Comentarios en: Tecnología en los motores antivirus/antispyware http://blog.48bits.com/2006/06/06/tecnologia-en-los-motores-antivirusantispyware/ 48Bits ... The one and a half architecture land. Thu, 09 Feb 2012 23:02:12 +0000 hourly 1 http://wordpress.org/?v=3.3.1 Por: svch0st http://blog.48bits.com/2006/06/06/tecnologia-en-los-motores-antivirusantispyware/comment-page-1/#comment-51 svch0st Fri, 16 Jun 2006 07:05:38 +0000 http://blog.48bits.com/?p=22#comment-51 Esto es otro ejemplo de que solo hay un interés en la mayoría de las empresas que llaman "de seguridad".... ¿A qué no adivinais cual es? Sino, ¿cómo es que no se dedican más recursos a sistemas detectores de rootkits, sistemas sandbox, clasificacion automática de malware y, en definitiva, I+D+i? (contestando a la primera pregunta esta quedaría contestada.) Lo único que se vende es el producto de un cigarro. Esto es otro ejemplo de que solo hay un interés en la mayoría de las empresas que llaman “de seguridad”…. ¿A qué no adivinais cual es?
Sino, ¿cómo es que no se dedican más recursos a sistemas detectores de rootkits, sistemas sandbox, clasificacion automática de malware y, en definitiva, I+D+i? (contestando a la primera pregunta esta quedaría contestada.)
Lo único que se vende es el producto de un cigarro.

]]> Por: vmalvarez http://blog.48bits.com/2006/06/06/tecnologia-en-los-motores-antivirusantispyware/comment-page-1/#comment-31 vmalvarez Mon, 12 Jun 2006 20:04:09 +0000 http://blog.48bits.com/?p=22#comment-31 Voy a tener que retractarme y darle toda la razón a mballano ( pero te jodiste, porque en esta no apostamos nada :P ) Uno de mis argumentos para decir que el problema de los streams no era tan grave era que no se podía ejecutar directamente el contenido de uno de ellos, pero es completamente falso. Acabo de ver el link de Zohiartze y me dió por comprobar si era verdad eso que comentaban de que en el ImagePath de un servicio de Windows se podía hacer referencia a un stream, y en efecto se puede. Y no solo eso, en un una humilde llamada a CreateProcess se puede poner algo como CreateProcess("angel.exe:devil", .....) y ejecutar el stream "devil" en vez del stream principal. Luego investigo más el tema, y para la otra investigo antes de hablar :) Voy a tener que retractarme y darle toda la razón a mballano ( pero te jodiste, porque en esta no apostamos nada :P ) Uno de mis argumentos para decir que el problema de los streams no era tan grave era que no se podía ejecutar directamente el contenido de uno de ellos, pero es completamente falso. Acabo de ver el link de Zohiartze y me dió por comprobar si era verdad eso que comentaban de que en el ImagePath de un servicio de Windows se podía hacer referencia a un stream, y en efecto se puede. Y no solo eso, en un una humilde llamada a CreateProcess se puede poner algo como CreateProcess(“angel.exe:devil”, …..) y ejecutar el stream “devil” en vez del stream principal. Luego investigo más el tema, y para la otra investigo antes de hablar :)

]]> Por: Zohiartze http://blog.48bits.com/2006/06/06/tecnologia-en-los-motores-antivirusantispyware/comment-page-1/#comment-30 Zohiartze Mon, 12 Jun 2006 06:38:09 +0000 http://blog.48bits.com/?p=22#comment-30 Bueno, lunes por la mañanita y parece que esto de los streams va a dar un poco más de que hablar :-) http://blogs.securiteam.com/index.php/archives/438 Slds. Bueno, lunes por la mañanita y parece que esto de los streams va a dar un poco más de que hablar :-)

http://blogs.securiteam.com/index.php/archives/438

Slds.

]]> Por: mballlano http://blog.48bits.com/2006/06/06/tecnologia-en-los-motores-antivirusantispyware/comment-page-1/#comment-29 mballlano Wed, 07 Jun 2006 21:30:09 +0000 http://blog.48bits.com/?p=22#comment-29 Al hilo de lo que comenta inocraM sobre el control de cuotas de usuario, es bastante vergonzoso que el propio Windows no lo controle, algún universitario igual se está regocigando mientras lee esto :-). Al hilo de lo que comenta inocraM sobre el control de cuotas de usuario, es bastante vergonzoso que el propio Windows no lo controle, algún universitario igual se está regocigando mientras lee esto :-) .

