|
|
|
|
Strumenti |
12-02-2009, 09:45 | #101 |
Bannato
Iscritto dal: May 2007
Città: London
Messaggi: 3186
|
Completamente d'accordo con te, intanto vedo di preparare qualche altro test... tipo con qualcosa di più "tossico" come dice il caro nV 25
Non ho ancora controllato ma tra le cose che mi ha mandato ci dovrebbe essere qualcosa d'interessante. Ciao ciao. |
12-02-2009, 09:47 | #102 | |
Senior Member
Iscritto dal: Apr 2008
Messaggi: 2000
|
Quote:
...e fu così che riesumarono il 3d
__________________
"Sei fortunato che non sei un mio studente. Non prenderesti un buon voto per un tale progetto" [Andrew Stuart Tanenbaum a Linus Torvalds nel 1991, sul kernel linux] Linux user number 534122 |
|
12-02-2009, 09:58 | #103 |
Bannato
Iscritto dal: May 2007
Città: London
Messaggi: 3186
|
Certamente cloutz, appena possibile ti invio un MP così ci scambiamo qualcosa.
|
12-02-2009, 12:28 | #104 |
Senior Member
Iscritto dal: Feb 2007
Città: Modena
Messaggi: 4904
|
se avete qualcosa di cattivo, ci sono anch'io
Adesso guardo se ho malware cattivo pure io, ma non credo di avere roba particolarmente scottante. Conficker, trojan "normali", sinowal mebroot...... L'unico "esemplare" bello che ho è un ipotetico Unreal (non sono sicurissimo che sia lui..) |
12-02-2009, 13:26 | #105 | |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Quote:
PS e D+ (v3.5.x.439), di quel lotto di Rootkit che ti avevo spedito, superano tutto... Le famiglie erano varie: MBR, Srizbi, Rustock A/B, Saturn/Nulprot, Haxdoor, 2 Unhookers ( o SSDT Restorer, l'EZ e lo Storm Worm)... D+, cmq, ho avuto modo di testarlo anche con altre "perle" prima del mio switch... PS: al di là dell'entusiasmo che sembra trapelare dalle parole spese poc'anzi a favore di D+, chi ha letto i miei ultimi post sa che in realtà, al di là di un discorso di mera effettività di questa soluzione che è indubbia, non sono proprio tenerissimo con questo software per cui il mio giudizio complessivo è ben lontano dall'entusiastico "pieni voti"... Ultima modifica di nV 25 : 12-02-2009 alle 13:31. |
|
12-02-2009, 13:29 | #106 | |
Senior Member
Iscritto dal: Feb 2007
Città: Modena
Messaggi: 4904
|
Quote:
|
|
12-02-2009, 13:31 | #107 |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
ti mando un pvt...
|
12-02-2009, 16:26 | #108 | ||
Bannato
Iscritto dal: May 2007
Città: London
Messaggi: 3186
|
Quote:
Cmq mi manderesti le altre "perle"? Quote:
Però devi ammettere che dalla prima volta che lo hai provato sono migliorate parecchie cose, tempo al tempo.... tanto sono sicuro che non ti piacerà mai e i motivi li conosciamo. Ciao. |
||
12-02-2009, 16:50 | #109 |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
"prima del mio switch..." era riferito al passaggio da PS @ D+....
