Στο άρθρο που αρχίζει από τη σελίδα 40 του τεύχους παρουσιάσαμε το Dionaea, ένα εξαιρετικά αποτελεσματικό malware honeypot για Linux. Η εγκατάσταση και ρύθμισή του δεν είναι ακριβώς ό,τι θα χαρακτηρίζαμε «παιχνιδάκι» (Σ.τ.Ε. ούτε κομμάτι από κέικ). Το θέμα είναι ότι για το Dionaea και τις εξαρτήσεις του δεν υπάρχουν έτοιμα πακέτα, ενώ σ’ ορισμένες περιπτώσεις το honeypot απαιτεί πολύ συγκεκριμένες εκδόσεις βιβλιοθηκών για να λειτουργήσει σωστά. Δείξαμε, μολαταύτα, αναλυτικά και βήμα προς βήμα την εγκατάσταση, τη ρύθμιση και την ενεργοποίηση του εκπληκτικού αυτού malware. Νομίζουμε ότι είναι ώρα να το δούμε και σε δράση.
Στο δικό μας σύστημα, οι πρώτες επιθέσεις από malware άρχισαν να εμφανίζονται μέσα σε λίγα λεπτά. Ας δούμε κάποιους τρόπους παρακολούθησης της κίνησης στο honeypot. Ένα πρώτο τρικ είναι η παρακολούθηση των αρχείων καταγραφής του Dionaea — ή ακόμα και του ίδιου του p0f. Για το σκοπό αυτό, μπορούμε να χρησιμοποιήσουμε το προγραμματάκι tail με την παράμετρο –f:
root@dionaea:~# tail -f /var/log/p0f.log |
Με την παραπάνω γραμμή παρακολουθούμε σε πραγματικό χρόνο όσα καταγράφει το p0f. Τελικά, δεν αργήσαμε πολύ να κατεβάσουμε το πρώτο μας malware! Όπως είπαμε, όλα τα αρχεία αποθηκεύονται στον κατάλογο /opt/dionaea/var/dionaea/binaries. Τα περισσότερα από τα αρχεία που συλλέξαμε ήταν εκτελέσιμα σε περιβάλλον Windows. Το Dionaea αποστέλλει κάθε τέτοιο αρχείο σε online υπηρεσίες για malware analysis, όπως αναφέραμε και νωρίτερα. Έτσι, σε σύντομο χρονικό διάστημα, πήραμε ένα σχετικό email από το Norman Sandbox:
[ DetectionInfo ] * Filename: C:\analyzer\scan\64a8a34f7fcec9943132c58a89321257. * Sandbox name: NO_MALWARE * Signature name: W32/Conficker.EJ. * Compressed: NO. * TLS hooks: NO. * Executable type: Library(DLL). * Executable file structure: OK. * Filetype: PE_I386. [ General information ] * File length: 168480 bytes. * MD5 hash: 64a8a34f7fcec9943132c58a89321257. * SHA1 hash: f90e039a28dc045a5e41b86379e894d23f4df7a6. * Entry-point detection: Microsoft Visual C++ 6.0 DLL. |
Το πρώτο μας malware, λοιπόν, αφορά σ’ ένα variant του γνωστού worm Conficker. Το συγκεκριμένο worm θα σας απασχολήσει αρκετά. Αν αφήσετε το honeypot online για μερικές μέρες, θα παρατηρήσετε ότι το Conficker θα κάνει μεγάλο χαμό, παρά τις επίπονες προσπάθειες μεγάλων εταιρειών να σταματήσουν την εξάπλωση του. Μιλάμε για ένα worm το οποίο έχει υπό τον έλεγχό του χιλιάδες (αν όχι εκατομμύρια) μηχανήματα!
Διαβάστε όλο το άρθρο στο deltaHacker Απριλίου (τεύχος 007). Όλες τις πληροφορίες για τις συνδρομές στο deltaHacker, το μοναδικό μηνιαίο περιοδικό με θεματολογία ethical hacking και security που δεν κυκλοφορεί στα περίπτερα και απευθύνεται σε όλους, θα τις βρείτε εδώ ακριβώς. Για παραγγελίες μεμονωμένων τευχών ή συνδρομών συμπληρώστε τη σχετική φόρμα.
Σημείωση: Οι συνδρομές μπορούν να ξεκινούν από όποιο τεύχος επιθυμείτε, αρκεί να υπάρχει σε stock.