# AntiSanbox (p1) ![](https://i.imgur.com/RHY5iIR.png) - Một vài artifacts: files, processes, registry keys, services, network device adapters... # A. Delay execution: ![](https://hackmd.io/_uploads/S1Por6YZT.png) ### Evade sandbox by waiting timeout of sandbox: - NtDelayExecution (lowest in user mode: Sleep -> SleepEx -> NtDelayExecution ) - Sleep, SleepEx, - WaitForSingleObject,WaitForSingleObjectE , NtWaitForSingleObject WaitForMultipleObjects - WaitForMultipleObjectsEx, NtWaitForMultipleObjects - SetTimer, SetWaitableTimer, CreateTimerQueueTimer timeSetEvent (multimedia timers) - IcmpSendEcho - select (Windows sockets) # B. Hardening artifacts: ## 1. kiểm tra sự tồn tại của file trên hệ thống: Sử dụng các file khác nhau tồn tại trên host bình thường và môi trường ảo. - **GetFileAttributes** được sử dụng để kiểm tra sự tồn tại của file với tham số là đường dẫn của file. - Virtualbox: ![](https://i.imgur.com/kbKRA0M.png) ![](https://i.imgur.com/GTxvfcs.png) | VMware | Virtualbox | KVM| | -------- | -------- |--| | C:\Windows\System32\drivers\vm3dmp-debug.sys | %Programfiles%\oracle\virtualbox guest additions\ | %ProgramW6432%\Virtio-Win\ | | C:\Windows\System32\drivers\vm3dmp-stats.sys | | System32\\drivers\\balloon.sys | | C:\Windows\System32\drivers\vm3dmp.sys | | System32\\drivers\\netkvm.sys | | C:\Windows\System32\drivers\vm3dmp_loader.sys | | System32\\drivers\\pvpanic.sys | | C:\Windows\System32\drivers\vmhgfs.sys | | System32\\drivers\\viofs.sys | | C:\Windows\System32\drivers\vmmemctl.sys | | System32\\drivers\\viogpudo.sys | | C:\Windows\System32\drivers\vmmouse.sys || System32\\drivers\\vioinput.sys | | C:\Windows\System32\drivers\vmrawdsk.sys || System32\\drivers\\viorng.sys | | C:\Windows\System32\drivers\vmusbmouse.sys || System32\\drivers\\vioscsi.sys | | %Programfiles%\VMware\ | | System32\\drivers\\vioser.sys | | | | System32\\drivers\\viostor.sys | - Check full path (GetModuleFileName, GetProcessImageFileNameA/W, QueryFullProcessImageName) chứa các chuối: "sample", "virus", "sanbox", "malware"... ## 2. phát hiện dựa trên registry: | kernel32.dll | ntdll.dll | | -------- | -------- | | RegOpenKey/Ex | NtOpenKey| | RegQueryValue/Ex| NtEnumerateKey| | RegCloseKey| NtQueryValueKey| | RegEnumKeyEx| NtClose| - VMware: - HKLM\SYSTEM\CurrentControlSet\Enum\PCI\VEN_15AD&DEV_XXXX&SUBSYS_XXXX15AD&REV_XX - HKLM\SYSTEM\ControlSet001\Services\vm3dmp - HKLM\SYSTEM\ControlSet001\Services\vm3dmp-debug - HKLM\SYSTEM\ControlSet001\Services\vm3dmp-stats - HKLM\SYSTEM\ControlSet001\Services\vm3dmp_loader - HKLM\SYSTEM\ControlSet001\Services\vm3dservice - HKLM\SYSTEM\ControlSet001\Services\vmhgfs - VirtualBox: - HKLM\SYSTEM\CurrentControlSet\Enum\PCI\VEN_8086&DEV_xxxx&SUBSYS_xxxxxxxx&REV_xx - QEMU KVM: - SYSTEM\\ControlSet001\\Services\\vioscsi - SYSTEM\\ControlSet001\\Services\\viostor - SYSTEM\\ControlSet001\\Services\\VirtIO-FS Service - SYSTEM\\ControlSet001\\Services\\VirtioSerial - SYSTEM\\ControlSet001\\Services\\BALLOON - SYSTEM\\ControlSet001\\Services\\BalloonService - SYSTEM\\ControlSet001\\Services\\netkvm - C:\Program Files\Qemu-ga\qemu-ga.exe - C:\Program Files\qga\qga.exe ## 3. CPU instruction: **cpuid** (\x0f\xa2), với tham số là thanh ghi EAX, nó cũng chứa chuỗi đặc trưng của các htpervisor. ``` Microsoft Hv for Hyper-V KVMKVMKVM for KVM prl hyperv for Parallels VBoxVBoxVBox for VirtualBox VMwareVMware for VMWare XenVMMXenVMM for Xen. ``` ## 4. OS query: ### Check ram: **GetMemoryStatusEx** được sử dụng để ktra dung lượng ram - Ta sẽ hook vào **NtQuerSystemInformation** để trả về giá trị mới cho PhysicalPages trong SystemBasicInformation. - Tìm các chuỗi liên quan đến máy ảo. ### check screen resolution: - Các API có thể sử dụng: **GetDesktopWindow**, **GetWindowRect**, **GetSystemMetrics**, **SystemParametersInfo**, **GetMonitorInfo**. ### Kiểm tra drivers thường có trên VM: - EnumDeviceDrivers ### Number of processors/installed app: - Ta có thể thu thập thông tin này từ PEB, với offset = 0xb8 trên x32 và offset = 0x64 trên x64. - Installed app: MsiEnumProductsA, MsiGetProductInfoA ### testing tools - https://github.com/LordNoteworthy/al-khaser - https://github.com/a0rtega/pafish ### Refs: - https://research.checkpoint.com/2023/cloud-based-malware-delivery-the-evolution-of-guloader/ - https://evasions.checkpoint.com/ - [.vmx file params for VMware](https://sanbarrow.com/vmx.html)
Last changed by  
VietDo
101

