Bypass de sandbox?

Postagem de conteúdo sobre malwares (trojan, keylogger, virus, backdoor)
Post Reply
User avatar
fascist_
Moderador
Moderador
Posts: 96
Joined: Fri Jul 29, 2016 5:35 pm

Bypass de sandbox?

Post by fascist_ » Sat Jan 14, 2017 11:11 am

Entao gente, eu queria abrir uma discussao aqui sobre como dar bypass no sandbox. Dps de fazer um crypter, esse é o ultimo desafio que temos heheh.

O que é sandbox?

Sandbox é uma parte do antivirus que analiza malwares em tempo real, entao aquele crypter que ensinei a fazer vai falhar se passar por aqui. Segundo o Avast, modificaçoes no sistema feito por um aplicativo no sandbox sao desfeitas, o que limita bastante o nosso bypass. A questao é que devemos evitar o sandbox, mas como? O antivirus nao faz sandbox em todos os programas rodando, porque isso gastaria recursos demais (creio eu que seja por isso), entao ele so faz no que ele nao confia e no que o usuario pede. "Sandbox is a special security feature which allows you to run potentially suspicious applications automatically in a completely isolated environment", primeiramente, nao faça o seu malware ser suspeito, o crypter deve dar conta disso, porém, existe alguns antivirus como o Norton e o proprio Avast que classificam o programa como suspeito so por nao ser popular. E claro, tenha a confiança da vitima, se nao ela vai rodar no sandbox.

Meu aplicativo foi pra sandbox, e agora?

Eh pra isso que eu queria uma discussao, minha ideia inicial era nao executar a parte malware do programa na primeira execuçao, assim ganharia confiança, mas ai você precisa se garantir que o usuario vai abrir seu malware uma segunda vez. Ou você pode automatizar, colocar o seu programa no inicializar do Windows pra que se execute novamente, porém se eu bem entendi, ele seria deletado por ser uma modificaçao no sistema. Uma ideia que deram la no Discord é dar um sleep() antes que o malware seja executado. Também ja ouvi falar que sandbox nao pode fazer nada contra keyloggers avançados (so ouvi falar, nada concreto). O que acham? Alguma ideia?

Texto que diz quando o sandbox é ativado, recomendo ler também: https://blog.avast.com/2012/03/20/autos ... noying-me/

Fonte: https://blog.avast.com/2012/11/16/what- ... s-it-work/

Zaphod
Admin
Admin
Posts: 19
Joined: Fri Jan 02, 2015 1:24 pm

Re: Bypass de sandbox?

Post by Zaphod » Sat Jan 14, 2017 3:28 pm

se for pra dar bypass na sandbox do avast tenta esse codigo:

Code: Select all

#include <windows.h>

int main(){
 if(GetModuleHandle("snxhk.dll"))
   exit(0);
 // Resto do prog.
}
pra outras sandbox vc teria q verificar outras dlls, ou mandar um sleep no programa
+[----->+++<]>+.+.

User avatar
51M0N
Admin
Admin
Posts: 871
Joined: Fri Jan 02, 2015 2:06 pm

Re: Bypass de sandbox?

Post by 51M0N » Sat Jan 14, 2017 3:52 pm

Caindo de para-quedas aqui ..ehehe .. dei uma pesquisada por alto, não sei se os links abaixo serve; talvez abra ate outras ideias:
vou ficar nos bastidores acompanho vcs,bons estudos

@vitoria@
Image
"Você, eu, nem ninguém vai bater tão duro como a vida. Mas não se trata de bater duro. Se trata de quanto você aguenta apanhar e seguir em frente (...). É assim que se consegue vencer." by Rocky Balboa

User avatar
fascist_
Moderador
Moderador
Posts: 96
Joined: Fri Jul 29, 2016 5:35 pm

Re: Bypass de sandbox?

Post by fascist_ » Sat Jan 14, 2017 5:08 pm

Zaphod wrote:se for pra dar bypass na sandbox do avast tenta esse codigo:

Code: Select all

#include <windows.h>

int main(){
 if(GetModuleHandle("snxhk.dll"))
   exit(0);
 // Resto do prog.
}
pra outras sandbox vc teria q verificar outras dlls, ou mandar um sleep no programa
Opa, vlw ae pelo codigo. So que tipo, pode explicar o que ele faz?
51M0N wrote:Caindo de para-quedas aqui ..ehehe .. dei uma pesquisada por alto, não sei se os links abaixo serve; talvez abra ate outras ideias:
vou ficar nos bastidores acompanho vcs,bons estudos

@vitoria@
Vlw ae! Vou dar uma lida

Zaphod
Admin
Admin
Posts: 19
Joined: Fri Jan 02, 2015 1:24 pm

Re: Bypass de sandbox?

Post by Zaphod » Sat Jan 14, 2017 8:16 pm

GetModuleHandle -> https://msdn.microsoft.com/pt-br/librar ... s.85).aspx, basicamente ele vai pegar o endereço de uma dll q foi carregada
+[----->+++<]>+.+.

User avatar
fascist_
Moderador
Moderador
Posts: 96
Joined: Fri Jul 29, 2016 5:35 pm

Re: Bypass de sandbox?

Post by fascist_ » Sun Jan 15, 2017 9:20 am

Zaphod wrote:GetModuleHandle -> https://msdn.microsoft.com/pt-br/librar ... s.85).aspx, basicamente ele vai pegar o endereço de uma dll q foi carregada
Ué, entao ele vai sair quando a sandbox for ativada?

Zaphod
Admin
Admin
Posts: 19
Joined: Fri Jan 02, 2015 1:24 pm

Re: Bypass de sandbox?

Post by Zaphod » Tue Jan 17, 2017 10:38 pm

fascist_ wrote:
Zaphod wrote:GetModuleHandle -> https://msdn.microsoft.com/pt-br/librar ... s.85).aspx, basicamente ele vai pegar o endereço de uma dll q foi carregada
Ué, entao ele vai sair quando a sandbox for ativada?
sim, isso mesmo ...
+[----->+++<]>+.+.

0x4h4x
Vip
Vip
Posts: 2
Joined: Wed Sep 28, 2016 2:39 pm

Re: Bypass de sandbox?

Post by 0x4h4x » Mon Feb 12, 2018 10:21 pm

Uma dica ver se o mouse esta se mexendo hahahhahahahaha se não se mexe por X time é sendbox e tu não roda ele normalmente passa liso :v

User avatar
Kodo no Kami
Admin
Admin
Posts: 719
Joined: Fri Jan 02, 2015 1:56 pm
Contact:

Re: Bypass de sandbox?

Post by Kodo no Kami » Wed Feb 14, 2018 10:07 pm

essa dica do mouse é boa tambem mano, pega o titulo da janela se nao tiver um site xxx aberto é uma sandbox kkkk
Image

que desagradavel ~ mirai kuriyama

0x4h4x
Vip
Vip
Posts: 2
Joined: Wed Sep 28, 2016 2:39 pm

Re: Bypass de sandbox?

Post by 0x4h4x » Sun Mar 11, 2018 11:54 am

Kodo no Kami wrote:
Wed Feb 14, 2018 10:07 pm
essa dica do mouse é boa tambem mano, pega o titulo da janela se nao tiver um site xxx aberto é uma sandbox kkkk
é o melhor jeito maninho :v

Post Reply

Return to “Malwares”