Esiste la possibilità di determinare l'exploit utilizzato dal binario compilato?

1

Ho un file binario che usa qualche exploit (credo, è stato generato con metasploit), ma non riesco a determinare l'esatto exploit che usa.

L'elenco di smontaggio di esso contiene un sacco di operatori "mov" e la sezione .data contiene molte stringhe come:

"!!\"#$$%&''()**+,--./0112344567789::;<==>?@@ABCCDEFFGHIIJKLLMNOOPQRRSTUUVWXXYZ[[\]^^_'abbcdeefghhijkklmnnopqqrsttuvwwxyzz{|}}~"

Eilcodiceassemblatoreècompostodamolti"mov" s

C'è un modo per definire quale exploit utilizza questo binario malevolo?

    
posta AseN 23.09.2016 - 22:27
fonte

2 risposte

2

Basato su ulteriore discussione con l'OP, la risposta a questa domanda è che non ci sono informazioni sufficienti per determinare l'exploit in cui è stato utilizzato questo payload.

La soluzione migliore sarebbe quella di visualizzare in modo forense la macchina su cui è stata utilizzata (se disponibile) ed eseguire un'analisi completa del dispositivo, compresa la generazione di linee temporali che dovrebbero essere riviste per le correlazioni riguardanti l'aspetto del file binario.

I metodi secondari includono la scansione del sistema su cui sono state utilizzate le vulnerabilità e il tentativo di identificare quali exploit potrebbero avere stati utilizzati su questo sistema. Restringendolo da lì. Molto meno affidabile del precedente.

    
risposta data 23.09.2016 - 23:50
fonte
0

Sì, c'è, ma devi fornirci le informazioni necessarie per farlo. Puoi disassemblarlo e analizzarlo su IDA?

Cerca qualsiasi comportamento, nomi, stringhe, qualsiasi cosa che possa darti un suggerimento, se pensi che sia basato su un modulo Metasploit, prova a capire come funziona collegando e gestendo la comunicazione socket. Successivamente è possibile analizzare i moduli di Metasploit e determinare in quale exploit si basa questo.

Un altro suggerimento, prova a cercare l'hash del file (md5, sha1) su google. Ci dispiace, ma è tutto ciò che posso dire sulla base delle informazioni fornite.

    
risposta data 23.09.2016 - 22:41
fonte

Leggi altre domande sui tag