Le altre "perle" sono oramai ite...anche se saprei di nuovo dove andare a riprenderle... Unica testimonianza, le loro craniate [] che fanno bella mostra di se in diverse fotarelle qui sul mio Pc... Non le ho mai condivise perchè condividerle avrebbe significato dover spiegare alcune cosette e visto che il tutto non è poi cosi' intuitivo, ho preferito risparmiare energie che, peraltro, erano state ampiamente spese in fase di testing.... Anche se i miei test sono amatoriali, infatti, per far si che la metodologia seguita e la ricerca di eventuali alterazioni al sistema risultasse il più possibile attendibile, sono state consumate diverse energie che hanno visto cadere, come eroici combattenti di una guerra non loro, diversi neuroni dei pochi che avevo attivi... Tutto questo, per la sola soddisfazione di dire "conosco meglio quello che uso"... E' convenuto? Bo... Ultima modifica di nV 25 : 12-02-2009 alle 16:58. |
12-02-2009, 17:08 | #110 |
Senior Member
Iscritto dal: Apr 2008
Messaggi: 2000
|
allora...fatto qualche test, ringrazio profondamente nV 25
premetto che non sono sicuro della veridicità del test, in quanto non sono un esperto e non sono al livello vostro (intendo nV, sirio, ecc) Nome file: winsyst32 Categoria: rustock (?) Configurazione VM (Virtual PC): Win Xp Pro SP2 Account Amministratore SSM Pro Sygate 5.5 Analisi VT: http://www.virustotal.com/it/analisi...fde8c38ad81dee 1.Consento l’avvio del rootkit winsyst32.exe 2.Per prima cosa cerca di terminare explorer 3.mentre facevo lo screen mi è apparso il modulo d’allarme sul caricamento di un nuovo servizio “Win23lzx files loader”..quindi carica un servizio. 4.aggiunto servizio/driver (pe386) e relativa chiave di registro x l’avvio 5.avviso alquanto strano, dato che è presente il soggetto ma non l’oggetto:P… comunque era explorer ad essere terminato (dimostrabile dall’assenza delle icone, scomparse) 6.altra modifica alla stessa chiave di prima… 7.winlogon.exe richiama explorer.exe 8.stessa modifica, sempre alla stessa chiave, con il nuovo servizio…sembra quasi che controlli che la chiave sia inserita correttamente.
__________________
"Sei fortunato che non sei un mio studente. Non prenderesti un buon voto per un tale progetto" [Andrew Stuart Tanenbaum a Linus Torvalds nel 1991, sul kernel linux] Linux user number 534122 |
12-02-2009, 17:10 | #111 |
Bannato
Iscritto dal: May 2007
Città: London
Messaggi: 3186
|
@ nV 25
Per come la vedo io, SI, imo è proprio così che si impara Vabbè, per le perle grazie lo stesso.. penso di sapere dove poterle recuperare. Ultima modifica di @Sirio@ : 12-02-2009 alle 17:12. |
12-02-2009, 17:11 | #112 |
Senior Member
Iscritto dal: Apr 2008
Messaggi: 2000
|
scusate il doppio post, ma avevo superato il numero di immagini
9.attraverso svchost.exe il rootkit prende possesso di explorer.exe 10.altra modifica al registro. 11.caricamento da parte del rootkit del driver lzx32.sys 12.il rootkit (winsyst32.exe) accede a explorer.exe 13.crea una connessione (attraverso explorer.exe) all’ip 208.66.194.158:80, risultante negli USA, Newark 14.tutto rimane normale, finchè non tento di aprire RootRepeal e qui ricevo un avviso: “errore macchina virtuale, la macchina virtuale verrà reimpostata.” Il OS si riavvia, senza riuscire a caricarsi più: BSOD e si ricomincia da capo. N.B.: - Non convinto, ho provato a riprodurre il tutto altre 2 volte con SSM, ma ho ottenuto lo stesso risultato. Alchè ho provato (2 volte) con Malware Defender, che mi ha notificato, in più, l’eliminazione del file eseguibile, che ha dato il via all’infezione: - Non sono, ovviamente, riuscito a fare nessun’altra operazione (intendo comparazione log SysInspector ecc ecc). - Ho provato a bloccare il caricamento del driver lzx32.sys e l’infezione non è andata a buon fine. Quindi negando il caricamento del driver il computer regge. - Non avevo mai studiato un rootkit e la cosa che ho trovato interessante è stato il controllo, dopo ogni azione andata a buon fine, delle voci di registro senza cui non si sarebbe potuto inserire come servizio, e di conseguenza non avrebbe permesso l’esito positivo dell’infezione. Anche la cancellazione dell’eseguibile mi ha lasciato “piacevolmente” sorpreso. Per chi volesse sono riuscito a salvare un log di Malware Defender: Codice:
