-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 On Thu, 25 Sep 2008 19:41:07 +0200 Audric Leperdi <[EMAIL PROTECTED]> wrote: >Magari prova prima a scompattare il binario con upx... (io non ho >provato, ma a giudicare dalle stringhe che il binario ha dentro, >sembra che sia stato packerato da upx). > >buon divertimento sherlock holmes!
3a e spero ultima parte: Dopo aver cercato un po' in giro alcune delle stringhe che compaiono nel file, (non l'ho reversato) ho concluso che si tratta di qualcosa sulla falsariga del *vecchio* kaiten[1], un drone IRC creato per effettuare DDOS: il suo meccanismo e' analizzato qui[2] e qui[3]. Infatti nonostante sia datato e' citato anche negli ultimi mesi su diverse board [4] forse perche' giudicato ancora efficente. Questo potrebbe essere stato modificato aggiungendo l'exploit apposito per i D-link, molto probabile in quanto sempre su quelle board giravano tali varianti chiamate Hydra (la prima pare sia opera di un tale esaltato[5]) che ricorda il noto login scanner/cracker. Nel caso in questione e' possibile che i due tool vengono usati separatamente, il cosiddetto 'hydra' per raccogliere un po' di vittime da attaccare e il kaiten modificato per eseguire DDOS o altro comodamente via IRC. A questo punto i dati che ho raccolto mettendo una honeypot in ascolto sulla porta 23 tcp qui da me, potrebbero essere inutili ma se qualcuno vuol darmi un parere, gliene saro' grato, ecco cosa ho loggato stanotte[6]. Alla fine la storia e' vecchia[7] e poco se ne e' parlato sui media mainstream, quasi nessuno ha patchato e aggiornato i firmware (anche se si diceva che un gruppo italiano stesse facendo hacktivismo e sistemava i router :D); ci sono modello e versione firmware di un piccolo campione[8] dei router sotto attacco. In conclusione rimane da fare la segnalazione al provider che ospita i server IRC, httpd, e gli altri.. E se anche la Telecom si aggiornasse non sarebbe male Mi piacerebbe che qualcuno che legge la lista, meglio qualche agente (cosi' mi risparmia l'email) lo facesse in modo da fermare chi fa questo gioco. grazie per la lettura, h. [1] http://packetstormsecurity.org/irc/kaiten.c [2] http://www.ufsdump.org/papers/uuasc-november-ddos.html [3] http://handlers.dshield.org/pbueno/Steve_malware6.pdf [4] http://unkn0wn.eu http://r00t-y0u.org [5] Dal README " Hydra - Mass DDOS Tool (scanner/exploiter/attacker) Copyright (C) 2008 esaltato, <[EMAIL PROTECTED]> DESCRIPTION: ------------ Hydra is a mass-tool commanded by irc that allows scanners and exploited dlink router for make BOTNET (rx-bot style), in addition to this, with void you can attack with tcp/udp flood. " [6] http://paste2.org/p/79207 [7] http://bit.ly/32cBQg [8] http://paste2.org/p/79213 -----BEGIN PGP SIGNATURE----- Charset: UTF8 Note: This signature can be verified at https://www.hushtools.com/verify Version: Hush 3.0 wpwEAQMCAAYFAkjd4zMACgkQxcpfdCBapkd1+AP/XiOOKm1Br/Mvs0mNLFyllsQ72Ffc DZdJeRLP4r8sM4JEdpkERGr6pvWcx2g62eR6QL8SF8xMenuE6KZoz+q1OlygzFoxJG9G JTGzwrO1OydwQWt674Va05Kp7lGcJaYWONGeMR2LXp+6FvU2j9Cdf9MpJoqKMGfREEMO isI5Dds= =v8DQ -----END PGP SIGNATURE----- -- Hotel pics, info and virtual tours. Click here to book a hotel online. http://tagline.hushmail.com/fc/Ioyw6h4eRClBt7ezfhXOH0s7Wvh0fT5hU6PEjLzlefkBAewR1dBdMh/
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
