante powershell que descarga un binario y lo ejecuta.
2.1 Entorno de análisis - Desarrollo • Versión del sistema opera?vo • Usuario actual • Dominio • Versión de .Net • Iden?ficador de la placa base • Numero de procesadores • Modelo del procesadores • Serial de la BIOS • Can?dad de memoria RAM • Netstat • Netstat routes • Dirección MAC • Fabricante de la MAC • Listado de procesos en ejecución • Total de procesos en ejecución • Listado de usuarios • Número de usuarios • Grupos locales • Número de grupos locales • Unidades montadas • Listado de tareas programadas • An?virus instalado • Listado de archivos en C:Program Files (x86) • Listado de archivos en C:Program Files • Listado de archivos en C: • Listado de archivos en C:WindowsSystem32drivers • Listado de archivos en Otros discos montados • Listado de módulos cargados por nuestro programa Información recopilada en cada ejecución:
2.1 Entorno de análisis - Desarrollo
2.2 Obje>vos analizados • Virustotal • Sndbox • Any.run • Hybrid • Joe Sandbox • Analyz • Valkyrie • Intezer Analyze • Vicheck • Iobit • Jotti • VirScan.org • Metadefender Cloud • Avira • Kaspersky VirusDesk
2.3 Ejecuciones del artefacto Virustotal Sndbox Any.run Hybrid Joe Sandbox Analyz Valkyrie Intezer Analyze Vicheck Iobit Jotti VirScan.org Metadefender Cloud Avira Kaspersky VirusDesk Subimos muestras con identificadores únicos a cada servicio 13 11 7 2 1 1 1 1 0 2 4 6 8 10 12 14 Virustotal SndboxIntezerAnalyze Any.run Hybrid Kaspersky VirusDesk M etadefenderCloud Vicheck Conexiones establecidas Ejecuciones del artefacto y exfiltración de los datos de la sandbox
2.4 Plataforma de análisis Resultados recopilados en un repositorio centralizado
2.4 Plataforma de análisis Ejemplo de información recopilada Y mucha más…
3.1 Identificando Sandbox - Objetivos OBJETIVO: Saber si nuestro artefacto esta ejecutándose en una sandbox Estado del arte: Existen numerosas aplicaciones , estudios … como el de machine learning: • Machine Learning for Red Teams - Part 1: https://silentbreaksecurity.com/machine- learning-for-red-teams-part-1 Algunos números obtenidos… • Tenemos 37 ejecuciones de nuestro artefacto que recopilan información del los servicios de análisis de sandbox • 27 IPs orígenes públicas identificadas • De los 15 proveedores de servicios públicos de sandbox analizados, 8 han contactado con nuestra infraestructura
3.2 Iden)ficando Sandbox - Resultados preliminares Primeros análisis básicos muestran que palabras VMware, Vbox y KVM en la información recopilada De los 37, con un búsqueda de referencias a palabras clave como “VMware ”, 6 se sabe que es un entorno de análisis
Máquinas que tienen como 0mb como memoria RAM De los 37, con un simple comprobación de la memoria RAM, 10 se sabe que es un entorno de análisis 3.2 Iden)ficando Sandbox
3.3 Identificando Sandbox Dato curioso: Archivos subidas a distinto servicio muestran conexiones desde la mismas IPs y comparten parámetros de las sandbox. Esto implica que los distintos servicios comparten sandbox de terceros para el análisis
3.3 Iden)ficando Sandbox Máquinas con mas de 85 procesos De los 37 resultados obtenidos, 36 tienen menos de 85 procesos en ejecución
3.4 Estado de las sandbox • Versión del sistema opera0vo • Usuario actual • Dominio • Versión de .Net • Iden%ficador de la placa base • Numero de procesadores • Modelo del procesadores • Serial de la BIOS • Can%dad de memoria RAM • Netstat • Netstat routes • Dirección MAC • Fabricante de la MAC • Listado de procesos en ejecución • Total de procesos en ejecución • Listado de usuarios • Número de usuarios • Grupos locales • Número de grupos locales • Unidades montadas • Listado de tareas programadas • An0virus instalado • Listado de archivos en C:Program Files (x86) • Listado de archivos en C:Program Files • Listado de archivos en C: • Listado de archivos en C:WindowsSystem32drivers • Listado de archivos en Otros discos montados • Listado de módulos cargados por nuestro programa Algoritmo “complejo” de detección de entorno sandbox: Cantidad de procesos en ejecución Otros parámetros interesantes son: • Serial de la BIOS • Iden?ficador de la placa base • Can?dad de memoria RAM Por lo tanto, el estado actual de las capacidades de ocultación de sandbox de proveedores de servicios públicos presentan poca madurez en este ámbito. Por lo que no es necesario, al menos de momento, del uso de machine learning para estos entornos
4. Análisis de la seguridad de las sandbox • Al listar directorios hemos visto que existen archivos interesantes, que forman parte de la lógica de análisis y ejecución de la sandbox y quizás sean accesibles… • ¿Tenemos permisos para acceder a los archivos o escribir en ellos? • ¿Cómo obtenemos los archivos? OBJETIVO: Obtener inteligencia de las sandbox, saber como trabajan
4. Análisis de la seguridad de las sandbox Consideraciones: • Tiempo de ejecución corto, de 3 a 5 minutos aproximadamente • Rediseñamos el binario con múlXples hilos • Limitamos por extensión del archivo: .7z .backup .bat .bin .bmp .cfg .cmd .conf .db .dll .doc .docx .exe .inf .ini .jar .jpeg .jpg .js .json .kdbx .key .log .pdf .pfx .ppk .ppt .pptx .pub .py .rar .reg .rules .rtf .sh .sql .ssdeep .sys .txt .vbs .xls .xlsx .yara .zip
4. Análisis de la seguridad de las sandbox
4.1 Análisis de archivos exfiltrados Se ha accedido a un total de 874 archivos
