Analiza generica malware

Cum se prinde o rima de internet folosind un honeypot

In primul rand ce este o rama de internet ?

O rima e un program care are capabilitatea de a se multiplica si de a se “muta” de pe un sistem pe altul folosind găuri de securitate in sistemele respective .

Studiul unei rime de internet poate fi fascinant însă de obicei ca sa studiezi o rima trebuie sa o ai … Iar ca sa o ai exista 2 posibilităţi :

  • O downloadezi de pe diverse site-uri sau newsgrupuri …
  • O prinzi singur

A doua posibilitate trebuie sa recunoaştem este mult mai interesanta.

Scule necesare

Un sistem honeypot si scule de analiza a executabilelor.

Cum se realizează un honeypot de prins rime

Având in vedere ca rimele sunt programe automate care scanează de obicei după nişte găuri de securitate fixe , probabilitatea de a prinde o rima pe honeypot este mult mai mare decit a prinde un blackhat .

Dar, având in vedere ca rimele nu poseda “inteligenta” si de regula nu au mecanisme de verificare de honeypot, problema se poate simplifica destul de mult . Se poate folosi de exemplu vmware + sistemul de operare dorit sau UML + linuxul dorit. Mare atenţie insa. O rima intrata in honeypot nu va sta prea mult pe gânduri si va începe sa atace alte sisteme. De aceea trebuie pus la punct FOARTE bine sistemul de control de trafic outgoing de pe honeypot. Daca aceste scripturi nu sunt puse bine la punct atunci riscul ca rima sa infecteze alte sisteme este mare si NU va doriţi ca o rima prinsa intr-un honeypot sa “fuga” in alta parte …

Odată toate scripturile făcute, honeypotul activ tot ce rămâne de făcut este sa aşteptaţi.

Presupunând ca honeypot-ul e infectat cu rima. Ce facem mai departe ? Acum intervine partea complicata si cea mai interesanta .

Analiza rimei

Partea de disecţie daca preferaţi termenul .

Pentru disecţie (reverse engineering) sint o gramada de scule ajutătoare. Informaţii detaliate cu privire la reverse engineering se găsesc , culmea ironiei , pe cel mai vechi si bun site de cracking (www.fravia.org). Acolo gasiti foarte multe informaţii utile despre principiile reverse engineering, how-to, tutoriale. Site-ul este in mare parte dedicat platformei windows dar principiile sint similare.

La data la care am inceput sa scriu la acest “articol” IDA nu era disponibila pentru linux (www.datarescue.com). news … ida e disponibila si pe linux. Este scula cea mai folosita pentru dezasamblarea unui executabil. Si este foarte folositoare in momentul in care vrei sa înţelegi ce se întâmplă in interiorul unui executabil atunci cind nu ai sursele de la executabil. IDA fiind aplicaţie de Win32 va fi nevoie de wine sau vmware pentru a fi rulată .

La capitolul debugers linuxul sta bine. Evident un debugger gen SoftIce ( pentru win32 ) eu nu am văzut pe linux. Dar se poate lucra relativ uşor cu gdb sau xgdb.

Restul de scule ajutătoare pentru analiza unei rime de obicei se fac la fata locului. Adică se programează. Sculele de baza pentru reverse engineering rămân totuşi: un dezasamblor , un debugger si multa multa răbdare .

Va urma.