Tengo un archivo binario que utiliza algún exploit (supongo que se generó con metasploit), pero no puedo determinar el exploit exacto que utiliza.
El listado de desmontaje contiene muchos operadores "mov", y la sección .data contiene muchas cadenas como:
"" |}} ~ "
Yelcódigodelensambladorconsisteenunmontónde"mov" s
¿Hay alguna forma de definir qué explotar utiliza este binario malicioso?
Basado en discusión adicional con el OP, la respuesta a esta pregunta es que no hay suficiente información para determinar la explotación en la que se utilizó esta carga útil.
La mejor opción sería crear una imagen forense de la máquina en la que se utilizó (si está disponible) y realizar un análisis completo del dispositivo, incluida la generación de líneas de tiempo, que deben revisarse para determinar las correlaciones relacionadas con la apariencia del binario.
Los métodos secundarios incluyen escanear el sistema en el que se usó en busca de vulnerabilidades y tratar de identificar qué exploits podrían haber sido utilizados en este sistema. Estrechándola desde allí. Mucho menos confiable que el anterior.
Sí, lo hay, pero debe proporcionarnos la información necesaria para hacerlo. ¿Puedes desmontarlo y analizarlo en IDA?
Busque cualquier comportamiento común, nombres, cadenas, cualquier cosa que pueda darle una pista, si cree que se basa en un módulo Metasploit, intente comprender cómo funciona mediante la conexión y el manejo de la comunicación por socket. Después de eso, puede analizar los módulos de Metasploit y determinar en qué explotar se basa este.
Otra sugerencia, intente buscar el hash de archivo (md5, sha1) en google. Lo siento, pero es todo lo que puedo decir según la información proporcionada.
Lea otras preguntas en las etiquetas malware exploit binary-code cve