E 'un tentativo di exploit e in che modo lo analizzo?

1

Modificato: non importa il MinGW o .bash_history, posso vedere che è improbabile. Qualcuno che attacca me e quei byte che finiscono nel file di uso frequente .bash_history per caso non è improbabile comunque. C'è qualcosa di legittimo che sembrerebbe questo? L'unica cosa che potrei pensare a parte una slitta NOP con canarini sarebbe parti di un'immagine, ma il frammento non assomiglia a nulla in un editor di immagini. Sembra anche improbabile che qualcuno dipinga un'immagine con un grigio in particolare # 909090

Faccio programmazione ma nulla di relativo alla sicurezza e non eseguo nessun server sul mio computer. Sto pensando che .bash_history potrebbe essere stato corrotto dal sistema quando ho dovuto fare un CHKDSK / F qualche giorno fa. Ma il semplice fatto di avere quei byte dall'aspetto exploit ovunque sul mio computer mi rende nervoso.

Io uso MinGW per compilare roba unixy sotto Windows e avere a disposizione comandi di shell unixy. Spesso grep .bash_history per ricordare quali parametri per i vari comandi che ho usato in precedenza. (Non chiedere perché non uso le funzioni di bash incorporate per questo, solo un'abitudine)

Recentemente ho trovato nel mio ~ / .bash_history una lunga serie di byte binari che consiste principalmente di 0x90 - NOP. In questo sono più brevi esecuzioni di altri byte binari che si assemblano in istruzioni per lo più valide.

Una corsa ricorrente è 82 20 f8 7d 2c 61 0a de 90 90 90 [poi 90 ... ripetuto]

Online Disassembler dice

82      (bad)
20f8    and al,bh
7d2c    jge $+2c
61      (bad)
0ade    or bl,dh
90      nop
90      nop
90      nop
90      nop
90      nop
90...   nop... repeated

Potrebbe essere parte di un attacco di sovraccarico del buffer, con la slitta NOP? Non so molto su questo tipo di cose, e non possiamo vedere come queste istruzioni particolari potrebbero fare qualcosa o come sarebbero state eseguite. Ma non riesco nemmeno a vedere come sono finiti nel mio .bash_history o cos'altro potrebbe produrre dati come questo. Ho motivo di credere che solo una parte dei dati sia stata "catturata" da .bash_history, quindi un codice malevolo più ovvio potrebbe essere stato escluso e solo la potenziale slitta NOP è rimasta.

Sono ripetuti più e più volte con ~ 850 NOPs nel mezzo.

Che cosa ne pensate voi ragazzi? Se questo non è il forum giusto, hai qualche suggerimento su dove dovrei postare?

    
posta Jonathan J. Bloggs 14.05.2016 - 16:42
fonte

1 risposta

1

Gli NOP sono solo di riempimento. La soluzione migliore è eseguire un'analisi dei file o un'analisi comportamentale (come si chiama, quali file carica, ecc.) Del file binario se si è che interessati. Puoi cercare i checksum md5 / sha1 su siti come Virustotal, ThreatConnect, ThreatCrowd, ecc. Visto che hai accennato alla compilazione in Windows, suppongo che i NOP siano usati come padding per funzionare sotto Windows. Ancora una volta, per essere sicuri, caricarlo su Anubis, Virustotal prima che si perda tempo, se qualcosa di estremo è stato visto (l'open source si traduce in potenzialmente migliaia di download) qualcuno ha caricato il file per stranezza

    
risposta data 14.05.2016 - 17:18
fonte

Leggi altre domande sui tag