Accidentalmente ho trovato il codice sorgente di alcuni malware, cosa fare?

Naviga le tue risposte
42

Ho accidentalmente, l'altro giorno, sono andato in un sito poco raccomandabile, e oggi ho scoperto che nella mia cache c'era un file di testo. E dopo aver letto il contenuto del file, ho dedotto che è il codice sorgente di alcuni malware potenzialmente nuovi che sfruttano una vulnerabilità in un programma di sicurezza.

Ora voglio inviarlo al mio fornitore di antivirus, tuttavia, devo semplicemente inviarlo come un file di testo (dato che dovrebbero compilarlo per ottenere una firma virale e non so come automatizzato il processo è), o dovrei inserirlo nel mio IDE, costruirlo e quindi inviare la versione costruita a loro, o come dovrei inviarlo a loro? Nel modo più sicuro e responsabile che sia.

    
posta 03.09.2015 - 17:36
fonte

5 risposte

32

should I stick it in my IDE, build it and then send the built version to them

Questa non è una buona opzione. A meno che non ci sia qualche motivo per credere che l'autore di malware e un ambiente di sviluppo in comune che il rivenditore AV non possa accedere ragionevolmente, il rivenditore AV può farlo da sé e lo farà se pensa che sarebbe di aiuto. È molto probabile che possano fare un lavoro migliore nel considerare la domanda, "che aspetto potrebbe avere il malware rilasciato e come possiamo rilevare l'intera varietà di malware che probabilmente vedremo nell'attacco di questa falla?" di quanto tu possa, perché è esattamente nella loro linea di lavoro.

Considera: che nelle tue mani, dal momento che non sei malizioso, questo diventa una prova del codice di exploit del concetto. Potrebbe essere stato destinato a essere malware, e tu non hai scoperto il difetto da solo, ma lasciando da parte i dettagli di credito e priorità, sei sostanzialmente nella stessa posizione riguardo alla divulgazione come faresti in se hai scoperto il difetto tu stesso e hai scritto questo codice per dimostrarlo sfruttabile.

Almeno dovresti:

  • Cerca brevi sezioni riconoscibili del codice online per assicurarti che questo specifico codice sorgente non sia già stato pubblicato. So che hai dedotto il contrario, ma non riesco a scuotere la fastidiosa sensazione che forse questo è prova del codice di exploit di concetto e non di malware.

  • Passare attraverso il processo di divulgazione dei difetti del fornitore del "programma di sicurezza" che questo codice sfrutta. Se non hanno un processo, e-mail o altrimenti contattarli e chiedere. Fai tutto ciò che puoi in questo processo per esprimere la tua conclusione che un exploit funzionante per il difetto è già in circolazione.

  • Se non si ottiene una risposta soddisfacente, rivolgersi a uno o più fornitori di AV. Scopri in che modo il fornitore scelto preferisce ricevere richieste di malware o utilizzare un elenco esistente di dettagli di contatto . Dato che questo è un caso un po 'insolito, in quanto hai la fonte di presentare piuttosto che un semplice binario malevolo, ti consiglio di appoggiarti a tutto ciò che sembra che ci possa essere un essere umano dall'altra parte.

  • Non concentrarti solo sull'AV che usi: se riesci a persuadere un qualsiasi (principale) fornitore AV a riconoscere il problema, ne seguiranno altri, compreso il tuo. I fornitori di AV più grandi sono anche in una posizione migliore per convincere il fornitore del software difettoso a fare qualcosa al riguardo che, senza offesa per te, qualche persona a caso. Se è possibile identificare dalla copertura della stampa qualsiasi ricercatore di sicurezza che abbia precedentemente rilevato difetti nello stesso software o software dello stesso fornitore, includerli nell'elenco delle persone da contattare. Hanno già affrontato il processo di divulgazione che non ti ha soddisfatto.

