Come analizzare un rootkit?

13

L'altro un mio amico mi ha mandato un rootkit / codice che ha trovato su un server che è stato sfruttato (php cgi exploit).

Ora stavo pensando di dargli un'occhiata, ma mi stavo chiedendo se ci sono alcuni passi fondamentali da seguire per analizzare queste cose?

Non sto parlando delle cose ovvie come l'uso di una sandbox che non è collegata alla rete. Ma più come si fa un'analisi approfondita passo dopo passo e come questo è normalmente documentato.

    
posta Lucas Kauffman 30.06.2012 - 18:21
fonte

2 risposte

10

Come parte di una sfida CTF che gestisco, abbiamo avuto alcune sfide di reverse engineering lo scorso anno. Ho pubblicato alcuni consigli su come eseguire l'analisi (verificato da persone che fanno questo su base giornaliera). Il blogpost è qui . I collegamenti puntano a tutorial per IDA e OllyDbg, due degli strumenti più popolari per tale analisi e c'è un bel documento da uno dei venditori di AV. Dalla memoria le esercitazioni sono state passo dopo passo.

Sono disponibili anche alcuni video di analisi dei rootkit sul link .

    
risposta data 30.06.2012 - 21:35
fonte
4

In primo luogo, un programma basato su php / cgi potrebbe non essere un rootkit - i rootkit sono solitamente associati a malware che si nasconde in un kernel, non solo un malware.

Se sei sicuro che si tratta di un rootkit, hai due possibilità:

  • Analisi offline: data l'immagine del sistema spento, puoi analizzare quali file è stato modificato. Allo stesso modo, puoi analizzare i binari nello stesso modo in cui analizzi altri malware.
  • Analisi online - questo è ciò che i rootkit cercano di prevenire su se stessi o sul malware che nascondono; tuttavia, spesso è possibile eseguire alcune analisi.

A differenza dei normali malware, la strumentazione binaria o il debug dei rootkit è molto più difficile dato che sono in esecuzione nello stesso livello di sicurezza del resto del kernel e devi collegare un debugger al kernel. Ad esempio, potresti scegliere di utilizzare KGDB .

L'analisi offline è molto simile ad altri software di reverse engineering, ma con una mente sul fatto che i codici sono relativi al kernel, ecc. Le cose possono essere molte più complesse. Per questo, l'IDA è già stato menzionato. Questo è uno strumento di settore standard per queste cose.

Quindi il processo non è poi così diverso da un normale malware.

    
risposta data 01.07.2012 - 18:15
fonte

Leggi altre domande sui tag