Es probable que los autores de malware implementen algún tipo de método para que a los analistas de este tipo de software malicioso les resulte difícil averiguar el código fuente durante el análisis estático. La implementación de estas instrucciones en ensamblador no causa ningún problema en la ejecución del programa, pero confundirá herramientas de análisis estático como IDA Pro a la hora de interpretar el código correctamente.

Los filtros de imágenes en CSS han estado ahí durante un tiempo y, junto a otras técnicas como los diferentes modos de mezcla, nos traen nuevas posibilidades para la recreación y manipulación de elementos en el navegador que antes teníamos que hacer en editores gráficos. En esta entrada se explora una técnica usando uno de los más olvidados efectos de filtro —la función filter— así como a recrearla usando imágenes SVG.

Aunque podemos tener una discusión profunda sobre lo que es y lo que no es legacy code, hay un aspecto concreto que para mí puede marcar la diferencia, y es la confiabilidad con la que somos capaces de realizar cambios sobre el producto a medida que estos son requeridos por negocio. Si en una base de código en la que ciertas tarjetas de nuestro Kanban se eluden sistemáticamente por parte de los desarrolladores, se tiene un claro síntoma de que hay una gran porción del sistema sobre la que nadie quiere asumir el riesgo de su modificación.

Recientemente, @n4ckhcker y @h4d3sw0rmen publicaron en exploit-db un breve pero útil paper para escapar de shells restringidas como rbash, rksh y rsh, ya sabéis, aquellas que bloquean algunos de comandos como cd, ls, echo, etc., restringen variables de entorno como SHELL, PATH, USER y a veces incluso comandos con / o las salidas de redireccionamiento como >, >>; todo ello para añadir una capa extra de seguridad para protegerse contra posibles atacantes, comandos peligrosos o simplemente como una prueba en un CTF. A continuación se listan la mayoría de las técnicas para bypassear estas shells restringidas.

Los desarrolladores de malware saben que sus artefactos va a ser analizados por threat hunters, forenses y demás “azulones” que intentarán destriparlos para obtener el detalle de su funcionamiento para contenerlos. También saben que la mayoría serán analizados en sandboxes con máquinas virtuales que proporcionan entornos aislados para que el malware se active para que sus acciones puedan ser interceptadas. Por ello los programas maliciosos detectan que se están ejecutando en una máquina virtual y actúan en consecuencia.