ANTI-Cuckoo: herramienta para detectar y crashear el Sandbox de Cuckoo.

Iniciado por Gabriela, Julio 11, 2015, 02:48:12 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.



David Reguera de Buguroo está trabajando en el desarrollo de AntiCuckoo, una herramienta escrita en C/C++ para detectar y crashear el Sandbox de Cuckoo.

¿Qué es Cuckoo?  No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Algunas características de ANTI-Cuckoo:

- Se ha probado en la versión oficial y la de Accuvant
- Detecta toda clase de hooks de Cuckoo
- Busca datos sospechosos en memoria, sin APIs, escaneando página por página
- Con el argumento "-c1" provoca un crash del Sandbox. Lo hace modificando el valor de la instrucción RET N de una API hookeada (el HookHandler de Cuckoo sólo pasa los argumentos reales de la API y la intrucción RET N modificada corrompe su stack)



- Agente y proceso de detección en python (al 70%)
- Mejora la detección comprobando los bytes correctos en los sitios conocidos (por ejemplo las APIs nativas siempre tienen las mismas firmas, etc.)
- Detección de las entradas TLS de Cuckoo

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Tú te enamoraste de mi valentía, yo me enamoré de tu oscuridad; tú aprendiste a vencer tus miedos, yo aprendí a no perderme en tu abismo.