No se por que me ha parecido bien poner ese titulo ya que el titulo que mas encajaría a esta entrada seria "Como el Malware detecta entornos virtualizados" el cual corresponde a la entrada de Infosec Institute que me ha parecido muy curiosa y creo que os va a gustar.
Principalmente el bicho (Malware) al ejecutarse en un sistema hace las siguientes seis comprobaciones para ver donde se encuentra:
- Verificación de registro:
- En el sistema invitado el bicho hace búsquedas en el registro para ver que drivers se están usando,
- Ejemplos:
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}\0000\DriverDesc
- VMware SCSI Controller
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}\0000\ProviderName
- VMware, Inc.
- Verificación de memoria:
- El malware revisa las estructuras de memoria, especialmente las [IDT], debido a que normalmente VM guarda este tipo de información en la 0xffXXXXX
- Verificación del canal de comunicaciones:
- El bicho verifica si hay alguna comunicación con el host. Para esto ejecuta [la instrucción IN] si nos devuelve un Ring 3 da una excepción y puede determinar que no está en una VM.
- Verificación de procesos y archivos:
- Si está en un VMware normalmente mantiene un proceso en ejecución llamado VMwareService.ese y VMwareTray.exe, etc
- Verificación de la MAC:
- Normalmente VMware viene por defecto con una MACque empieza por 00-05-69, 00-0c-29, 00-1c-14 o 00-50-56
- Otras verificaciones de Hardware:
- El bicho también puede comprobar varios parámetros específicos del "hardware" que VMware emula.
Mas información y fuente:
No hay comentarios:
Publicar un comentario