Read more

Process injection (P1)

Đây là phương pháp thực thi mã nhằm tránh bị phát hiện dựa vào việc chạy thread dưới process hợp lệ của hệ điều hành.

1/27/2024
WMI

WMI allows admin to create their own objects: create a process, services, ... WMI provider host process WmiPrvse.exe, this executable responsible for executing WMI activity Components: WMI Providers: COM servers that monitor managed objects. A WMI provider normally consists of a MOF file, which defines the data and event classes for which the provider returns data, and a DLL file which contains the code that supplies data. These providers are typically DLLs and can be found in C:\Windows\System32\wbem\*. Managed objects: processes, services, operating system... WMI infrastructure: WMI service (winmgmt): 3.1. The CIM object manager (CIMON): this component handles the connect between management application and provider. 3.2. WMI/CIMON object repository is organized by WMI namespaces. Holding a collection of provider at C:\Windows\System32\wbem\Repository\ Management Application (WMI consumer): The client application (exe excutable, vbscript, powershell script,...) interacts with WMI infrastructure.

5/2/2023
Anti-debug.Debug Flags (p1)

1. Using Win32 API: 1.1 kernel32!IsDebuggerPresent(): Xác định xem tiến trình hiện tại có bị debugging bởi trình debugger (ollyDbg, x64dbg) không? Bằng cách kiểm tra cờ BeingDebugged trong PEB. (Tiến trình bị debug sẽ được spawn từ tiến trình debugger). API cũng hoạt động khi process đang bị attached isDebuggerPresent() 32bit 64bit

4/7/2023
Anti-debug.Proces Memory(p4)

NOTE: Các cách phát hiện software breakpoint trong file thực thi sẽ vô dụng khi gặp hardware breakpoint (trong thanh ghi). 1. Tìm Breakpoints 1.1. Software breakpoint (INT3): Tìm byte 0xCC hay (INT 3) bool checkForSpecificByte(BYTE cByte, PVOID pMem, SIZE_T nMemSize=0) { PBYTE pBytes = (PBYTE)pMem; for (SIZE_T i = 0; ; i++) {

4/7/2023
Read more from VietDo
Published on HackMD