Ciao ED, ti riporto la mia personale esperienza per quanto riguarda l'analisi di nuovi tool. Premetto che sono uno sviluppatore di un tool VA per web app (pingami off-list se ti interessa :P) e mi capita spesso di analizare altri tool.
In caso di tool open-source direi che il primo step e' sicuramente l'analisi del codice. In seguito testo il tool in una VM verso un target per capire che richieste vengono effettuate. Immagino che quest ultimo test possa interessarti maggiormente, in quanto e' facile vedere se fa collegamenti esterni. Posso dirti per esperienza (come lavoro analizzando malware) che in caso di comportamenti malevoli le richieste verso il C&C vengono fatte nei primi 15/20 minuti a partire dall'esecuzione (ovviamente ci possono essere delle eccezioni). Purtroppo in caso di tool con backdoor la questione si complica in quanto (in teoria) dovrebbero "solo" rimanere in attesa di connessioni. Non mi viene nulla in mente se non analisi del codice/binario. Durante l'analisi non c'e' bisogno che ti spippoli tutto il codice, spesso basta identificare alcune funzioni/variabili chiave, ad esempio in caso di tool PHP (come quello riportato nell'articolo), il primo step e' fare grep per stringhe come eval/assert/system/$_GET/$_POST/base64_decode/... e da li vedere cosa fanno. Attenzione che alcune backdoor potrebbero essere un po' piu' subdole (vedi [1]). Spero di esserti stato un minimo di aiuto (o per lo meno di non averti confuso maggiormente le idee :P). Ciao, Antonio [1] http://antonioparata.blogspot.it/2017/05/hiding-php-webshell-in-effective-way.html 2017-09-15 8:44 GMT+02:00 ED <[email protected]>: > Un articolo di ieri relativo all'ennesima shell PHP con annessa backdoor > [1], ha rafforzato i miei timori sull'uso di tool poco conosciuti durante i > test di sicurezza verso ambienti di produzione. > > Lavoro in un ambiente "enterprise", in cui mi limito ad usare tool > commerciali di grosse case o open source rinomati (Nmap, Nikto ecc). Salvo > rare eccezioni, i tool poco conosciuti che vanno oltre la mia capacita' di > analisi (es. script ExploitDB con blob binari, framework PowerShell che > nascono e muoiono come meteore) sono esclusi, specialmente se necessitano > di privilegi local elevati o di credenziali sull'obiettivo. Non avendo io > tempo e competenze per scrivere exploit, cio' naturalmente limita di molto > i risultati. > > Come fate voi? Qual'e' il confine fra un tool sicuro ed uno pericoloso? > Dipende dall'obiettivo? Che precauzioni prendete quando eseguite tool > nuovi? Sono mai state formalizzate best practice a riguardo? > > Saluti > ED > > > [1] https://isc.sans.edu/forums/diary/Another+webshell+another+ > backdoor/22826/ > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List > >
