Antivmdetection.- Analiza Malware tranquilamente.

Hemos hablado mucho sobre [que tipo de información buscaba un Malware] para descubrir si está corriendo en una máquina virtual y de esta manera cambiar su manera de actuar para que no podamos descubrir que hace. Por eso, Mikael Keri ha creado un script para preparar nuestro Windows para que podamos analizar el bicho tranquilamente sin que mute a un proceso inocuo.

Muchas mas información y enlace al GitHub:

• https://github.com/nsmfoo/antivmdetection

Aprovechadlo antes de que los malos modifiquen sus códigos para saltarse esto también. 

Sed Buenos ;) 

Androl4b.- Una VM para el Malware

Seguro que estáis hartos de montaros máquinas virtuales de Android para maltratarlas a golpe de malware para luego analizarlo o aprender ha hacerlo. Esto siempre ha hecho que analizar malware en Android sea un poco coñazo, así que para lo que os dedicais a esto distribución / máquina virtual os va a encantar. 

"AndroL4b es una máquina virtual orientada a los aspectos de seguridad en Android basado en ubuntu-mate, que incluye la colección de los últimos framework, tutoriales y laboratorios, de seguridad, para la ingeniería inversa y análisis de malware en aplicaciones Android."

Enlace a la máquina virtual:

• https://github.com/sh4hin/Androl4b

Fuente de la noticia:

• http://blog.segu-info.com.ar/2016/09/androl4b-maquina-virtual-para-analisis.html

Sed Buenos ;) 

VBA Macro que detecta Máquinas Virtuales

Llevo una temporada muy metido en la detección de maquinas virtuales por parte de diferentes Malwares.  Yo, hasta hace unos días, pensaba que esta habilidad solo la podían poseer software puramente hecho con un fines malicioso y no desde una Macro VBA desde un Word. 

Pues nada mas lejos de la realidad,  existen Macros VBA que son capaces de detectar si están corriendo en una máquina virtual hasta de 3 maneras:

1. El primer método de detección tiene dos etapas: 
1. La primera etapa de estas verificaciones, es mirar si la variable de entorno "USERNAME" es igual a "USER" y "USERDOMAIN" es igual a "HOST". Si ambos valores son verdaderos se activa la detección. Si no, salta a la segunda etapa.
2. En la segunda etapa y con la ayuda de WMI (Windows Management Instrumentation), el método de detección llama al comando: GetObject ( " winmgmts: ") .InstancesOf ( " Win32_ComputerSystem "). Esto crea con el comando WMI "winmgmts" una instancia de " Win32_ComputerSystem" . Este ejemplo contiene toda la información sobre el sistema. Ademas se busca información sobre el "Fabricante" y "Modelo" y comprueba si contiene una de las siguientes cadenas: "KVM", "QEMU", "HAT", "VIRTUAL", "VMware", " XEN ". Si lo hace, el método de detección activa y devuelve un True.
2. El segundo método también utiliza WMI para obtener toda la lista de procesos en ejecución:
1. GetObject ( " winmgmts: ") .ExecQuery ( " Select * from Win32_Process ")
2. En una seguna etapa la macro buscará las siguientes cadenas en la lista de procesos:
   “FIDDLER”, “PROCEXP”, “PROCMON”, “SNORT”, “SURICATA”, “WIRESHARK”
3. Para acabar solo se hace una búsqueda a la siguiente cadena 1461591186_usa en el directorio del documento, para ello se utiliza la siguiente comando:
1. InStr(1, callByName(ThisDocument, "Path", 2), "1461591186_usa") <> 0

Fuente y muchísima mas información sobre sobre el destripar de las Macros: 

• https://www.vmray.com/word-macro-detects-vm-environments/

Sed Buenos ;) 

VMware vs Malware

No se por que me ha parecido bien poner ese titulo ya que el titulo que mas encajaría a esta entrada seria "Como el Malware detecta entornos virtualizados" el cual corresponde a la entrada de Infosec Institute que me ha parecido muy curiosa y creo que os va a gustar. 

Principalmente el bicho (Malware) al ejecutarse en un sistema hace las siguientes seis comprobaciones para ver donde se encuentra:

• Verificación de registro: 
• En el sistema invitado el bicho hace búsquedas en el registro  para ver que drivers se están usando, 
• Ejemplos: 
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}\0000\DriverDesc
• VMware SCSI Controller
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}\0000\ProviderName
• VMware, Inc.

• Verificación de memoria: 
• El malware revisa las estructuras de memoria, especialmente las [IDT], debido a que normalmente VM guarda este tipo de información en la 0xffXXXXX 

• Verificación del canal de comunicaciones: 
• El bicho verifica si hay alguna comunicación con el host.  Para esto ejecuta [la instrucción IN] si nos devuelve un Ring 3 da una excepción y puede determinar que no está en una VM.

•  Verificación de procesos y archivos: 
• Si está en un VMware normalmente mantiene un proceso en ejecución llamado VMwareService.ese y VMwareTray.exe, etc

• Verificación de la MAC: 
• Normalmente VMware viene por defecto con una MACque empieza por 00-05-69, 00-0c-29, 00-1c-14 o 00-50-56  

• Otras verificaciones de Hardware: 
• El bicho también puede comprobar varios parámetros específicos del "hardware" que VMware emula. 

Mas información y fuente:

• http://resources.infosecinstitute.com/how-malware-detects-virtualized-environment-and-its-countermeasures-an-overview/

Sed Buenos ;)