¿Es este un intento de explotación y cómo puedo analizarlo?

Navega tus respuestas
2

Editado: no importa el MinGW o .bash_history, puedo ver que es poco probable. Sin embargo, no es tan improbable que alguien me ataque y que esos bytes terminen en el archivo .bash_history usado por accidente. ¿Hay algo legítimo que se vería así? Lo único que podría pensar aparte de un trineo NOP con canarios serían partes de una imagen, pero el fragmento no se parece en nada a un editor de imágenes. También parece poco probable que alguien pinte una imagen con un gris # 909090

Hago programación pero nada relacionado con la seguridad, y no ejecuto ningún servidor en mi computadora. Estoy pensando que la .bash_history podría haber sido corrompida por el sistema cuando tuve que hacer un CHKDSK / F hace unos días. Pero el solo hecho de haber tenido esos bytes con aspecto de explotación en cualquier parte de mi computadora me pone nervioso.

Uso MinGW para compilar cosas de Unixy en Windows y para tener disponibles los comandos de shell de Unixy. A menudo grep .bash_history para recordar qué parámetros para varios comandos que he usado anteriormente. (No preguntes por qué no uso las funciones bash integradas para esto, solo un hábito)

Recientemente encontré en mi ~ / .bash_history una larga serie de bytes binarios que consiste principalmente en 0x90 - NOP. En esto hay ejecuciones más cortas de otros bytes binarios que se ensamblan en instrucciones mayormente válidas.

Una ejecución recurrente es 82 20 f8 7d 2c 61 0a de 90 90 90 [luego 90 ... repetida]

El desensamblador en línea dice 

82      (bad)
20f8    and al,bh
7d2c    jge $+2c
61      (bad)
0ade    or bl,dh
90      nop
90      nop
90      nop
90      nop
90      nop
90...   nop... repeated

¿Podría ser esto parte de un ataque de saturación de búfer, con el sled NOP? No sé mucho acerca de este tipo de cosas, y no puedo ver cómo estas instrucciones particulares podrían hacer nada o cómo serían ejecutadas. Pero tampoco puedo ver cómo terminaron en mi .bash_history o qué otra cosa produciría datos como este. Tengo razones para creer que solo una parte de los datos fueron "capturados" por .bash_history, por lo que podría haberse omitido un código malicioso más obvio y solo quedaba el potencial sled NOP.

Se repiten una y otra vez con ~ 850 NOP en el medio.

¿Qué piensan ustedes? Si este no es el foro adecuado, ¿tiene alguna sugerencia sobre dónde debería estar publicando?

    
pregunta Jonathan J. Bloggs 14.05.2016 - 16:42
fuente

1 respuesta

1

Los NOP son solo relleno. Su mejor apuesta es realizar un análisis de archivos o un análisis de comportamiento (a qué llama, qué archivos carga, etc.) del binario, si usted es al que se refiere. Puede buscar las sumas de comprobación de md5 / sha1 en sitios como Virustotal, ThreatConnect, ThreatCrowd, etc. Como mencionó que está compilando en Windows, supongo que los NOP solo se usan como relleno para funcionar en Windows. Nuevamente, para estar seguro, cárguelo a Anubis, Virustotal antes de que pierda el tiempo, si se ha visto algo extremo (el código abierto se traduce en potencialmente miles de descargas) alguien ha subido el archivo por extraño.

    
respondido por el munkeyoto 14.05.2016 - 17:18
fuente

Lea otras preguntas en las etiquetas

Cómo verificar si un número de teléfono es una cuenta de SMS en línea en lugar de una tarjeta SIM genuina Actividad sospechosa en la red: ¿mi sistema está comprometido?