]]> Por: inocram http://blog.48bits.com/2006/06/06/tecnologia-en-los-motores-antivirusantispyware/comment-page-1/#comment-28 inocram Wed, 07 Jun 2006 21:21:58 +0000 http://blog.48bits.com/?p=22#comment-28 Estoy de acuerdo en lo que comenta Victor en lo relacionado con los problemas asociados a los Streams de NTFS en lo que se refiere a su uso por parte de los programadores de virus. Razones a mi modo de ver mas que suficientes como para que los coqueteos del malware con los Streams no pasen de la pura prueba de concepto. Por un lado la limitación autoimpuesta por un malware que utiliza una tecnica basada en cracteristicas exclusivas del sistema de ficheros NTFS. Por otro lado, y relacionado con lo primero, el problema nada desdeñable que se plantea a la hora de intentar propagar un malware con estas caracteristicas. Y podríamos mencionar además, la poca información que existe al respecto. Sin lugar a dudas Microsoft no se ha esmerado a la hora de extender el conocimiento y uso de los Streams de NTFS. Y eso se puede ver incluso en sus propios productos. A modo de ejemplo, actualmente la unica opción que da Microsoft para enumerar los Streams de un fichero pasa (que yo sepa) por una llamada directa a ntdll.NtQueryInformationFile, y además con una clase que no está documentada (aunque si está presente en las cabeceras del DDK). Mas escandaloso me parece el hecho de que Windows no tenga en algunos casos en cuenta los Streams, cuando es evidente que son claves en procesos como el control sobre las cuotas de los usuarios, por poner un ejemplo. En la nueva versión de Windows Vista ya existirá funcionalidad a nivel de subsistema Win32 para recorrer los streams asociados a un fichero, FindFirstStreamW/FindNext... Por otro lado algunos compresores ya dan desde hace tiempo la posibilidad de comprimir los streams (i.e. WinRar permite almacenar los streams y la información de seguridad asociada al fichero). Desde hace tiempo NTFS es el sistema de ficheros habitual de los usuarios de Windows. Podría decirse que se estan comenzando a dar las condiciones objetivas que pueden permitir el uso "in the wild" de esta técnica para la distribución de programas potencialmente dañinos. Lo que está claro es que si hasta la fecha las empresas de seguridad no han prestado atencion a los Streams, por el momento han vivido peligrosamente, pero podríamos decir que no se han equivocado (desde un cierto punto de vista que yo pesonalmente no comparto). ¿Les prestarán atención ahora o quizás tendremos que esperar a que el daño ya esté hecho? Estoy de acuerdo en lo que comenta Victor en lo relacionado con los problemas asociados a los Streams de NTFS en lo que se refiere a su uso por parte de los programadores de virus. Razones a mi modo de ver mas que suficientes como para que los coqueteos del malware con los Streams no pasen de la pura prueba de concepto. Por un lado la limitación autoimpuesta por un malware que utiliza una tecnica basada en cracteristicas exclusivas del sistema de ficheros NTFS. Por otro lado, y relacionado con lo primero, el problema nada desdeñable que se plantea a la hora de intentar propagar un malware con estas caracteristicas. Y podríamos mencionar además, la poca información que existe al respecto.
Sin lugar a dudas Microsoft no se ha esmerado a la hora de extender el conocimiento y uso de los Streams de NTFS. Y eso se puede ver incluso en sus propios productos. A modo de ejemplo, actualmente la unica opción que da Microsoft para enumerar los Streams de un fichero pasa (que yo sepa) por una llamada directa a ntdll.NtQueryInformationFile, y además con una clase que no está documentada (aunque si está presente en las cabeceras del DDK). Mas escandaloso me parece el hecho de que Windows no tenga en algunos casos en cuenta los Streams, cuando es evidente que son claves en procesos como el control sobre las cuotas de los usuarios, por poner un ejemplo.
En la nueva versión de Windows Vista ya existirá funcionalidad a nivel de subsistema Win32 para recorrer los streams asociados a un fichero, FindFirstStreamW/FindNext… Por otro lado algunos compresores ya dan desde hace tiempo la posibilidad de comprimir los streams (i.e. WinRar permite almacenar los streams y la información de seguridad asociada al fichero). Desde hace tiempo NTFS es el sistema de ficheros habitual de los usuarios de Windows. Podría decirse que se estan comenzando a dar las condiciones objetivas que pueden permitir el uso “in the wild” de esta técnica para la distribución de programas potencialmente dañinos.
Lo que está claro es que si hasta la fecha las empresas de seguridad no han prestado atencion a los Streams, por el momento han vivido peligrosamente, pero podríamos decir que no se han equivocado (desde un cierto punto de vista que yo pesonalmente no comparto). ¿Les prestarán atención ahora o quizás tendremos que esperar a que el daño ya esté hecho?

]]>