Το προφίλ μας στο Google Plus
4

Σαρκοβόρο για τα malware, στη διάθεσή σας!

Στο άρθρο που αρχίζει από τη σελίδα 40 του τεύχους παρουσιάσαμε το Dionaea, ένα εξαιρετικά αποτελεσματικό malware honeypot για Linux. Η εγκατάσταση και ρύθμισή του δεν είναι ακριβώς ό,τι θα χαρακτηρίζαμε “παιχνιδάκι” (Σ.τ.Ε. ούτε κομμάτι από κέικ). Το θέμα είναι ότι για το Dionaea και τις εξαρτήσεις του δεν υπάρχουν έτοιμα πακέτα, ενώ σ’ ορισμένες περιπτώσεις το honeypot απαιτεί πολύ συγκεκριμένες εκδόσεις βιβλιοθηκών για να λειτουργήσει σωστά. Δείξαμε, μολαταύτα, αναλυτικά και βήμα προς βήμα την εγκατάσταση, τη ρύθμιση και την ενεργοποίηση του εκπληκτικού αυτού malware. Νομίζουμε ότι είναι ώρα να το δούμε και σε δράση.

deltaHacker Απριλίου (τεύχος 007) | Σαρκοβόρο για τα malware, στη διάθεσή σας!

Στο δικό μας σύστημα, οι πρώτες επιθέσεις από malware άρχισαν να εμφανίζονται μέσα σε λίγα λεπτά. Ας δούμε κάποιους τρόπους παρακολούθησης της κίνησης στο honeypot. Ένα πρώτο τρικ είναι η παρακολούθηση των αρχείων καταγραφής του Dionaea — ή ακόμα και του ίδιου του p0f. Για το σκοπό αυτό, μπορούμε να χρησιμοποιήσουμε το προγραμματάκι tail με την παράμετρο –f:

<br />
root@dionaea:~# tail -f /var/log/p0f.log<br />

Με την παραπάνω γραμμή παρακολουθούμε σε πραγματικό χρόνο όσα καταγράφει το p0f. Τελικά, δεν αργήσαμε πολύ να κατεβάσουμε το πρώτο μας malware! Όπως είπαμε, όλα τα αρχεία αποθηκεύονται στον κατάλογο /opt/dionaea/var/dionaea/binaries. Τα περισσότερα από τα αρχεία που συλλέξαμε ήταν εκτελέσιμα σε περιβάλλον Windows. Το Dionaea αποστέλλει κάθε τέτοιο αρχείο σε online υπηρεσίες για malware analysis, όπως αναφέραμε και νωρίτερα. Έτσι, σε σύντομο χρονικό διάστημα, πήραμε ένα σχετικό email από το Norman Sandbox:

<br />
[ DetectionInfo ]<br />
    * Filename: C:\analyzer\scan\64a8a34f7fcec9943132c58a89321257.<br />
    * Sandbox name: NO_MALWARE<br />
    * Signature name: W32/Conficker.EJ.<br />
    * Compressed: NO.<br />
    * TLS hooks: NO.<br />
    * Executable type: Library(DLL).<br />
    * Executable file structure: OK.<br />
    * Filetype: PE_I386.<br />
 [ General information ]<br />
    * File length: 168480 bytes.<br />
    * MD5 hash: 64a8a34f7fcec9943132c58a89321257.<br />
    * SHA1 hash: f90e039a28dc045a5e41b86379e894d23f4df7a6.<br />
    * Entry-point detection: Microsoft Visual C++ 6.0 DLL.<br />

Το πρώτο μας malware, λοιπόν, αφορά σ’ ένα variant του γνωστού worm Conficker. Το συγκεκριμένο worm θα σας απασχολήσει αρκετά. Αν αφήσετε το honeypot online για μερικές μέρες, θα παρατηρήσετε ότι το Conficker θα κάνει μεγάλο χαμό, παρά τις επίπονες προσπάθειες μεγάλων εταιρειών να σταματήσουν την εξάπλωση του. Μιλάμε για ένα worm το οποίο έχει υπό τον έλεγχό του χιλιάδες (αν όχι εκατομμύρια) μηχανήματα!