12/02/2009 17:33:57 c:\windows\explorer.exe Create new process c:\documents and settings\testvm\desktop\rootkits\rootkits\rootkits\rustoks\winsyst32.exe Permitted [App]* Cmd line: "C:\Documents and Settings\testVM\Desktop\rootkits\rootkits\rootkits\Rustoks\winsyst32.exe" 12/02/2009 17:34:14 c:\documents and settings\testvm\desktop\rootkits\rootkits\rootkits\rustoks\winsyst32.exe Create file C:\WINDOWS\system32:lzx32.sys Permitted [File Group]System Executable Files -> [File]c:\windows\*; *.sys 12/02/2009 17:34:23 c:\windows\system32\services.exe Create registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pe386 Permitted [Registry Group]Autostarts Locations -> [Registry]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 12/02/2009 17:34:30 c:\windows\system32\services.exe Set registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pe386\ImagePath Permitted [Registry Group]Autostarts Locations -> [Registry]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; ImagePath Data: \??\C:\WINDOWS\system32:lzx32.sys 12/02/2009 17:34:34 c:\windows\system32\services.exe Load kernel driver c:\windows\system32:lzx32.sys Permitted [App]c:\windows\system32\services.exe 12/02/2009 17:34:38 c:\documents and settings\testvm\desktop\rootkits\rootkits\rootkits\rustoks\winsyst32.exe Access memory of another process c:\windows\explorer.exe Permitted [App]* 12/02/2009 17:34:43 c:\documents and settings\testvm\desktop\rootkits\rootkits\rootkits\rustoks\winsyst32.exe Access memory of another process c:\windows\explorer.exe Permitted [App]* 12/02/2009 17:34:45 c:\documents and settings\testvm\desktop\rootkits\rootkits\rootkits\rustoks\winsyst32.exe Access memory of another process c:\windows\explorer.exe Permitted [App]* 12/02/2009 17:34:48 c:\documents and settings\testvm\desktop\rootkits\rootkits\rootkits\rustoks\winsyst32.exe Access memory of another process c:\windows\explorer.exe Permitted [App]* 12/02/2009 17:34:50 c:\documents and settings\testvm\desktop\rootkits\rootkits\rootkits\rustoks\winsyst32.exe Access memory of another process c:\windows\explorer.exe Permitted [App]* 12/02/2009 17:34:52 c:\documents and settings\testvm\desktop\rootkits\rootkits\rootkits\rustoks\winsyst32.exe Access memory of another process c:\windows\explorer.exe Permitted [App]* 12/02/2009 17:34:53 c:\documents and settings\testvm\desktop\rootkits\rootkits\rootkits\rustoks\winsyst32.exe Access memory of another process c:\windows\explorer.exe Permitted [App]* 12/02/2009 17:35:01 c:\documents and settings\testvm\desktop\rootkits\rootkits\rootkits\rustoks\winsyst32.exe Create thread in another process c:\windows\explorer.exe Permitted [App]* 12/02/2009 17:35:15 c:\windows\system32\services.exe Duplicate handle from another process c:\windows\system32\svchost.exe Permitted [App]c:\windows\system32\services.exe Handle: (File) \Device\HarddiskVolume1\$Extend\$ObjId 12/02/2009 17:35:26 c:\windows\explorer.exe Access network TCP [Local host : 1036] -> [208.66.194.158 : 80 (http)] Permitted [Network]Any protocol [Local host : Any port] <-> [Any address : Any port] 12/02/2009 17:36:51 c:\windows\explorer.exe Delete file C:\Documents and Settings\testVM\Desktop\rootkits\rootkits\rootkits\Rustoks\winsyst32.exe Permitted [File Group]All Executable Files -> [File]*; *.exe
__________________
"Sei fortunato che non sei un mio studente. Non prenderesti un buon voto per un tale progetto" [Andrew Stuart Tanenbaum a Linus Torvalds nel 1991, sul kernel linux] Linux user number 534122 Ultima modifica di cloutz : 12-02-2009 alle 17:27. |
12-02-2009, 17:24 | #113 |
Bannato
Iscritto dal: May 2007
Città: London
Messaggi: 3186
|
Finalmente!!!
