Zalve lista! Gli honeypot kippo che ho piazzato un po' in giro iniziano a dare i
loro frutti! Oggi ho fatto la conoscenza di rootkit chiamato Opyum Team!
Come funziona:
Compromette un sistema in ssh con un attacco a dizionario sull'account root.
Wgetta da un server dei file con estensione .jpg che altro non sono che dei tar
con uno scanner ssh,e qualche script per cercare di non farsi cancellare cosi'
facilmente.Inoltre aggiunge un cron e manda una mail grezzissima a root O_o,ma
sopratutto aggiunge un utente con uid 0 al sistema.
Cercando l'md5 dei file scaricati sull'honeypot ho trovato questo [0] e qui [1]
trovate un'analisi piu' dettagliata (anche se qui lo sha1 non coincide).
La cosa carina da fare imho e scrivere un programmino che,partendo dalla
macchina che ha attaccato l'honeypot, proceda a ritroso negli ssh dei server
compromessi rimuovendo il rootkit. Pero' ovviamente non si fara' visto che per
la legge italiana mi sa che e' illegale :).
Qui [2] trovate l'archivio cifrato con i files,i dump in esadecimale e assembly
e la lista di password. Il file e' cifrato con mcrypt per evitare che quelli che
ci hostino scannando con rkhunter pensino siamo infetti o peggio :). La pass e':
Ci0t0malware!
Se qualcuno se la sente di reversare e commentare il dump e' il benvenuto (non
e' cazzo il mio) :) . Io molto piu' grezzamente pensavo di mettere su una vm
mercoledi' e di infettarla per analizzare cosa accade (sia a livello di dump di
rete che di modifiche al filesystem). Quindi se il malware vi eccita con strane
perversioni possiamo fare una seduta di masturbazione collettiva mercoledi'
in p2 ;)
[0]
http://forums.malwarebytes.org/index.php?showtopic=117656
[1]
https://www.linuxquestions.org/questions/linux-security-4/server-hacked-by-opyum-874288/
[2]
http://flow.ciotoni.net/malware.tar.nc
.%0A>%20%0A>%20La%20cosa%20carina%20da%20fare%20imho%20e%20scrivere%20un%20programmino%20che,partendo%20dalla%0A>%20macchina%20che%20ha%20attaccato%20l'honeypot,%20proceda%20a%20ritroso%20negli%20ssh%20dei%20server%0A>%20compromessi%20rimuovendo%20il%20rootkit.%20Pero'%20ovviamente%20non%20si%20fara'%20visto%20che%20per%0A>%20la%20legge%20italiana%20mi%20sa%20che%20e'%20illegale%20:).%0A>%20%0A>%20Qui%20%5B2%5D%20trovate%20l'archivio%20cifrato%20con%20i%20files,i%20dump%20in%20esadecimale%20e%20assembly%0A>%20e%20la%20lista%20di%20password.%20Il%20file%20e'%20cifrato%20con%20mcrypt%20per%20evitare%20che%20quelli%20che%0A>%20ci%20hostino%20scannando%20con%20rkhunter%20pensino%20siamo%20infetti%20o%20peggio%20:).%20La%20pass%20e':%0A>%20%0A>%20Ci0t0malware!%0A>%20%0A>%20Se%20qualcuno%20se%20la%20sente%20di%20reversare%20e%20commentare%20il%20dump%20e'%20il%20benvenuto%20(non%0A>%20e'%20cazzo%20il%20mio)%20:)%20.%20Io%20molto%20piu'%20grezzamente%20pensavo%20di%20mettere%20su%20una%20vm%0A>%20mercoledi'%20e%20di%20infettarla%20per%20analizzare%20cosa%20accade%20(sia%20a%20livello%20di%20dump%20di%0A>%20rete%20che%20di%20modifiche%20al%20filesystem).%20Quindi%20se%20il%20malware%20vi%20eccita%20con%20strane%0A>%20perversioni%20possiamo%20fare%20una%20seduta%20di%20masturbazione%20collettiva%20mercoledi'%0A>%20in%20p2%20;)%0A>%20%0A>%20%0A>%20%5B0%5Dhttp://forums.malwarebytes.org/index.php?showtopic=117656%0A>%20%5B1%5Dhttps://www.linuxquestions.org/questions/linux-security-4/server-hacked-by-opyum-874288/%0A>%20%5B2%5D%20http://flow.ciotoni.net/malware.tar.nc%0A>%20 "Reply to this message")
