ルートキットを分析するには?
もう1人の友人が、悪用されたサーバー(php cgi Exploit)で見つけたルートキット/コードを私に送信しました。
今、それを見てみようと思っていましたが、これらを分析するための基本的な手順はあるのでしょうか。
ネットワークに接続されていないサンドボックスを使用するなどの明らかなことについては話していません。しかし、ステップバイステップの徹底的な分析を行う方法と、これが通常どのように文書化されるかについては、さらに詳しく説明します。
私が実行する CTFチャレンジ の一環として、昨年、リバースエンジニアリングの課題がありました。私は分析を実行する方法に関するアドバイスを投稿しました(これを毎日行う人々によって検証されました)。ブログ投稿は here です。リンクは、IDAとOllyDbgのチュートリアルを指します。これらは、そのような分析に最も人気のあるツールの2つであり、AVベンダーの1つからの素晴らしい論文があります。メモリから、チュートリアルは段階的に行われました。
http://www.securitytube.net/ には、いくつかのルートキット分析ビデオもあります。
まず、php/cgiベースのプログラムはルートキットではない可能性があります。ルートキットは通常、マルウェアだけでなく、カーネルに潜むマルウェアに関連付けられています。
それがルートキットであると確信している場合は、2つの選択肢があります。
- オフライン分析-電源がオフになっているシステムのイメージを指定して、変更されたファイルを分析できます。同様に、他のマルウェアを分析するのと同じ方法でバイナリを分析できます。
- オンライン分析-これは、ルートキットが自分自身、または彼らが隠すマルウェアに対して防止しようとするものです。ただし、多くの場合、分析を実行できます。
通常のマルウェアとは異なり、ルートキットのバイナリインストルメンテーションまたはデバッグは、カーネルの他の部分と同じセキュリティレベルで実行されており、デバッガをカーネルにアタッチする必要があるため、はるかに困難です。たとえば、 [〜#〜] kgdb [〜#〜] を使用することを選択できます。
オフライン分析は他のマルウェアのリバースエンジニアリングによく似ていますが、コードがカーネルなどに関連しているという事実を念頭に置いてください。物事はさらに複雑になる可能性があります。このため、IDAはすでに言及されています。これはそのようなことのための標準的な業界ツールです。
そのため、プロセスは通常のマルウェアとそれほど変わりません。