Grande cloutz! Complimenti, per me sei stato bravissimo Scusa se mi sono messo in mezzo. Chiedo gentilmente ai mod se si può spostare il mio precedente post in coda. Grazie |
12-02-2009, 17:36 | #114 | |
Senior Member
Iscritto dal: Apr 2008
Messaggi: 2000
|
Quote:
sono felice che apprezziate, almeno lo sforzo...mi scuso per la scarsa "leggibilità", dovuta alle tante immagini...spero che comunque possa essere utile (dato che mi è valso un mal di testa impensabile) più "appunti" fate e meglio è, vuol dire che il prossimo test ci saranno meno errori Saluti
__________________
"Sei fortunato che non sei un mio studente. Non prenderesti un buon voto per un tale progetto" [Andrew Stuart Tanenbaum a Linus Torvalds nel 1991, sul kernel linux] Linux user number 534122 |
|
12-02-2009, 17:46 | #115 |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
io, invece, rimango piacevolmente colpito dal vedere che anche MD riesce ad intercettare la creazione (come ADS..) di lzx32.sys:
Questo è D+ per il solito ADS: Bravo cloutz! |
12-02-2009, 18:01 | #116 |
Senior Member
Iscritto dal: Apr 2008
Messaggi: 2000
|
@ nV:
intanto grazie poi..precisamente, quando ti riferisci all'intercettazione come ADS (della creazione di lzx32.sys) fai riferimento a questo avviso?: Codice:
12/02/2009 17:34:14 c:\documents and settings\testvm\desktop\rootkits\rootkits\rootkits\rustoks\winsyst32.exe Create file C:\WINDOWS\system32:lzx32.sys Permitted [File Group]System Executable Files -> [File]c:\windows\*; *.sys sicuramente intervenire a monte bloccando l'ADS ha i suoi vantaggi
__________________
"Sei fortunato che non sei un mio studente. Non prenderesti un buon voto per un tale progetto" [Andrew Stuart Tanenbaum a Linus Torvalds nel 1991, sul kernel linux] Linux user number 534122 Ultima modifica di cloutz : 12-02-2009 alle 18:04. |
12-02-2009, 18:04 | #117 |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Si, faccio riferimento a quell'avviso.
Corretta anche la 2° interpretazione... EDIT: quello che noto, cmq, specie alla luce di quelle che sono gli screen che postate, è che a voi piace vedere anche IL DOPO (cosa succede cioè ad infezione in essere, e infatti in questo senso mostri i tentativi di winsyst di scrivere nello spazio di memoria di explorer...), mentre a me interessa fondamentalmente IL PRIMA, e cioè controllare se esiste o - la prevenzione e a che profondità arriva prima che il malware si attivi... Se di ogni sample, infatti, mi fossi dovuto mettere li' a vedere cosa succedeva ad infezione in corso, probabilmente ci svernavo... 2 approcci diversi anche se entrambi interessanti... Ultima modifica di nV 25 : 12-02-2009 alle 18:22. |
12-02-2009, 18:20 | #118 |
Bannato
Iscritto dal: Apr 2005
Messaggi: 136
|
Mi aggiungo anch'io a chi di ha fatto i complimenti.
Bravo cloutz. Ps. ho ricevuto il tuo sample diversi giorni fa, ma mi sono sempre dimenticato di ringraziarti per @mail. Grazie ancora. |
12-02-2009, 18:38 | #119 |
Bannato
Iscritto dal: Nov 2008
Messaggi: 446
|
complimentoni clou!!!
certo che deve essere snervante fare gli screen x ogni avviso: lo facevo anni fa, ma la cosa mi rompeva alquanto ora sono passato direttamente ai video complimenti ancora ciao |
12-02-2009, 18:57 | #120 | |
Senior Member
Iscritto dal: Apr 2008
Messaggi: 2000
|
Quote:
ma è un'altra storia, e soprattutto è molto più difficile/lungo...se avessi le conoscenze x farlo sarei felicissimo diciamo che mi accontento di vedere quali sono i punti su cui l'infezione agisce...anche per sapere cosa rinforzare nelle mie difese..sta pur certo che vedrò di fare qualcosa per gli ADS, è impossibile che solo MD e il D+ li intercettino... @erreale: grazie per i complimenti... di nulla per il sample @Bazz89: Grazie anke a te! in linea generale sarebbe più comodo il video, effettivamente...però è anche vero che così è più facile chiarire ogni popup..inserire osservazioni, commenti, specificazioni... anche perchè il tutto si svolge in una ventina di secondi..risulterebbe poco chiaro, soprattutto se s'intende fare un'analsi (+ o meno) scrupolosa...
__________________
"Sei fortunato che non sei un mio studente. Non prenderesti un buon voto per un tale progetto" [Andrew Stuart Tanenbaum a Linus Torvalds nel 1991, sul kernel linux] Linux user number 534122 |
|
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 03:12.