4.1 Análisis de archivos exfiltrados Archivos “legí?mos” para darle realismo a la sandbox: • benign.doc • benign.jar • benign.pdf • benign.xls • First Michigan Bank-11-2012.pdf • IMG_6014.jpg • IMG_6049.jpg • Presiden?al Savings Bank-2010- 02-13.pdf • Presiden?al Savings Bank-2010- 05-02.pdf Si encuentras este tipo de ficheros ya sabemos que estamos en una sandbox…
4.1 Análisis de archivos exfiltrados Ocultación de parámetros de la sandbox a través del fabricante: • oem.reg Configuraciones para Office 2010: • Office2010.reg Configuraciones para Acrobat Reader 9: • AcrobatReader9.reg Ficheros de configuración para enmascarar la sandbox:
4.1 Análisis de archivos exfiltrados Ficheros de configuración de despliegue del entorno: • mount.sh • edit_registry.bat • start.bat
4.1 Análisis de archivos exfiltrados Archivos del agente de análisis del malware: • loader.py • guest.py
4.1 Análisis de archivos exfiltrados Herramientas de análisis: • Facondetector.exe • messia.exe • c2ae_uiproxy.exe • dumper.exe Herramientas de simulación de entorno: • user_imitator.exe • hangload.exe
4.1 Análisis de archivos exfiltrados Hashes Ssdep (98304 entradas): • whitelist.ssdeep Inteligencia de detección uElizada por las sandbox
4.1 Análisis de archivos exfiltrados Yara rules : • rules.yara • triggers.yara • predetect.yara Inteligencia de detección uElizada por las sandbox
4.2 Conclusiones • Es posible acceder a archivos de configuración utilizados para generar las sandbox • Conociendo como trabajan las sandbox de terceros podemos mejorar las nuestras • Se han obtenido reglas utilizadas para detectar malware ¿Posible evasión de detección? • Las sandbox no están tan maduras como creíamos ya que ha sido posible acceder a gran cantidad de ficheros utilizados para su configuración y análisis de malware
5. Sandbox owner fingerprinting OBJETIVO: • IdenXficar al propietario de la sandbox • IdenXficar a las enXdades que obXenen inteligencia de ellas • ÚXl para los ejercicios de Red Team
5.1 Sandbox owner fingerprin>ng ¿Podemos saber que están analizando nuestras muestras si estas no se pueden conectar a Internet? ¿Podemos identificar quién o qué empresa está analizando las muestras? Por ejemplo, ¿podemos conocer la empresa que gestiona el SOC de un cliente? ¿Podemos escapar de la sandbox? ¿Están los analistas protegidos?
5.1 Sandbox owner fingerprinting Clasificamos con e?quetas las dis?ntas sandbox iden?ficadas, mediante : análisis de procesos, iden?ficación de las direcciones IP, archivos iden?ficados…
5.1 Sandbox owner fingerprin>ng Necesitábamos ir mas allá, dado que no nos aportaba suficiente información…
5.1 Sandbox owner fingerprinting
5.2 Sandbox owner fingerprin>ng - Desarrollo • Desarrollo de un nuevo artefacto • Obje%vo: Interfaces internos de visualización de muestras • UElizamos C# y .Net • UElizamos un framework para explotar blind XSS -> XSS Hunter • Obtener IPs desde donde se ejecutan nuestros XSS • Hacer capturas de pantalla del navegador • Obtener el código de las páginas vulnerables
5.2 Sandbox owner fingerprinting - Desarrollo
5.3 Sandbox owner fingerprinting Obje2vos analizados: • VirusTotal • Any.Run • Hybrid Analysis • Open Threat Exchange (AlienVault)
5.4 Sandboxes vulnerables - resultados VirusTotal MultiSandbox -> VenusEye
5.4 Resultados VirusTotal Mul;Sandbox -> Tencent HABO
5.4 Resultados VirusTotal MultiSandbox -> SNDBOX
5.4 Resultados VirusTotal Mul;Sandbox -> Jujubox Sandbox
5.4 Resultados Any.run -> Processes graph
5.4 Resultados Open Threat Exchange (Alienvault)
5.5 ¿Quién analiza nuestras muestras? • ¿Qué empresas ? • ¿Qué países? • ¿Qué ingenieros?
5.5 ¿Quién analiza nuestras muestras? Captura de pantalla realizada con un blind XSS en el navegador de la red interna de una empresa AnWvirus, en su APLICACIÓN INTERNA DE ANALISIS
5.5 ¿Quién analiza nuestras muestras? Captura de pantalla realizada con un blind XSS de una APLICACIÓN INTERNA DE ANALISIS de malware de una empresa china
5.5 ¿Quién analiza nuestras muestras? Captura de pantalla realizada con un blind XSS del análisis de una muestra con una APLICACIÓN INTERNA de una empresa china
5.5 Resultados 220 10 4 4 2 2 1 1 1 0 50 100 150 200 250 CN HK JP IL NO EU RU NL CZ Peticiones (agrupadas)3295 36 10 9 8 6 3 2 1 0 500 1000 1500 2000 2500 3000 3500 CN HK JP IL EU NL CZ NO RU Peticiones (sin agrupar) ¿Cuál es el país que más se está interesando por obtener inteligencia del malware? CHINA
5.5 Resultados • No hemos podido evidenciar ninguna vulnerabilidad en Hybrid Analysis Pero… • Hemos contactado con Google (Virustotal) • Hemos contactado con Any.run • Hemos contactado con Alienvault
6. En qué estamos trabajando • Obtener más datos. Continuamente aparecen más servicios con análisis de comportamiento de malware y queremos analizarlos • Explorar nuevas formas de explotar vulnerabilidades que puedan afectar a los analistas. • Abrir la base de datos al público y quizás, un servicio para pentesters mediante el que con el envío de determinada información saber si es una sandbox y a quien está asociada.
7. Conclusiones generales • Mediante unos simples parámetros podemos idenEficar gran canEdad de sandbox • Es posible acceder a archivos sensibles de configuración de las sandbox pudiendo: • Obtener inteligencia para desarrollar nuestra sandbox • Poder evadirla • Países como China está dedicando grandes recursos para obtener inteligencia a parEr del malware • Y por úlEmo…
Y por ulEmo, es posible atacar a los analistas en su propia red interna… Posible escenario del vector de ataque:
Cuidado !!! con las muestras que se analizan y dónde se visualizan
Muchas gracias
1 of 55

rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_calvo_-_roberto_amado

Download to read offline
Technology

RootedCON https://www.rootedcon.com Marzo/March 5-7 2020 Madrid (Spain)

RootedCON
RootedCONRootedCON

Recommended

Rooted2020 hunting malware-using_process_behavior-roberto_amado by
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRootedCON
368 views29 slides
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom... by
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...RootedCON
175 views23 slides
Rooted2020 virtual pwned-network_-_manel_molina by
Rooted2020 virtual pwned-network_-_manel_molinaRooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRootedCON
156 views24 slides
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca... by
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...RootedCON
277 views29 slides
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav... by
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...RootedCON
440 views50 slides
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde by
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRootedCON
288 views41 slides

More Related Content

What's hot

Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv... by
Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...
Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...RootedCON
363 views48 slides
Elias Grande - Dagda [rootedvlc4] by
Elias Grande - Dagda [rootedvlc4]Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]RootedCON
625 views39 slides
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018] by
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]RootedCON
322 views73 slides
Marc Fernandez - Auditando aplicaciones iOS [rooted2018] by
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]RootedCON
705 views40 slides
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019] by
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]RootedCON
593 views55 slides
CPMX5 - Hacking like a boss por Roberto Salgado by
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoWebsec México, S.C.
1.8K views77 slides

What's hot(20)

Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv... by RootedCON
Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...
Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...
RootedCON363 views
Elias Grande - Dagda [rootedvlc4] by RootedCON
Elias Grande - Dagda [rootedvlc4]Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]
RootedCON625 views
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018] by RootedCON
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
RootedCON322 views
Marc Fernandez - Auditando aplicaciones iOS [rooted2018] by RootedCON
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
RootedCON705 views
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019] by RootedCON
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
RootedCON593 views
CPMX5 - Hacking like a boss por Roberto Salgado by Websec México, S.C.
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto Salgado
Websec México, S.C.1.8K views
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro... by RootedCON
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
RootedCON879 views
Pentesting 101 por Paulino Calderon by Websec México, S.C.
Pentesting 101 por Paulino CalderonPentesting 101 por Paulino Calderon
Pentesting 101 por Paulino Calderon
Websec México, S.C.2.8K views
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019] by RootedCON
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]
RootedCON400 views
Gerardo Garcia Peña - Crypto Goofs... [rooted2018] by RootedCON
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
RootedCON251 views
David López Paz - Global Warfare [RootedCON 2011] by RootedCON
David López Paz - Global Warfare [RootedCON 2011]David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]
RootedCON2.7K views
Kali linux v2_re_y_des by Carlos Ansotegui Pardo
Kali linux v2_re_y_desKali linux v2_re_y_des
Kali linux v2_re_y_des
Carlos Ansotegui Pardo1.9K views
Ethical hacking course footprinting con herramientas e interpretación de r... by Santy Cadena
Ethical hacking course footprinting con herramientas e interpretación de r...Ethical hacking course footprinting con herramientas e interpretación de r...
Ethical hacking course footprinting con herramientas e interpretación de r...
Santy Cadena2.1K views
Nikto by Rafael Ibarra Alvarez
Nikto Nikto
Nikto
Rafael Ibarra Alvarez802 views
Técnicas de escaneo masivo - 11/2013 by Websec México, S.C.
Técnicas de escaneo masivo - 11/2013Técnicas de escaneo masivo - 11/2013
Técnicas de escaneo masivo - 11/2013
Websec México, S.C.11.8K views
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (... by RootedCON
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...
RootedCON348 views
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2] by RootedCON
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
RootedCON2K views
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...) by Jaime Sánchez
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
Jaime Sánchez22.4K views
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011] by RootedCON
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
RootedCON1.3K views
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011] by RootedCON
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
RootedCON1.9K views

Similar to rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_calvo_-_roberto_amado

