เมื่อพูดถึง Sandbox ใครที่เคยเขียน java applet คงเคยได้ยินมาบ้าง หลักการทำงานของ sandbox คือ
การแยกพื้นที่ในรัน code java โดยจะจำกัด การ Request และการเข้าถึง memory และ OS เพื่อไม่ใช้
code ไปทำอันตรายต่อระบบ ด้วยความตั้งใจและไม่ตั้งใจ เนื่องจาก Java Applete นั้นเป็น code ที่อยู่
บน Server IE จะทำการ load มารันที่ฝั่ง Client ดั้งนั้นอาจมี code ประสงค์ร้ายแผงมาด้วย ดั้งนั้นจึงต้อง
มี SandBox เพื่อจำกัดขอบเขตของการรัน เพื่อความปลอดภัย นอกจากนั้นยังได้พัฒนานำมาใช้ในการวิเคราะห์ พวก
malware อีกด้วย .....
[hide=10]Sandbox เป็น Virtualization Technology ซึ่งต่อมาได้พัฒนาเอามาใช้ในเรื่องการวิเคราะห์ malware (ไวร้ส, โทรจัน, คีย์ล็อคเกอร์...) ที่รู้จักกันดี คือ "Norman SandBox" เป็นเทคโนโลยี่ที่เยียมยอดมากครับ มัน
สามารถวิเคราะห์ได้ว่าเจ้า malware อ่าน/เขียน/แก้ไข ไฟล์อะไรบ้าง เขียน Registry Key อะไรบ้าง
รวมถึงการจำลอง Network Infrastructure ได้ด้วย ทำให้สามารถดูได้ว่า malware เปิด port อะไร
connect ไปที่ไหนบ้าง ดูได้ทั้ง HTTP, FTP, IRC,....
นี่เป็นตัวอย่างผลการวิเคราะห์แบบ online ที่เขาให้บริการอยู่ (อาจจะไม่ละเอียด)
Submit Here!
======================================================
server.exe : INFECTED with Suspicious_F.gen.dropper (Signature: Suspicious_F.gen)
[ DetectionInfo ]
* Sandbox name: Suspicious_F.gen.dropper
* Signature name: Suspicious_F.gen
* Compressed: YES
* TLS hooks: YES
* Executable type: Application
* Executable file structure: OK
[ General information ]
* File might be compressed.
* Decompressing Unk3!FSG?.
* File length: 22733 bytes.
* MD5 hash: f89c32b7d8f510375d660c8eb51dae21.
[ Changes to filesystem ]
* Creates file C:\WINDOWS\mse.exe.
[ Changes to registry ]
* Accesses Registry key "HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings".
* Accesses Registry key "HKCR\https\shell\open\command".
* Sets value "msiew"="c:\sample.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings".
[ Process/window information ]
* Creates a mutex realplayer.
* Attemps to open C:\WINDOWS\mse.exe NULL.
* Creates process "mse.exe".
[ Signature Scanning ]
* C:\WINDOWS\mse.exe (22733 bytes) : Suspicious_F.gen.
===================================================
หากจะวิเคราะห์ให้ละเอียด คงต้องซื้อ Product เขา ลองดูรายละเอียดจาก link นี้นะครับ
ใครมีก็เอามาแบ่งผมด้วยนะครับ ยากลองดูเหมือนกัน อิอิ
อีกด้านก็ไม่ยิ่งหย่อนไปกว่ากัน พัฒนาเทคนิคใหม่ๆมารับมือ ซึ่งน่าจะประยุคมาจากพวก anti-debugger
ทั้งหลาย มาเป็น anti-sandbox ลองดูตัวอย่างกัน
=================== FASM=============================
;Anti Norman Sandbox
;by iNs
;activespy.org
include 'win32ax.inc'
.data
Bad db 'CurrentUser',0 ;Norman Username
Usr rb 36d
UsrSz dd 36d
.code
inizio:
invoke GetUserName,Usr,UsrSz ;Get Current Username
invoke lstrcmp,Bad,Usr ;here we compare the 2 strings Bad with Usr
jz Detected ;if the 2 strings are equal we jmp to Detected
invoke MessageBox,NULL,Usr,"Norman Not Detected",MB_OK
invoke ExitProcess,0
Detected:
invoke MessageBox,NULL,Usr,"Norman Detected",MB_OK
invoke ExitProcess,0
.end inizio
=======================================================
[/hide]
หวังว่าคงได้ความรู้บ้างไม่มากก็น้อยนะครับ
By: PSPN
Reply With Quote
