En muchas de las pruebas que estoy realizando con Cuckoo, ha llegado la hora de probar como se comporta la sandbox delante de un Exploit Kit.
En este caso, buscando me encontré con un Blackhole, y es que es de los Exploit Kit mas famosos que hay. Si queréis saber un poco mas de él, podéis ver el artículo que publiqué en Security by Default sobre él.
La premisa es bastante simple, analizaremos una URL que está sirviendo malware a través de un Exploit Kit, la sandbox lo analizará y se encargará de recoger aquellos datos, como ficheros creados, binarios descargados etc…
Cuckoo es capaz de realizar capturas de pantalla para ver que sucede en el análisis.
Esta es una de las pantalla que muestra cuando realiza el análisis:
Los que estéis familiarizados es MUY típico de un blackhole.
Con la suerte de que la sandbox es capaz de capturar los archivos creados u modificados, aquí tenemos la lista
podemos ver varios binarios, un PDF entre otros muchos archivos.
Me sigue sorprendiendo, que por debajo al usuario le ocurran todas estas cosas y él no se percate de nada. Porque, por supuesto, todo esto es transparente para él
No hay comentarios:
Publicar un comentario