Pimp your Android. Rooted CON 2012. by
Pimp your Android. Rooted CON 2012.Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.Internet Security Auditors
720 views48 slides
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens... by
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
762 views51 slides
3.redes seguridad by
3.redes seguridad3.redes seguridad
3.redes seguridadRamiro Estigarribia Canese
560 views45 slides
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel) by
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)Iván Portillo
225 views90 slides
S7 hack-hacking con google bing y shodan p3 by
S7 hack-hacking con google bing y shodan p3S7 hack-hacking con google bing y shodan p3
S7 hack-hacking con google bing y shodan p3Luis Fernando Aguas Bucheli
59 views23 slides
3604299 analisis-criminalistico-forense-con-oss by
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-ossSykrayo
1.8K views75 slides

Similar to rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_calvo_-_roberto_amado(20)

Pimp your Android. Rooted CON 2012. by Internet Security Auditors
Pimp your Android. Rooted CON 2012.Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.
Internet Security Auditors720 views
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens... by Internet Security Auditors
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
Internet Security Auditors762 views
3.redes seguridad by Ramiro Estigarribia Canese
3.redes seguridad3.redes seguridad
3.redes seguridad
Ramiro Estigarribia Canese560 views
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel) by Iván Portillo
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
Iván Portillo225 views
S7 hack-hacking con google bing y shodan p3 by Luis Fernando Aguas Bucheli
S7 hack-hacking con google bing y shodan p3S7 hack-hacking con google bing y shodan p3
S7 hack-hacking con google bing y shodan p3
Luis Fernando Aguas Bucheli59 views
3604299 analisis-criminalistico-forense-con-oss by Sykrayo
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss
Sykrayo1.8K views
Análisis Forense Memoria RAM by Conferencias FIST
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAM
Conferencias FIST1.6K views
Backbox Distribución deriva de Ubuntu by José Moreno
Backbox Distribución deriva de UbuntuBackbox Distribución deriva de Ubuntu
Backbox Distribución deriva de Ubuntu
José Moreno479 views
4.test de penetración pentest by Ramiro Estigarribia Canese
4.test de penetración pentest4.test de penetración pentest
4.test de penetración pentest
Ramiro Estigarribia Canese551 views
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ... by RootedCON
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
RootedCON1.7K views
Curso forensics power_tools by psanchezcordero
Curso forensics power_toolsCurso forensics power_tools
Curso forensics power_tools
psanchezcordero18.8K views
S7-Hack-Hacking con Google Bing y Shodan P3 by Luis Fernando Aguas Bucheli
S7-Hack-Hacking con Google Bing y Shodan P3S7-Hack-Hacking con Google Bing y Shodan P3
S7-Hack-Hacking con Google Bing y Shodan P3
Luis Fernando Aguas Bucheli33 views
Tacita, análisis de APKS y big data by QuantiKa14
Tacita, análisis de APKS y big dataTacita, análisis de APKS y big data
Tacita, análisis de APKS y big data
QuantiKa14233 views
14-Seguridad de la Información by Luis Fernando Aguas Bucheli
14-Seguridad de la Información14-Seguridad de la Información
14-Seguridad de la Información
Luis Fernando Aguas Bucheli106 views
webminar ataques de fuerza bruta kali linux by Carlos Antonio Leal Saballos
webminar ataques de fuerza bruta kali linux webminar ataques de fuerza bruta kali linux
webminar ataques de fuerza bruta kali linux
Carlos Antonio Leal Saballos419 views
Fedora Security LAB by Baruch Ramos
Fedora Security LABFedora Security LAB
Fedora Security LAB
Baruch Ramos1.7K views
Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis... by RootedCON
Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...
Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...
RootedCON2.8K views
FIT 2018 - Malware Avanzado y Respuesta a Incidentes by Egdares Futch H.
FIT 2018 - Malware Avanzado y Respuesta a IncidentesFIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
Egdares Futch H.9 views
Ingeniería Inversa en Android. Rooted Labs. Rooted CON 2012. by Internet Security Auditors
Ingeniería Inversa en Android. Rooted Labs. Rooted CON 2012.Ingeniería Inversa en Android. Rooted Labs. Rooted CON 2012.
Ingeniería Inversa en Android. Rooted Labs. Rooted CON 2012.
Internet Security Auditors1.9K views
Presentacion kali linux by Kevin Medina
Presentacion kali linuxPresentacion kali linux
Presentacion kali linux
Kevin Medina1.8K views

More from RootedCON

Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_ by
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_RootedCON
408 views22 slides
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op... by
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...RootedCON
351 views86 slides
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r... by
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...RootedCON
304 views15 slides
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer by
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRootedCON
510 views54 slides
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy by
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRootedCON
256 views33 slides
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an... by
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...RootedCON
174 views139 slides

More from RootedCON(20)

Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_ by RootedCON
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
RootedCON408 views
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op... by RootedCON
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
RootedCON351 views
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r... by RootedCON
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
RootedCON304 views
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer by RootedCON
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
RootedCON510 views
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy by RootedCON
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
RootedCON256 views
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an... by RootedCON
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
RootedCON174 views
Rooted2020 todo a-siem_-_marta_lopez by RootedCON
Rooted2020 todo a-siem_-_marta_lopezRooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopez
RootedCON178 views
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero by RootedCON
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
RootedCON134 views
Rooted2020 live coding--_jesus_jara by RootedCON
Rooted2020 live coding--_jesus_jaraRooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jara
RootedCON130 views
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un... by RootedCON
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
RootedCON98 views
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-... by RootedCON
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
RootedCON143 views
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste by RootedCON
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
RootedCON147 views
Rooted2020 encontrando 0days-en_2020_-_antonio_morales by RootedCON
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
RootedCON128 views
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acin by RootedCON
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acinRooted2020 emotet is-dead_long_live_emotet_-_victor_acin
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acin
RootedCON365 views
Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua... by RootedCON
Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...
Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...
RootedCON100 views
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez by RootedCON
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalezRooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
RootedCON94 views
Rooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torrano by RootedCON
Rooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torranoRooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torrano
Rooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torrano
RootedCON83 views
Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel. by RootedCON
Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.
Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.
RootedCON101 views
Jordi Ubach - Breaking critical infrastructures [rootedvlc2019] by RootedCON
Jordi Ubach - Breaking critical infrastructures [rootedvlc2019]Jordi Ubach - Breaking critical infrastructures [rootedvlc2019]
Jordi Ubach - Breaking critical infrastructures [rootedvlc2019]
RootedCON777 views
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r... by RootedCON
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
RootedCON953 views

Recently uploaded

Las Tecnologías de la Información y la Comunicación en la Escuela by
Las Tecnologías de la Información y la Comunicación en la EscuelaLas Tecnologías de la Información y la Comunicación en la Escuela
Las Tecnologías de la Información y la Comunicación en la Escuelaandresbenavides012
10 views235 slides
La nueva era. by
La nueva era.La nueva era.
La nueva era.msebastianalvarezz
10 views3 slides
Tecnología Periodo 2.pdf by
Tecnología Periodo 2.pdfTecnología Periodo 2.pdf
Tecnología Periodo 2.pdfJuanDavidGarcesCasta
6 views20 slides
Trabajo de tecnología.docx by
Trabajo de tecnología.docxTrabajo de tecnología.docx
Trabajo de tecnología.docxDannaSofaMuoz
8 views8 slides
MakeCode by
MakeCodeMakeCode
MakeCodeCoffe9
6 views3 slides
PyGoat Analizando la seguridad en aplicaciones Django.pdf by
PyGoat Analizando la seguridad en aplicaciones Django.pdfPyGoat Analizando la seguridad en aplicaciones Django.pdf
PyGoat Analizando la seguridad en aplicaciones Django.pdfJose Manuel Ortega Candel
5 views46 slides

Recently uploaded(20)

Las Tecnologías de la Información y la Comunicación en la Escuela by andresbenavides012
Las Tecnologías de la Información y la Comunicación en la EscuelaLas Tecnologías de la Información y la Comunicación en la Escuela
Las Tecnologías de la Información y la Comunicación en la Escuela
andresbenavides01210 views
La nueva era. by msebastianalvarezz
La nueva era.La nueva era.
La nueva era.
msebastianalvarezz10 views
Tecnología Periodo 2.pdf by JuanDavidGarcesCasta
Tecnología Periodo 2.pdfTecnología Periodo 2.pdf
Tecnología Periodo 2.pdf
JuanDavidGarcesCasta6 views
Trabajo de tecnología.docx by DannaSofaMuoz
Trabajo de tecnología.docxTrabajo de tecnología.docx
Trabajo de tecnología.docx
DannaSofaMuoz8 views
MakeCode by Coffe9
MakeCodeMakeCode
MakeCode
Coffe96 views
PyGoat Analizando la seguridad en aplicaciones Django.pdf by Jose Manuel Ortega Candel
PyGoat Analizando la seguridad en aplicaciones Django.pdfPyGoat Analizando la seguridad en aplicaciones Django.pdf
PyGoat Analizando la seguridad en aplicaciones Django.pdf
Jose Manuel Ortega Candel5 views
Fundamentos de electricidad y electrónica -1.pdf by SofiCneo1
Fundamentos de electricidad y electrónica -1.pdfFundamentos de electricidad y electrónica -1.pdf
Fundamentos de electricidad y electrónica -1.pdf
SofiCneo111 views
Probando aplicaciones basadas en LLMs.pdf by Federico Toledo
Probando aplicaciones basadas en LLMs.pdfProbando aplicaciones basadas en LLMs.pdf
Probando aplicaciones basadas en LLMs.pdf
Federico Toledo44 views
Fundamentos De Electricidad y Electrónica equipo 5.pdf by CamilaCordoba30
Fundamentos De Electricidad y Electrónica equipo 5.pdfFundamentos De Electricidad y Electrónica equipo 5.pdf
Fundamentos De Electricidad y Electrónica equipo 5.pdf
CamilaCordoba3015 views
Excel avanzado.pdf by fspro99
Excel avanzado.pdfExcel avanzado.pdf
Excel avanzado.pdf
fspro998 views
Tarea-Teclados ergonómico y pantallas táctiles.pptx by xiomarakerly200325
Tarea-Teclados ergonómico y pantallas táctiles.pptxTarea-Teclados ergonómico y pantallas táctiles.pptx
Tarea-Teclados ergonómico y pantallas táctiles.pptx
xiomarakerly2003258 views
¡Planificando para el éxito! Usando los Planners de Semantic Kernel para real... by codertectura
¡Planificando para el éxito! Usando los Planners de Semantic Kernel para real...¡Planificando para el éxito! Usando los Planners de Semantic Kernel para real...
¡Planificando para el éxito! Usando los Planners de Semantic Kernel para real...
codertectura56 views
RECURSOS INCLUSIVOS.pptx by milenathais2025
RECURSOS INCLUSIVOS.pptxRECURSOS INCLUSIVOS.pptx
RECURSOS INCLUSIVOS.pptx
milenathais20259 views
Taller de Electricidad y Electrónica.docx by juantrujillosolano10
Taller de Electricidad y Electrónica.docxTaller de Electricidad y Electrónica.docx
Taller de Electricidad y Electrónica.docx
juantrujillosolano109 views
electricidadyelectrnica1-230404014355-1be10cf7.docx by NyobeMahechaDvila
electricidadyelectrnica1-230404014355-1be10cf7.docxelectricidadyelectrnica1-230404014355-1be10cf7.docx
electricidadyelectrnica1-230404014355-1be10cf7.docx
NyobeMahechaDvila18 views
tecnologaeinformtica-231124115719-3a836080.pdf by MaraJos722801
tecnologaeinformtica-231124115719-3a836080.pdftecnologaeinformtica-231124115719-3a836080.pdf
tecnologaeinformtica-231124115719-3a836080.pdf
MaraJos72280110 views
Trabajo de tecnologia.docx by LauraCamilaMuozRamos
Trabajo de tecnologia.docxTrabajo de tecnologia.docx
Trabajo de tecnologia.docx
LauraCamilaMuozRamos8 views
FUNDAMENTOS DE ELECTRICIDAD Y ELECTRONICA.pdf by ortizjuanjose591
FUNDAMENTOS DE ELECTRICIDAD Y ELECTRONICA.pdfFUNDAMENTOS DE ELECTRICIDAD Y ELECTRONICA.pdf
FUNDAMENTOS DE ELECTRICIDAD Y ELECTRONICA.pdf
ortizjuanjose5915 views
Basura electronica.docx by MissPotato2
Basura electronica.docxBasura electronica.docx
Basura electronica.docx
MissPotato28 views
Trabajo Excel Grupo 3. 10 - 5.pdf by EmanuelCastro64
Trabajo Excel Grupo 3. 10 - 5.pdfTrabajo Excel Grupo 3. 10 - 5.pdf
Trabajo Excel Grupo 3. 10 - 5.pdf
EmanuelCastro647 views

rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_calvo_-_roberto_amado

  • 2. Whoami Víctor Calvo Miembro del Red Team de S2 Grupo @aetsu Roberto Amado Director Técnico de Seguridad en S2 Grupo @ramado78
  • 3. Índice 1. Mo%vación 2. Entorno de análisis 3. Iden%ficación de sandbox 4. Análisis de la seguridad de las sandbox 5. Sandbox owner fingerprin%ng 6. En qué estamos trabajando 7. Conclusiones
  • 4. 1. Motivación • Queremos tratar de identificar si nuestros artefactos se encuentran en una sandbox. Partimos de la idea del siguiente post: • Machine Learning for Red Teams - Part 1: https://silentbreaksecurity.com/machine-learning-for- red-teams-part-1 • Queremos obtener inteligencia para saber como se construyen las sandbox de terceros y como un malware podría evadir su clasificación • Queremos saber si sería posible escapar de las sandbox e identificar a los analistas que las utilizan
  • 5. 2.1 Entorno de análisis - Arquitectura
  • 6. 2.1 Entorno de análisis – Desarrollo del artefacto • Artefacto escrito en C# y .Net • Exfiltración de información mediante peticiones POST sobre HTTPs • No necesitamos pasar desapercibidos, queremos ser analizados por cuantas más sandbox mejor. • “Le damos realismo”: Un documento Word con una macro que mediante powershell que descarga un binario y lo ejecuta.
  • 7. 2.1 Entorno de análisis - Desarrollo • Versión del sistema opera?vo • Usuario actual • Dominio • Versión de .Net • Iden?ficador de la placa base • Numero de procesadores • Modelo del procesadores • Serial de la BIOS • Can?dad de memoria RAM • Netstat • Netstat routes • Dirección MAC • Fabricante de la MAC • Listado de procesos en ejecución • Total de procesos en ejecución • Listado de usuarios • Número de usuarios • Grupos locales • Número de grupos locales • Unidades montadas • Listado de tareas programadas • An?virus instalado • Listado de archivos en C:Program Files (x86) • Listado de archivos en C:Program Files • Listado de archivos en C: • Listado de archivos en C:WindowsSystem32drivers • Listado de archivos en Otros discos montados • Listado de módulos cargados por nuestro programa Información recopilada en cada ejecución:
  • 8. 2.1 Entorno de análisis - Desarrollo
  • 9. 2.2 Obje>vos analizados • Virustotal • Sndbox • Any.run • Hybrid • Joe Sandbox • Analyz • Valkyrie • Intezer Analyze • Vicheck • Iobit • Jotti • VirScan.org • Metadefender Cloud • Avira • Kaspersky VirusDesk
  • 10. 2.3 Ejecuciones del artefacto Virustotal Sndbox Any.run Hybrid Joe Sandbox Analyz Valkyrie Intezer Analyze Vicheck Iobit Jotti VirScan.org Metadefender Cloud Avira Kaspersky VirusDesk Subimos muestras con identificadores únicos a cada servicio 13 11 7 2 1 1 1 1 0 2 4 6 8 10 12 14 Virustotal SndboxIntezerAnalyze Any.run Hybrid Kaspersky VirusDesk M etadefenderCloud Vicheck Conexiones establecidas Ejecuciones del artefacto y exfiltración de los datos de la sandbox
  • 11. 2.4 Plataforma de análisis Resultados recopilados en un repositorio centralizado
  • 12. 2.4 Plataforma de análisis Ejemplo de información recopilada Y mucha más…
  • 13. 3.1 Identificando Sandbox - Objetivos OBJETIVO: Saber si nuestro artefacto esta ejecutándose en una sandbox Estado del arte: Existen numerosas aplicaciones , estudios … como el de machine learning: • Machine Learning for Red Teams - Part 1: https://silentbreaksecurity.com/machine- learning-for-red-teams-part-1 Algunos números obtenidos… • Tenemos 37 ejecuciones de nuestro artefacto que recopilan información del los servicios de análisis de sandbox • 27 IPs orígenes públicas identificadas • De los 15 proveedores de servicios públicos de sandbox analizados, 8 han contactado con nuestra infraestructura
  • 14. 3.2 Iden)ficando Sandbox - Resultados preliminares Primeros análisis básicos muestran que palabras VMware, Vbox y KVM en la información recopilada De los 37, con un búsqueda de referencias a palabras clave como “VMware ”, 6 se sabe que es un entorno de análisis
  • 15. Máquinas que tienen como 0mb como memoria RAM De los 37, con un simple comprobación de la memoria RAM, 10 se sabe que es un entorno de análisis 3.2 Iden)ficando Sandbox
