Tamagotchi I: łowienie zwierzyny
Jednym z moich pomysłów jest przygotowanie sobie tamagotchi w postaci zawirusowanej maszyny z Windows. Z kilku powodów:
- po uruchomieniu malware dam mu chwilę, a później postaram się znaleźć zmiany w systemie, które wprowadził (taka zabawa),
- mam nadzieję, że trafię na jakieś malware służące do ataków na banki, od dawna chcę je własnoręcznie przeanalizować,
Oczywiście pomysł nie jest mój, temat honeypottów jest stary, a ja z pomysłem zrobienia takowego noszę się już co najmniej od 2002 roku...
Etap I: Zbieranie eksponatów...
Eksponaty (czyli próbki malware) chcę złowić sobie sam. Można to zrobić na kilka sposobów, między innymi:
- przygotowanie dziurawego systemu i odczekanie chwili, aż coś do niego wejdzie,
- wykorzystanie low-integration honeypot i pozwolenie mu na łowy,
Ponieważ jestem leniwy (wróć, mam inne, ważne rzeczy do roboty, pogoda ładna jest...) skorzystałem na razie z tej drugiej opcji. Jako łowcę wybrałem sobie narzędzie Nepenthes, które jest wprost stworzone do tego celu, no i jest w paczkach dla OpenBSD. Aktualnie grzecznie oczekuje one na ataki na portach 135, 139 oraz 445 i do chwili obecnej złowiło mi 9 unikalnych okazów. Pozwolę mu połowić jeszcze trochę czasu...
Etap II: co w nich siedzi...
Co zrobię później? Zobaczę, czego się można spodziewać po tych robakach, w szczególności:
- sprawdzę je ClamAV,
- sprawdzę je Malicious Software Removal Tool,
- sprawdzę je przy pomocy VirusTotal,
- spróbuje dojść do tego czy są spakowane jakimś PE Packerem, a jeśli tak, to jakim,
- spróbuję się przyjrzeć stringom osadzonym w binariach (rozpakowanych oczywiście),
- (...) i inne takie,
A na razie: Nepenthes – happy hunting!
Oryginał tego wpisu dostępny jest pod adresem Tamagotchi I: łowienie zwierzyny
Autor: Paweł Goleń