Cómo un malware ejecuta la carga útil remota

6

Supongamos que se instaló un malware (en una plataforma basada en UNIX) con algunos trucos de ingeniería social. El código original instalado puede ser benigno, pero la única actividad maliciosa es que el malware se conecta a un servidor C & C y recupera algo de carga útil maliciosa adicional. Luego, el malware intenta ejecutar la carga maliciosa recuperada.

Lo que no está del todo claro es cómo se ejecuta esa carga maliciosa? ¿Se debe escribir en un archivo y luego se debe realizar una llamada a execve? ¿Hay otras posibilidades?

    
pregunta hsnm 01.10.2012 - 16:08
fuente

2 respuestas

4

Hay muchas formas de ejecutar el código descargado:

  • Escriba un archivo y luego ejecútelo a medida que anota
  • La carga útil puede escribirse en un idioma para el que el cargador es un intérprete.
  • El cargador podría ejecutar un shell u otro ejecutable de scripts (python, ruby) y canalizar la carga útil como un script.
  • El cargador podría mmap de la memoria ejecutable, cargar la carga útil en él, asignar un puntero a función y llamarlo.

Estoy seguro de que hay más enfoques, pero sospecho que abarca las categorías principales (escribir y ejecutar, interpretarlo, dárselo a otra persona para que lo interprete o ejecutarlo directamente). Puede haber algunas formas de engañar al sistema para que ejecute un ejecutable ELF que no esté escrito en el sistema de archivos (tal vez a través de una canalización con nombre), pero no se me ocurre nada inmediatamente.

EDITAR: consulte fexecve () . Esto debería permitirte crear un pipe, fork y luego fexecve para leer el ejecutable del pipe padre sin escribir un archivo.

    
respondido por el Rob Napier 01.10.2012 - 17:06
fuente

Lea otras preguntas en las etiquetas