30 mayo, 2013

Detección de entornos virtualizados con pafish

Desde hace tiempo venimos escuchando con frecuencia los nuevos avances en el desarrollo y operación del Malware, hoy hablaremos de uno de estos avances que puede ser la pesadilla para cualquier analista en malware.

Y es que la mayoría de los análisis de malware se hacen mediante algún tipo de sistema virtualizado o sandbox, y el avance que hablaremos hoy es sobre esto, que un malware puede detectar si se esta corriendo sobre un entorno virtualizado y así no realizar ninguna acción para evitar su detección del mismo.

Hay un proyecto de Alberto Ortega de una herramienta que su funcion es detectar varias caracteristicas de un sistema con el fin de saber si es un entorno virtualizado o no.

Si ustedes corren esta herramienta sobre VirtualBox, la herramienta detecta de manera exitosa y rapida mostrando de forma clara los elementos que ha preguntado.


Imagen 1.- Detección de entornos virtualizados con Pafish



Aqui una muestra de una prueba hecha por el equipo de Securitybydefault que corre la herramienta de Pafish sobre VMDetectguard, esta aplicación entre otras funciones, intenta hacer creer a un Malware que se está ejecutando en otro entorno, mediante enmascaramiento de peticiones.


Imagen 2.- VMDetectGuard. Soporte a diferentes sistemas


A la hora de ejecutar ambas herramientas, se puede comprobar cómo esta solución logra enmascarar ciertas peticiones, pero por el contrario no llega a engañar a esta gran herramienta.

Imagen 3.- Ejecución de Pafish en un entorno enmascarado


Como se ve la herramienta de Pafish no puede ser engañada, por lo cual nos deja pensando sobre las diferentes variantes de malware que pueden aprovechar esta tecnología para evitar un analisis del mismo.

Descarga de Github: Pafish

Saludos

0 comentarios:

Publicar un comentario