Jednym z moich pomysłów jest przygotowanie sobie tamagotchi w postaci zawirusowanej maszyny z Windows. Z kilku powodów:
- po uruchomieniu malware dam mu chwilę, a później postaram się znaleźć zmiany w systemie, które wprowadził (taka zabawa),
- mam nadzieję, że trafię na jakieś malware służące do ataków na banki, od dawna chcę je własnoręcznie przeanalizować,
Oczywiście pomysł nie jest mój, temat honeypottów jest stary, a ja z pomysłem zrobienia takowego noszę się już co najmniej od 2002 roku...
Etap I: Zbieranie eksponatów...
Eksponaty (czyli próbki malware) chcę złowić sobie sam. Można to zrobić na kilka sposobów, między innymi:
-
przygotowanie dziurawego systemu i odczekanie chwili, aż coś do niego wejdzie,
-
wykorzystanie low-integration honeypot
i pozwolenie mu na łowy,
Ponieważ jestem leniwy (wróć, mam inne, ważne rzeczy do roboty, pogoda ładna jest...) skorzystałem na razie z tej drugiej opcji. Jako łowcę wybrałem sobie narzędzie Nepenthes, które jest wprost stworzone do tego celu, no i jest w paczkach dla OpenBSD. Aktualnie grzecznie oczekuje one na ataki na portach 135, 139 oraz 445 i do chwili obecnej złowiło mi 9 unikalnych okazów. Pozwolę mu połowić jeszcze trochę czasu...
Etap II: co w nich siedzi...
Co zrobię później? Zobaczę, czego się można spodziewać po tych robakach, w szczególności:
-
sprawdzę je ClamAV,
-
sprawdzę je Malicious Software Removal Tool,
-
sprawdzę je przy pomocy VirusTotal,
-
spróbuje dojść do tego czy są spakowane jakimś PE Packerem, a jeśli tak, to jakim,
-
spróbuję się przyjrzeć stringom osadzonym w binariach (rozpakowanych oczywiście),
-
(...) i inne takie,
A na razie: Nepenthes - happy hunting!
Jeśli po mojej prezentacji na dzisiejszym spotkaniu OWASP kogoś zainteresował temat ogólnie pojętego forensic, być może zainteresują go również starsze wpisy dotyczące tego tematu. Nazbierało się tego trochę, więc małe przypomnienie części z poruszanych t
Przesłany: Jun 10, 20:54