Katsuni理论介绍以及在沙盒和软件仿真方面的应用

Jonathan Brossard (Toucan System)

25/09/2013

我是谁 ?

-安全研究人员, 2005年开始发表一些文章.

-以往的研究:

BIOSes漏洞, Microsoft Bitlocker, Truecrypt,

McAfee Endpoint (Defcon 2008), PMCMA debugger (Blackhat USA 2011),

«Rakshasa » supply chain backdoor PoC (Blackhat 2012), 2 SAP notes (2013).

-HITB, CCC, Ruxcon做演讲以及培训...

-Hackito Ergo Sum 以及 NoSuchCon 研究会议的联合创始人 (France).

2013年在防毒软件业中的热点问题?

防毒软件业: 2013年趋势

-桌面杀毒软件已经是个过去式了

-人们将注意力放在能够检测0day的技术,例如沙盒技术

=> 仿真和沙盒技术是两个比较新兴的事物.

[1]先别笑.

这些是如何开始的...

CVE-2013-0640 (绕过Adobe 沙盒)

Adobe Reader 以及

Acrobat 9.x before 9.5.4, 10.x before 10.1.6, and 11.x before 11.0.02

20132月发生的,通过构造恶意PDF文档允许远程攻击者执行任意代码或者引起DOS

(内存崩溃) .

CVE-2013-0640

(绕过Adobe Sandbox )

他们的 «分析过程 »:

ROP shellcode如下: msvcr100!fsopen() msvcr100!write() mvvcr100!fclose() kernel32!LoadLibraryA() kernel32!Sleep()

在加载恶意库文件时,它会进入一个长休眠过程以确保在创建ROP链时所更改的整个栈不会 导致线程崩溃。

他们的 «分析过程 »:

ROP shellcode如下: msvcr100!fsopen() msvcr100!write() mvvcr100!fclose() kernel32!LoadLibraryA() kernel32!Sleep()

在加载恶意库文件时, 它会进入一个长休眠过程以确保在创建ROP链时所更改的整个栈不会 导致线程崩溃。

他们的 «分析过程 »:

ROP shellcode如下: msvcr100!fsopen() msvcr100!write() mvvcr100!fclose() kernel32!LoadLibraryA() kernel32!Sleep()

在加载恶意库文件时, 它会进入一个长休眠过程以确保在创建ROP链时所更改的整个栈不会 导致线程崩溃。

=>狗屁不通!他们知道利用代码是在干什么吗?

我猜

小憩5分钟就是为了绕过沙盒检测,哈哈

毕竟,它是一个牛叉的利用过程, 第一个去绕过 Adobe的沙盒技术...

这类方法是有缺点的 (恕我直言)

-擅长于寻找artefacts等玩意儿 (它仍然是«某些东西 »).

-但很难理解利用的过程中到底做了什么事情

话虽这么说...

沙盒技术的提高...

沙盒技术的提高...

沙盒技术的提高...

沙盒技术的提高...

我还没有找到一个十分合适的理由去让你在你公司的网络中加入一些没人能够解释的东西进去

注意: 缺少第三方评估

注意: 缺少第三方评估

注意: 缺少第三方评估

注意: 缺少第三方评估

使用沙盒技术的厂商所提倡的概念就是让假想敌不要看到所使用的技术。好吧,我同意这一点。

注意: 缺少第三方评估

但是这也意味着做安全的没有(无法?)进行第三方评估

在现实生活中, 通常都是需要这些做安全的进行严格评估的

Tavis Ormandi Pipacs也希望看一下Bromium的技术

注意 : 好吧, 他们不是Bromium的客户, 因此我们有了麻烦... 作为一个行业, 确实如此.