miércoles, mayo 19, 2010

Exploit PDF en Sandboxie

El otro día, en WindowsTecnico.com, Manu "The Sur", un culé nacido Huelva que curra en el SOCtano, escribió un artículo sobre SandBoxie bastante interesante. El artículo muestra una herramienta que permite correr cualquier aplicación en Windows, en cualquier versión de Windows, en una caja de arena.

La idea es que esas aplicaciones no van a correr directamente sobre el sistema operativo y van a tener su propia espacio de direcciones, su propio sistema de ficheros, etc... todo ello, controlado por Sandboxie.

Quería probarla con el exploit PDF que ya os comenté a ver que tal se comportaba y el resultado es el siguiente:

Tras instalar la herramienta en el sistema te puedes crear tantas Sandboxes como quieras. Todos los programas que corran en la misma Sandbox compartirán espacio de direcciones en memoria, por lo que deben correrse juntas aquellas que necesiten comunicarse. Yo he creado una para visualizar los documentos PDF.


Figura 1: Ejecución de programas en Sandboxie

Sobre esa caja de arena se puede ejecutar cualquier programa e incluso navegar por internet con el navegador en sandbox.

Una vez creada esta caja de arena, basta con arrastar el documento que quieres abrir a la herramienta. Se mostrarán todas las cajas de arena disponibles para que puedas elegir en cuál deseas que se abra. Yo he seleccionado la que acabo de crear.


Figura 2: Arrastar y ejecutar en sandboxie

Como se puede ver en la siguiente imagen, se puede ver la estructura de todos los programas corriendo en la misma sandbox, y, en ella, se puede ver que el Adobe Acrobat Reader 9 está abriendo el exploit al que es vulnerable en esta versión.


Figura 3: Exploit ejecutándose sobre Acrobat Reader 9 vulnerable

El comportamiento es similar al caso en el que el exploit tiene éxito, es decir, da el mensaje de error, pero... la shell que debía enviarse nunca llega a su destino, ya que no puede acceder a las direcciones de memoria en las que espera encontrar las llamadas.


Figura 4: El exploit se intenta ejecutar, pero no tiene éxito


La herramienta, para poder correr aplicaciones especiales, que requieran accesos concretos a zona del sistema, permite realizar cualquier configuración concreta.


Figura 5: Configuración de propiedades para programas

Me ha parecido una herramienta muy curiosa, tanto para los sistemas Windows XP, como para dificultar un poco más la tarea a los creadores de exploits. La herramienta puede ser descargada desde: Sandboxie

Saludos Malignos!

8 comentarios:

aser1 dijo...

Buenas a las personas, una cuestion asi al aire, este sistema de sandbox, es similar al que se utiliza en el lenguaje silverlight, o es mas similar a una maquina virtual capada?

Aun asi esta interesante el inventico este...

cyberseqrity dijo...

La verdad es que desde que lo conozco hace un año es muy interesante el invento Sandboxie. Lo he utilizado repetidas veces, ya que además permite instalar un programa sin que figure en la lista de programas instalados (vease la "evasión" del control de programas instalados por parte de las empresas).

No es que sea una VM capada, sino que integra todo lo que corre sobre la Sandbox bajo una caja dentro de un directorio definido, con estructura similar a la que podría tomar en la "máquina física".

Saludos.

J.V. Lobo dijo...

Una aplicacion asi es muy interesante...
Quitaria de muchos problemas ya que aisla todo... me la apunto!!

P.D.: Viva Huelva!! :D

Briptimus dijo...

Chulada de post...yo también me la apunto.

Suponiendo que no estoy corriendo el archivo PDF en una caja de arena, sino en el sistema así directo. Hay manera de darse cuenta que está haciendo cosas indebidas? Como detecto que se esta ejecutando código malo maloso? alguna sugerencia?

cyberseqrity dijo...

Hombre, lo más normal de un exploit es que intente abrir un puerto en tu ordenador en modo Listening, para que el atacante se conecte a tu equipo, asi que haciendo un "netstat -aon" y viendo las conexiones abiertas debería haber un indicio... explotación similar a instalarte un Netcat -L

Anónimo dijo...

@briptimus, siempre que sospeches de un proceso en concreto, puedes tracearlo con proces monitor. Esto lleva tiempo, y hay que realizarlo manualmente. Te dejo un enlace que quizas te sirva, http://www.windowstecnico.com/archive/2010/02/02/detectando-y-eliminando-keyloggers.aspx

/TS

Briptimus dijo...

Muchas gracias ;)

Laura García dijo...

Yo hace tiempo que la uso, te quita de problemas.

Salu2

Entradas populares