martes, 22 de marzo de 2016

VMware vs Malware

No se por que me ha parecido bien poner ese titulo ya que el titulo que mas encajaría a esta entrada seria "Como el Malware detecta entornos virtualizados" el cual corresponde a la entrada de Infosec Institute que me ha parecido muy curiosa y creo que os va a gustar. 


Principalmente el bicho (Malware) al ejecutarse en un sistema hace las siguientes seis comprobaciones para ver donde se encuentra:
  • Verificación de registro: 
    • En el sistema invitado el bicho hace búsquedas en el registro  para ver que drivers se están usando, 
    • Ejemplos: 
      • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}\0000\DriverDesc
      • VMware SCSI Controller
      • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}\0000\ProviderName
      • VMware, Inc.
  • Verificación de memoria: 
    • El malware revisa las estructuras de memoria, especialmente las [IDT], debido a que normalmente VM guarda este tipo de información en la 0xffXXXXX 
  • Verificación del canal de comunicaciones: 
    • El bicho verifica si hay alguna comunicación con el host.  Para esto ejecuta [la instrucción IN] si nos devuelve un Ring 3 da una excepción y puede determinar que no está en una VM.
  •  Verificación de procesos y archivos: 
    • Si está en un VMware normalmente mantiene un proceso en ejecución llamado VMwareService.ese y VMwareTray.exe, etc
  • Verificación de la MAC: 
    • Normalmente VMware viene por defecto con una MACque empieza por 00-05-69, 00-0c-29, 00-1c-14 o 00-50-56  
  • Otras verificaciones de Hardware: 
    • El bicho también puede comprobar varios parámetros específicos del "hardware" que VMware emula. 

Mas información y fuente:

No hay comentarios:

Publicar un comentario