(http://i.imgur.com/jaSIZ70.png)
David Reguera de Buguroo está trabajando en el desarrollo de AntiCuckoo, una herramienta escrita en C/C++ para detectar y crashear el Sandbox de Cuckoo.
¿Qué es Cuckoo? Cuckoo (https://underc0de.org/foro/seguridad/cuckoo-sandbox-v1-1/)
Algunas características de ANTI-Cuckoo:- Se ha probado en la versión oficial y la de Accuvant
- Detecta toda clase de hooks de Cuckoo
- Busca datos sospechosos en memoria, sin APIs, escaneando página por página
- Con el argumento "-c1" provoca un crash del Sandbox. Lo hace modificando el valor de la instrucción RET N de una API hookeada (el HookHandler de Cuckoo sólo pasa los argumentos reales de la API y la intrucción RET N modificada corrompe su stack)
(http://i.imgur.com/wKVrFSp.png)
- Agente y proceso de detección en python (al 70%)
- Mejora la detección comprobando los bytes correctos en los sitios conocidos (por ejemplo las APIs nativas siempre tienen las mismas firmas, etc.)
- Detección de las entradas TLS de Cuckoo
Github-AntiCuckoo (https://github.com/David-Reguera-Garcia-Dreg/anticuckoo)
Fuente: hackplayers.com