Διαβάστε όλο το άρθρο στο deltaHacker Απριλίου (τεύχος 007). Όλες τις πληροφορίες για τις συνδρομές στο deltaHacker, το μοναδικό μηνιαίο περιοδικό με θεματολογία ethical hacking και security που δεν κυκλοφορεί στα περίπτερα και απευθύνεται σε όλους, θα τις βρείτε εδώ ακριβώς. Για παραγγελίες μεμονωμένων τευχών ή συνδρομών συμπληρώστε τη σχετική φόρμα.

Σημείωση: Οι συνδρομές μπορούν να ξεκινούν από όποιο τεύχος επιθυμείτε, αρκεί να υπάρχει σε stock.

4 Responses to “Σαρκοβόρο για τα malware, στη διάθεσή σας!”

  1. electrovesta | 04/05/2012 at 23:04

    Εγκατέστησα το Dionaea αλλά αντιμετωπίζω ένα πρόβλημα: Παρ’ όλο που οι συνδέσεις από εξωτερικούς υπολογιστές γίνονται μαζικά, το Dionaea δεν κατεβάζει κανένα εκτελέσιμο. Στον πίνακα connections υπάρχουν περίπου 7.000 εγγραφές σύμφωνα με το phpLiteAdmin, στον πίνακα downloads όμως δεν υπάρχει τίποτα, ενώ ο φάκελος /opt/dionaea/var/dionaea/binaries είναι κενός. Έκανα τίποτα λάθος;

    • Ion | 05/05/2012 at 14:42

      Καλησπέρα, σε τι διανομή το έχεις στήσει;

      Το Dionaea χρησιμοποιεί το curl για να κατεβάζει τα αρχεία. Υποπτεύομαι ότι η δική μου διανομή που έχει μερικά extra από τον provider το είχε ήδη…

      Δες το αποτέλεσμα του:

      dpkg -l | grep curl

      Αν δεν δεις στη λίστα το πακέτο “libcurl3” εγκατέστησε το με

      apt-get install libcurl3

      Λογικά θα πρέπει να ξανακάνεις configure (η μεγάλη εντολή στο άρθρο που είναι σπασμένη σε μερικές σειρές με backslashes) και compile το Dionaea.

      Επίσης, μη ξεχνάς ότι στο αρχείο /var/dionaea/var/log/dionaea-errors.log αναφέρονται τα διάφορα σφάλματα που συναντάει το πρόγραμμα. Μόνο που είναι δύσκολο να βγάλεις άκρη μερικές φορές.

      • electrovesta | 06/05/2012 at 17:09

        Απ’ ότι φαίνεται, δεν υπάρχει κανένα πρόβλημα και τα malware κατεβαίνουν κανονικά, απλώς είναι πολύ λίγα. Κάποιος Θεσσαλονικιός κάνει επιθέσεις και δίνει την εντολή να κατέβει ένα αρχείο μέσω FTP, όταν όμως το Dionaea προσπαθεί να το κατεβάσει, τρώει πόρτα (ίσως να μην έχει γίνει port-forwarding στο router του επιτιθέμενου). Έχοντας ανοιχτό το Dionaea για 1 ημέρα (σχεδόν) έλαβα 2 malware, το ένα εκ των οποίων χρησιμοποιούσε μη κρυπτογραφημένη σύνδεση IRC για να “επικοινωνήσει” με τον malware master, σύμφωνα με την αναφορά του Anubis. Αξίζει και μία αναφορά στα αποτελέσματα του VirusTotal: Ενώ 41/42 antivirus εντόπισαν τον κίνδυνο στην πρώτη επίθεση, στη δεύτερη μόνο 9 κατάφεραν να αντιληφθούν την απειλή.

        • Ion | 07/05/2012 at 20:23

          Πολύ ωραία! Συνέχισε να μαζεύεις τα αποτελέσματα της λειτουργίας του Dionaea… Και ενημέρωσε μας για οτιδήποτε ενδιαφέρον :)

Leave a Reply

You must be logged in to post a comment.

Σύνδεση

Αρχείο δημοσιεύσεων