web-dev-qa-db-ja.com

コンパイルされたバイナリによって使用されるエクスプロイトを判別する機能はありますか?

いくつかのエクスプロイトを使用するバイナリファイルがありますが(おそらく、metasploitで生成されたものです)、使用するエクスプロイトを正確に特定することはできません。

その逆アセンブリリストには多くの「mov」演算子が含まれており、.dataセクションには次のような多くの文字列が含まれています。

"!! \"#$$%& ''()** +、-。/ 0112344567789 ::; <==>?@@ ABCCDEFFGHIIJKLLMNOOPQRRSTUUVWXXYZ [[\] ^^ _ʻabbcdeefghhijkklmnnopqqrsttuvwwxyzz {|}}〜 "

enter image description here

そして、アセンブラコードはたくさんの「mov」で構成されています

enter image description here

この悪意のあるバイナリが使用するエクスプロイトを定義する方法はありますか?

1
AseN

OPとの さらなる議論 に基づくと、この質問に対する答えは、このペイロードが使用されたエクスプロイトを判別するのに十分な情報がないということです。

最善の策は、使用されたマシンを法的に画像化し(利用可能な場合)、バイナリの外観に関する相関関係を確認する必要があるタイムラインの生成を含む、デバイスの完全な分析を実行することです。

二次的な方法には、脆弱性がないか使用されたシステムをスキャンし、このシステムで使用された可能性のあるエクスプロイトを特定することが含まれます。そこから絞り込みます。 前者よりもはるかに信頼性が低い。

2
HashHazard

はい、ありますが、それを行うために必要な情報を提供する必要があります。 IDAで分解して分析できますか?

一般的な動作、名前、文字列など、ヒントを与えるものを探します。Metasploitモジュールに基づいていると思われる場合は、ソケット通信を接続して処理する方法によって、その動作を理解してください。その後、Metasploitのモジュールを分析し、これがどのエクスプロイトに基づいているかを判断できます。

別のヒントとして、Googleでファイルハッシュ(md5、sha1)を検索してみてください。申し訳ありませんが、与えられた情報に基づいて言えることはそれだけです。

0
OPSXCQ