2010年10月24日 星期日

請問有人在收集惡意程式的嗎

作者: kkc0828 (慢跑後衛) 看板: AntiVirus
標題: Re: [問題] 請問有人在收集惡意程式的嗎
時間: Sat Jan  2 23:58:10 2010


※ 引述《openkakamind (愛上雨天)》之銘言:
: 工作是要爭對某個類型的惡意程式做分析
: 可是因為是有指定類型的惡意程式 所以不好找
: 試過了幾種方式在網路上搜尋
: 不過大部分提到相關資訊都是如何移除
: 沒看到有註明中這些惡意程式的來源 更沒有sample
: 目前沒有好的方向
: 不知道有沒有人有好的idea 或是有收集的
: 可以幫忙協助一下嗎
: 謝謝你

哇哈哈哈哈哈,看來這種白痴事情一直都有人想要做阿...

我只能就幾年前的經歷稍稍分享一下囉~

1. 類型

你說的是spyware或是adware,表示都是被動型的惡意程式,

那 honeypot/honeylan對你來說就沒有用了。只能找苦主努力去點廣告...


2. 工讀生的工作

我頭一次看到有這麼有趣的工作,就是找個工讀生,努力想讓IE被綁架 XD

一開始蠻容易的,反正就是 "違背常理" ,越是危險的連結,點下去就是了!!

關鍵字 "free download movie mp3 crack cheat sex " blah~~~
當年 "罐C淫照" 蠻好用的,現在的話要找流行話題囉~

大概一兩天就有收穫。

3. 界定

有了幾個樣本之後,才知道麻煩出來了。


第一個麻煩,往往都是點了一堆網站才知道中毒,但是常常搞不清楚到底是哪個網站有毒!!

所以這時候 vmware/ghost就出動了。反正就是不停的 try-error ...


第二個麻煩,就是要很明確的界定惡意程式的行為、入侵方式(which exploit?)、惡意行為...

所以這時候 honeypot/sandbox/XXXX 就會被翻出來 ... 然後開始去追整個執行流程。

根據經驗法則,大部分的惡意網站都是"不專業"的人寫出來的。可以想像,國外的小鬼頭想要散布

廣告程式,於是把一堆可能成功的攻擊方式塞在一起,效率不是重點,能夠中毒就好。只是這樣要追

很辛苦。


第三個麻煩,惡意網站常常改!!

有時候昨天的惡意網站,今天點他變得完全正常!!! 愈哭無淚阿~~~我的sample飛了!!

接下來每次都會小心翼翼備份疑似惡意網站 ...

如果碰上 pro 的網站,會去分析瀏覽者行為,發現你在砍,馬上把你導到 404 ... Q_Q


4. 樣本

如果你懶得/不需要去抓real case,其實是可以嚐嚐所謂的病毒包。

只要不是摧毀型的病毒,多半都有廣告/遙控的功能。

例如說碰上幾個還active的 bot,呼~那就好玩了。

有空可以去玩玩看 transparent proxy, ircbot真有趣阿~~~



就這樣囉,加油~~~

要有效的把電腦搞掛也是種藝術。


--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 114.44.5.23
→ miamodo:Honeynet..                                              01/03 00:50
推 guteres:其實有時候source code還蠻好找的                         01/03 01:24

沒有留言:

張貼留言

您好.本資料庫並非第一手資料.如果你有對文章作者的詢問,意見與需求,請自行找尋文章作者並提供意見,謝謝.