«

»

Apr 08 2012

Σαρκοβόρο για τα malware, στη διάθεσή σας!

Στο άρθρο που αρχίζει από τη σελίδα 40 του τεύχους παρουσιάσαμε το Dionaea, ένα εξαιρετικά αποτελεσματικό malware honeypot για Linux. Η εγκατάσταση και ρύθμισή του δεν είναι ακριβώς ό,τι θα χαρακτηρίζαμε «παιχνιδάκι» (Σ.τ.Ε. ούτε κομμάτι από κέικ). Το θέμα είναι ότι για το Dionaea και τις εξαρτήσεις του δεν υπάρχουν έτοιμα πακέτα, ενώ σ’ ορισμένες περιπτώσεις το honeypot απαιτεί πολύ συγκεκριμένες εκδόσεις βιβλιοθηκών για να λειτουργήσει σωστά. Δείξαμε, μολαταύτα, αναλυτικά και βήμα προς βήμα την εγκατάσταση, τη ρύθμιση και την ενεργοποίηση του εκπληκτικού αυτού malware. Νομίζουμε ότι είναι ώρα να το δούμε και σε δράση.

deltaHacker Απριλίου (τεύχος 007) | Σαρκοβόρο για τα malware, στη διάθεσή σας!

Στο δικό μας σύστημα, οι πρώτες επιθέσεις από malware άρχισαν να εμφανίζονται μέσα σε λίγα λεπτά. Ας δούμε κάποιους τρόπους παρακολούθησης της κίνησης στο honeypot. Ένα πρώτο τρικ είναι η παρακολούθηση των αρχείων καταγραφής του Dionaea — ή ακόμα και του ίδιου του p0f. Για το σκοπό αυτό, μπορούμε να χρησιμοποιήσουμε το προγραμματάκι tail με την παράμετρο –f:

root@dionaea:~# tail -f /var/log/p0f.log

Με την παραπάνω γραμμή παρακολουθούμε σε πραγματικό χρόνο όσα καταγράφει το p0f. Τελικά, δεν αργήσαμε πολύ να κατεβάσουμε το πρώτο μας malware! Όπως είπαμε, όλα τα αρχεία αποθηκεύονται στον κατάλογο /opt/dionaea/var/dionaea/binaries. Τα περισσότερα από τα αρχεία που συλλέξαμε ήταν εκτελέσιμα σε περιβάλλον Windows. Το Dionaea αποστέλλει κάθε τέτοιο αρχείο σε online υπηρεσίες για malware analysis, όπως αναφέραμε και νωρίτερα. Έτσι, σε σύντομο χρονικό διάστημα, πήραμε ένα σχετικό email από το Norman Sandbox:

[ DetectionInfo ]
    * Filename: C:\analyzer\scan\64a8a34f7fcec9943132c58a89321257.
    * Sandbox name: NO_MALWARE
    * Signature name: W32/Conficker.EJ.
    * Compressed: NO.
    * TLS hooks: NO.
    * Executable type: Library(DLL).
    * Executable file structure: OK.
    * Filetype: PE_I386.
 [ General information ]
    * File length: 168480 bytes.
    * MD5 hash: 64a8a34f7fcec9943132c58a89321257.
    * SHA1 hash: f90e039a28dc045a5e41b86379e894d23f4df7a6.
    * Entry-point detection: Microsoft Visual C++ 6.0 DLL.

Το πρώτο μας malware, λοιπόν, αφορά σ’ ένα variant του γνωστού worm Conficker. Το συγκεκριμένο worm θα σας απασχολήσει αρκετά. Αν αφήσετε το honeypot online για μερικές μέρες, θα παρατηρήσετε ότι το Conficker θα κάνει μεγάλο χαμό, παρά τις επίπονες προσπάθειες μεγάλων εταιρειών να σταματήσουν την εξάπλωση του. Μιλάμε για ένα worm το οποίο έχει υπό τον έλεγχό του χιλιάδες (αν όχι εκατομμύρια) μηχανήματα!

Διαβάστε όλο το άρθρο στο deltaHacker Απριλίου (τεύχος 007). Όλες τις πληροφορίες για τις συνδρομές στο deltaHacker, το μοναδικό μηνιαίο περιοδικό με θεματολογία ethical hacking και security που δεν κυκλοφορεί στα περίπτερα και απευθύνεται σε όλους, θα τις βρείτε εδώ ακριβώς. Για παραγγελίες μεμονωμένων τευχών ή συνδρομών συμπληρώστε τη σχετική φόρμα.

Σημείωση: Οι συνδρομές μπορούν να ξεκινούν από όποιο τεύχος επιθυμείτε, αρκεί να υπάρχει σε stock.

1 comment

  1. shahrooz

    Dear Sir

    Thanks a million for your helps.

    I faced a wired problem, My Dionaea is working correctly over VPS now and it’s collecting the attack information in the log files, and Sandboxes are informing me about binary attacks, but my logsql.sqlite file is almost empty, some important tables such as “Connection” table is completely empty, but “dcerpcserviceops” table have some data.

    Have you faced a problem like this, or do you have any experience about this issue.

    Regards,
    Shahrooz

Leave a Reply

More in Honeypots, Malware
Παγίδες για τα malware του κόσμου όλου!
Ωραίο SSH honeypot, αλλά για το σπιτάκι!
Γλυκές παγίδες!
New version of Kippo-Graph: 0.7.1
NOTACON 8: Funnypots and Skiddy Baiting
Close