Antonio parata ha scritto:
[...] per esperienza (come lavoro analizzando malware) che in caso di comportamenti malevoli le richieste verso il C&C vengono fatte nei primi 15/20 minuti a partire dall'esecuzione (ovviamente ci possono essere delle eccezioni). [...]
Eventuali backdoor potrebbero anche attivarsi in base a fattori specifici (IP del server privato/pubblico, disponibilità di collegamento Internet, ora del giorno, o anche casualmente es. una esecuzione ogni 10). Sono paranoico?
identificare alcune funzioni/variabili chiave, ad esempio in caso di tool PHP (come quello riportato nell'articolo), il primo step e' fare grep per stringhe come eval/assert/system/$_GET/$_POST/base64_decode/... [...]
Quanto ci impieghi a fare simili analisi? Le chiamate pericolose restano molte (sistema, filesystem, posta, db...). Occorre risalire a tutte le variabili/funzioni usate compreso il codice JavaScript che potrebbe inviare la backdoor dal client. In un programma python occorrerebbe revisionare tutto. Non si finisce piu'.
Ti ringrazio per la condivisione. Nel tuo caso mi sembra abbia senso, ma spero che mi venga suggerita una soluzione piu' adatta alle mie esigenze (alto rischio) ed alle mie capacita/risorse limitate.
ciao ED ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
