Fingerprints para detectar y evadir sandboxes conocidos

Hoy en día detonar malware en una sandbox es uno de los métodos más usados a la hora de analizar malware, sobretodo cuando tenemos un montón de casos e incidentes cada día y poco tiempo para realizar un reversing/análisis estático en profundidad. Desde un simple triage hasta un análisis más completo del comportamiento, incluso extracciones automáticas de familias de malware conocido (CAPE *guiño* *guiño*): el análisis dinámico automatizado es muy, muy importante. Por eso los rojirrins no dejan de implementar medidas para evadir estos sandboxes, desde la detección de la ejecución en entornos virtuales o medidas de debugging o cualquier medida que pueda dar una pista al artefacto de turno para detener su actividad en el caso de que detecte que está siendo "vigilado".

Precisamente leía recientemente en el blog de Hexacorn una serie de características comunes de algunos sandboxes que pueden ser implementadas en cualquier malware para incrementar sus medidas de bypass, un ejemplo claro de que los azulones deben implementar entornos totalmente aleatorizados si no quieren que sus sistemas de análisis se den de bruces con malware cada vez más sofisticados, la eterna lucha del bien y del mal, el ying y el yang...

JujuBox
  • Usuario: enmascarado en los informes como <USER>, pero SID no lo está: S-1-5-21-364843204-231886559-199882026-1001
  • Versión del sistema operativo: sin licencia y detectable comprobando si es software genuino mediante el API: SLIsGenuineLocal.
  • Desktop incluye Acrobat Reader, Firefox, Google Chrome, Open Office 4.1.6, Steam, contabilidad, eula, mydoc, mypresentation, OpenOffice, party y stats; las extensiones de archivo no se muestran, pero son fáciles de adivinar
  • El filename es un <SHA256 hash> .exe
  • La resolución de la pantalla parece ser baja: ¿800x 600?
  • Solo 4 iconos en la barra de tareas
VenusEye
  • Usuario: debug4fun
Yomi Hunter
  • Usuario: j.yoroi
NSFOCUS POMA
  • OS: XP
  • Usuario: sys
  • File: C:\Windows\Temp\sample\<md5>_<sha256>.exe
BitDam ATP
  • Usuario: trans_iso_0
QiAnXin RedDrip
  • Usuario: Administrator
  • Lenguaje del sistema: zh-CN
Tencent Habo
  • Usuario: Administrator SID: S-1-5-21-1482476501-1645522239-1417001333-500
  • File: sample.doc
  • Hostname: ANALYST<DIGIT>-<HEX>
  • OS: XP (refers to C:\Documents and Settings\Administrator)
  • Lenguaje del sistema: zh-CN
  • Directorio presente: C:\DiskD
  • File: 996e.exe (este nombre de archivo es tan frecuente que incluso plantea preguntas en Reddit); los informes intentan eliminar información sobre el nombre del proceso, pero lo hacen de manera ineficiente como se muestra en la siguiente captura de pantalla:
  • Otros fingerprints posibles:
        OFFICE11 (C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE)
        Python
            C:\Python\Python27
            C:\Python\Python36

SecondWrite
  • Usuario: Virtual
  • File: <hash> del archivo y empieza en %TEMP%\<hash>.exe
Dr.Web vxCube
  • Oculta mucha información, estos tipos saben lo que están haciendo (por ejemplo, la ruta de muestra es como <PATH_SAMPLE.EXE>)
  • OS: XP
  • Otros fingerprints posibles:
       %CommonProgramFiles(x86)%\microsoft shared\vs7debug\mdm.exe
        Office14 (%ProgramFiles%\microsoft office\office14)

Rising MOVES
  • Usuario: Administrator
  • Lenguaje del sistema: zh-CN
  • Servicio presente: badrv
  • Driver del kernel presente: rs_badrv
  • Archivos presentes:
        c:\analyse\drop_files.zip
        c:\analyse\result.zip
        C:\analyse\log.log
        C:\analyse\analyzer.exe
        c:/analyse/gen_report.py
        C:\Program Files\Qemu-ga\gspawn-win32-helper.exe
  • Mutex:
        ba_probe_event_memory_mutex

VirusTotal Cuckoofork
  • Usuario: admin
  • Hostname: USER-PC
  • Otros fingerprints posibles:
        inicia la muestra en el directorio raíz c:\
        el nombre de archivo es un hash SHA256

Lastline
  • Usuario: Johnson, Olivia (aleatorio)
  • Otros fingerprints posibles:
        Office14
            C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE
        Office16
            C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE

VMRay
  • Usuario: correctamente aleatorio ‘aETAdzjz’
  • Otros fingerprints posibles:
        Office16
            C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE

VirusTotal Box of Apples
  • Usuario: user1
OS X Sandbox
  • Otros fingerprints posibles:
        VMWare path mapped
            Library/Filesystems/vmhgfs.fs

VirusTotal Androbox
  •     n/a
VirusTotal Droidy
  • Usuario: user

Comentarios