¿Cómo analizar un rootkit?

13

El otro amigo mío me envió un rootkit / código que encontró en un servidor que fue explotado (php cgi exploit).

Ahora estaba pensando en echarle un vistazo, pero me preguntaba si hay algunos pasos básicos a seguir para analizar estas cosas.

No estoy hablando de cosas obvias, como usar una caja de arena que no está conectada a la red. Pero más sobre cómo realizar un análisis detallado paso a paso y cómo se documenta normalmente.

    
pregunta Lucas Kauffman 30.06.2012 - 18:21
fuente

2 respuestas

10

Como parte de un desafío CTF que ejecuté, tuvimos algunos problemas de ingeniería inversa el año pasado. Publiqué algunos consejos sobre cómo realizar el análisis (verificado por personas que lo hacen a diario). La publicación del blog es aquí . Los enlaces apuntan a tutoriales para IDA y OllyDbg, dos de las herramientas más populares para tal análisis y hay un buen artículo de uno de los proveedores de AV. Desde la memoria los tutoriales fueron paso a paso.

También hay algunos videos de análisis de rootkit en enlace .

    
respondido por el Mark Hillick 30.06.2012 - 21:35
fuente
4

En primer lugar, un programa basado en php / cgi podría no ser un rootkit: los rootkits generalmente se asocian con un malware que se oculta en un kernel, no solo en un malwares.

Si está seguro de que es un rootkit, tiene dos opciones:

  • Análisis sin conexión: dada una imagen del sistema apagado, puede analizar qué archivos ha cambiado. Del mismo modo, puede analizar los binarios de la misma manera que analiza otros programas maliciosos.
  • Análisis en línea: esto es lo que los rootkits intentan evitar en sí mismos o en los malwares que esconden; sin embargo, a menudo puedes realizar algún análisis.

A diferencia de los malwares normales, la instrumentación binaria o la depuración de rootkits es mucho más difícil, ya que se ejecutan en el mismo nivel de seguridad que el resto del kernel y tiene que adjuntar un depurador al kernel. Puede elegir utilizar KGDB , por ejemplo.

El análisis fuera de línea es muy parecido a la ingeniería inversa de otros malwares, pero teniendo en cuenta el hecho de que los códigos son relativos al kernel, etc. Las cosas pueden ser mucho más complejas. Para esto, la AIF ya ha sido mencionada. Esta es una herramienta estándar de la industria para tales cosas.

En realidad, el proceso no es tan diferente de un malwares normal.

    
respondido por el user10979 01.07.2012 - 18:15
fuente

Lea otras preguntas en las etiquetas