  • 16. 3.3 Identificando Sandbox Dato curioso: Archivos subidas a distinto servicio muestran conexiones desde la mismas IPs y comparten parámetros de las sandbox. Esto implica que los distintos servicios comparten sandbox de terceros para el análisis
  • 17. 3.3 Iden)ficando Sandbox Máquinas con mas de 85 procesos De los 37 resultados obtenidos, 36 tienen menos de 85 procesos en ejecución
  • 18. 3.4 Estado de las sandbox • Versión del sistema opera0vo • Usuario actual • Dominio • Versión de .Net • Iden%ficador de la placa base • Numero de procesadores • Modelo del procesadores • Serial de la BIOS • Can%dad de memoria RAM • Netstat • Netstat routes • Dirección MAC • Fabricante de la MAC • Listado de procesos en ejecución • Total de procesos en ejecución • Listado de usuarios • Número de usuarios • Grupos locales • Número de grupos locales • Unidades montadas • Listado de tareas programadas • An0virus instalado • Listado de archivos en C:Program Files (x86) • Listado de archivos en C:Program Files • Listado de archivos en C: • Listado de archivos en C:WindowsSystem32drivers • Listado de archivos en Otros discos montados • Listado de módulos cargados por nuestro programa Algoritmo “complejo” de detección de entorno sandbox: Cantidad de procesos en ejecución Otros parámetros interesantes son: • Serial de la BIOS • Iden?ficador de la placa base • Can?dad de memoria RAM Por lo tanto, el estado actual de las capacidades de ocultación de sandbox de proveedores de servicios públicos presentan poca madurez en este ámbito. Por lo que no es necesario, al menos de momento, del uso de machine learning para estos entornos
  • 19. 4. Análisis de la seguridad de las sandbox • Al listar directorios hemos visto que existen archivos interesantes, que forman parte de la lógica de análisis y ejecución de la sandbox y quizás sean accesibles… • ¿Tenemos permisos para acceder a los archivos o escribir en ellos? • ¿Cómo obtenemos los archivos? OBJETIVO: Obtener inteligencia de las sandbox, saber como trabajan
  • 20. 4. Análisis de la seguridad de las sandbox Consideraciones: • Tiempo de ejecución corto, de 3 a 5 minutos aproximadamente • Rediseñamos el binario con múlXples hilos • Limitamos por extensión del archivo: .7z .backup .bat .bin .bmp .cfg .cmd .conf .db .dll .doc .docx .exe .inf .ini .jar .jpeg .jpg .js .json .kdbx .key .log .pdf .pfx .ppk .ppt .pptx .pub .py .rar .reg .rules .rtf .sh .sql .ssdeep .sys .txt .vbs .xls .xlsx .yara .zip
  • 21. 4. Análisis de la seguridad de las sandbox
  • 22. 4.1 Análisis de archivos exfiltrados Se ha accedido a un total de 874 archivos
  • 23. 4.1 Análisis de archivos exfiltrados Archivos “legí?mos” para darle realismo a la sandbox: • benign.doc • benign.jar • benign.pdf • benign.xls • First Michigan Bank-11-2012.pdf • IMG_6014.jpg • IMG_6049.jpg • Presiden?al Savings Bank-2010- 02-13.pdf • Presiden?al Savings Bank-2010- 05-02.pdf Si encuentras este tipo de ficheros ya sabemos que estamos en una sandbox…
  • 24. 4.1 Análisis de archivos exfiltrados Ocultación de parámetros de la sandbox a través del fabricante: • oem.reg Configuraciones para Office 2010: • Office2010.reg Configuraciones para Acrobat Reader 9: • AcrobatReader9.reg Ficheros de configuración para enmascarar la sandbox:
  • 25. 4.1 Análisis de archivos exfiltrados Ficheros de configuración de despliegue del entorno: • mount.sh • edit_registry.bat • start.bat
  • 26. 4.1 Análisis de archivos exfiltrados Archivos del agente de análisis del malware: • loader.py • guest.py
  • 27. 4.1 Análisis de archivos exfiltrados Herramientas de análisis: • Facondetector.exe • messia.exe • c2ae_uiproxy.exe • dumper.exe Herramientas de simulación de entorno: • user_imitator.exe • hangload.exe
  • 28. 4.1 Análisis de archivos exfiltrados Hashes Ssdep (98304 entradas): • whitelist.ssdeep Inteligencia de detección uElizada por las sandbox
  • 29. 4.1 Análisis de archivos exfiltrados Yara rules : • rules.yara • triggers.yara • predetect.yara Inteligencia de detección uElizada por las sandbox