  • Se ciò non ottiene ancora una risposta soddisfacente, allora come ultima risorsa assoluta, invia una versione binaria compilata [*] del malware sospetto come sopra, e spera che la loro routine per i binari inviati faccia un lavoro migliore di loro fatto con la fonte.

[*] lo hai già compilato, quindi la nave ha navigato su qualsiasi problema che potesse sfruttare il tuo del compilatore e come codice per sfruttare questo programma di sicurezza. Se è per questo, potrebbe sfruttare il tuo editor di testo, e tu lo hai già visto. potrebbe sfruttare lo stack di rete e l'hai già scaricato. Tale è la vita.

    
risposta data 04.09.2015 - 04:21
fonte
67

Ho paura che il tuo file binario compilato differisca molto dal malware reale che può essere trovato in natura. Diversi compilatori e flag a riga di comando produrranno binari completamente diversi e il binario del malware potrebbe essere ulteriormente ottimizzato / offuscato utilizzando strumenti aggiuntivi o anche manualmente.

Presentare il tuo binario compilato rischia di essere controproducente e farà perdere tempo a tutti. Invece, se non puoi inviare direttamente il file del codice sorgente (perché il loro modulo si aspetta un binario, ecc.), Prova a metterti in contatto con un essere umano e a dare loro la fonte.

    
risposta data 03.09.2015 - 19:45
fonte
14

La soluzione più comune per gestire i file malware è comprimerli (ad esempio in un file zip). Tuttavia, dal momento che molti strumenti AV ora guardano all'interno degli archivi, potrebbe essere necessario bloccare i tentativi di ispezione automatica: la soluzione più semplice è semplicemente inserire una password nel file zip (che crittografa il contenuto).

Di norma, la password viene distribuita accanto al campione di malware, dal momento che stai cercando di impedire che venga aperta dalle macchine, ma non dagli umani. Spesso la password sarà una sorta di testo di avviso, come "malware" o "questo è un virus" o qualcosa del genere, in modo da rendere assolutamente chiaro a tutti gli esseri umani che il contenuto potrebbe essere dannoso.

    
risposta data 03.09.2015 - 19:07
fonte
0

Non so quale sia il fornitore AV a cui vuoi inviarlo (in realtà, non sono sicuro del motivo per cui vorrai limitare l'invio a un singolo fornitore AV)

Quello che devi fare è contattare il rivenditore AV. Avranno alcune e-mail / mailing list / forum / chat ... disponibili. Spiega che hai un codice sorgente dannoso e vuoi inviarlo a loro. Il tuo problema è di portare il file a un essere umano (presumendo che nessuno prenderà mai nemmeno in considerazione i binari non eseguibili a loro inviati, il che sembra un errore da parte loro), o, a volte, al dipartimento giusto, che quindi assicurati che arrivi alla persona giusta.

Nota che il codice sorgente che hai trovato non è malevolo, i loro analisti sono troppo occupati per elaborare il tuo campione (ma assicurati che lo manterranno archiviato nel caso in cui è utile in futuro), o la compagnia AV potrebbe anche non preoccuparsi (non hanno alcun obbligo di esaminare i tuoi contributi, dopotutto).

    
risposta data 04.09.2015 - 01:06
fonte
0

Se si utilizza Avast AntiVirus, dopo aver aperto l'interfaccia utente, dovrebbero esserci delle informazioni di contatto da qualche parte. Farà anche un add-on e-mail. Basta copiare e incollare e inviarlo via. In un modo o nell'altro un impiegato lo invierà dove deve andare.
Ora per una misura di sicurezza, nel caso in cui il malware abbia fatto qualcosa "Dietro le quinte" è una buona idea eseguire una scansione all'avvio. (Un'opzione disponibile nella maggior parte degli AV).

    
risposta data 08.09.2015 - 06:40
fonte

Leggi altre domande sui tag

Sicurezza della chiave privata protetta da passphrase Qualcuno ha hackerato il mio router e ha cambiato il mio SSID wifi