  • 30. 4.2 Conclusiones • Es posible acceder a archivos de configuración utilizados para generar las sandbox • Conociendo como trabajan las sandbox de terceros podemos mejorar las nuestras • Se han obtenido reglas utilizadas para detectar malware ¿Posible evasión de detección? • Las sandbox no están tan maduras como creíamos ya que ha sido posible acceder a gran cantidad de ficheros utilizados para su configuración y análisis de malware
  • 31. 5. Sandbox owner fingerprinting OBJETIVO: • IdenXficar al propietario de la sandbox • IdenXficar a las enXdades que obXenen inteligencia de ellas • ÚXl para los ejercicios de Red Team
  • 32. 5.1 Sandbox owner fingerprin>ng ¿Podemos saber que están analizando nuestras muestras si estas no se pueden conectar a Internet? ¿Podemos identificar quién o qué empresa está analizando las muestras? Por ejemplo, ¿podemos conocer la empresa que gestiona el SOC de un cliente? ¿Podemos escapar de la sandbox? ¿Están los analistas protegidos?
  • 33. 5.1 Sandbox owner fingerprinting Clasificamos con e?quetas las dis?ntas sandbox iden?ficadas, mediante : análisis de procesos, iden?ficación de las direcciones IP, archivos iden?ficados…
  • 34. 5.1 Sandbox owner fingerprin>ng Necesitábamos ir mas allá, dado que no nos aportaba suficiente información…
  • 35. 5.1 Sandbox owner fingerprinting
  • 36. 5.2 Sandbox owner fingerprin>ng - Desarrollo • Desarrollo de un nuevo artefacto • Obje%vo: Interfaces internos de visualización de muestras • UElizamos C# y .Net • UElizamos un framework para explotar blind XSS -> XSS Hunter • Obtener IPs desde donde se ejecutan nuestros XSS • Hacer capturas de pantalla del navegador • Obtener el código de las páginas vulnerables
  • 37. 5.2 Sandbox owner fingerprinting - Desarrollo
  • 38. 5.3 Sandbox owner fingerprinting Obje2vos analizados: • VirusTotal • Any.Run • Hybrid Analysis • Open Threat Exchange (AlienVault)
  • 39. 5.4 Sandboxes vulnerables - resultados VirusTotal MultiSandbox -> VenusEye
  • 43. 5.4 Resultados Any.run -> Processes graph
  • 44. 5.4 Resultados Open Threat Exchange (Alienvault)
  • 45. 5.5 ¿Quién analiza nuestras muestras? • ¿Qué empresas ? • ¿Qué países? • ¿Qué ingenieros?
  • 46. 5.5 ¿Quién analiza nuestras muestras? Captura de pantalla realizada con un blind XSS en el navegador de la red interna de una empresa AnWvirus, en su APLICACIÓN INTERNA DE ANALISIS
  • 47. 5.5 ¿Quién analiza nuestras muestras? Captura de pantalla realizada con un blind XSS de una APLICACIÓN INTERNA DE ANALISIS de malware de una empresa china
  • 48. 5.5 ¿Quién analiza nuestras muestras? Captura de pantalla realizada con un blind XSS del análisis de una muestra con una APLICACIÓN INTERNA de una empresa china
  • 49. 5.5 Resultados 220 10 4 4 2 2 1 1 1 0 50 100 150 200 250 CN HK JP IL NO EU RU NL CZ Peticiones (agrupadas)3295 36 10 9 8 6 3 2 1 0 500 1000 1500 2000 2500 3000 3500 CN HK JP IL EU NL CZ NO RU Peticiones (sin agrupar) ¿Cuál es el país que más se está interesando por obtener inteligencia del malware? CHINA
  • 50. 5.5 Resultados • No hemos podido evidenciar ninguna vulnerabilidad en Hybrid Analysis Pero… • Hemos contactado con Google (Virustotal) • Hemos contactado con Any.run • Hemos contactado con Alienvault
  • 51. 6. En qué estamos trabajando • Obtener más datos. Continuamente aparecen más servicios con análisis de comportamiento de malware y queremos analizarlos • Explorar nuevas formas de explotar vulnerabilidades que puedan afectar a los analistas. • Abrir la base de datos al público y quizás, un servicio para pentesters mediante el que con el envío de determinada información saber si es una sandbox y a quien está asociada.
  • 52. 7. Conclusiones generales • Mediante unos simples parámetros podemos idenEficar gran canEdad de sandbox • Es posible acceder a archivos sensibles de configuración de las sandbox pudiendo: • Obtener inteligencia para desarrollar nuestra sandbox • Poder evadirla • Países como China está dedicando grandes recursos para obtener inteligencia a parEr del malware • Y por úlEmo…
  • 53. Y por ulEmo, es posible atacar a los analistas en su propia red interna… Posible escenario del vector de ataque:
  • 54. Cuidado !!! con las muestras que se analizan y dónde se visualizan