Re: Max Vision si becca 18 mesi

On Wed, 30 May 2001 19:29:59 +0200 vecna <vecna@s0ftpj.org> wrote:
risaluto tutti dopo una grande assenza dalla lista :)
scusate x l'email lunga.
<desculpa>
l'email è mooolto lamer, l'ho fatta da bimbo, pedonatemi, ma ci sono legato sentimetalmente
</desculpa>

effettivamente rimbalzare su i soliti host assurdi, filippine (che tra l'altro c'è la guerra), congo , tuvalù e isole sparse è il solito metodo, magari non è certo al cento per cento, ma in effetti, ponendo che il worm abbioa un tempo limite dopo il quale si autodistrugge, e considerando che prima che diventi unfenomeno mondiale o comunque di interesse pubblico deve passare del tempo le tracce dovrebbero essere molto poche.

> punto di forza  di un worm potrebbe essere >l'aggiornamento,
>ovvero poter scaricarsi nuovi exploit e continuare a >bucare

Sull'ultimo phrack c'è un interesante articolo (area 52)
su di un software automatizzato di penetrazione, dove si pone lo st4esso problema, cioè l'autoaggiornamento del db degli exploit.
Scopiazzando quello che si dice li si potrebbe appoggiarsi al modello CVE o anche alla classificazione di bugtraq, tipo di vulnerabilità, id numerica del bug etc.


> basterebbe sniffare gli upload che uno fa sul proprio >sito e cambiare
>tutti i .exe con il trojan stesso, o bastarebbe >individuare dei file .exe
>tra le dir di apache e copiarli, con qualche sistemi di 
>replicazione/polimorfismo si potrebbe anche decentemente >occultarsi magari
>ai primi antivirus,...

Penso che non sia fondamentale appoggiarsi solo a server NT e da li a macchine UNIX.
Il worm trarrebbe sicuramente vantaggioda un server, ma la replicazione/diffusione via vbs+rubrica di outlook potrebbe essere considerata un passaggio utile, una sorta di fase larvale del parassita, prima di fare la crisalide in un server NT/2000 e della metamorfosi/attacco a UNIX.
Certo rimarrebeb il problema che non so quanto sia solvibile di collegare tutti i linguaggi utili allo scopo, anche se mi pare di ricordare che in I_LOVE_YOU fosse presente js, vbs e mirc scripting.

Cmq dopo aver visto le procedure batch+asm sul sito di master degli spippolatori non mi stupisco più di niente.

Un problema che forse non è stato sottolineato è però quello di implementare un controllo della macchina su cui si trova il worm, e ancor più di quella che deve attaccare.
Implementare fingerprintig mi pare assurdo, d'altronde un semplice grab dei banner telnet/smtp/etc.. può essere sufficiente, in fondo non c'è necessità di bucare _qualsiasi_ macchina al mondo.


~ p.s. come tutti immaginano il sottoscritto non ha alcuna intenzione
~ di creare un worm, ne buono, ne cattivo, ma e' giusto per speculare.
>la stessa cosa vale x me, si tratta in fin dei conti di >considerazioni
>fattibili in un qualunque periodo di noia quotidiana.

Sono due le cose che mki piacciono di più.
La seconda è fare speculazioni futili.



Sign up for your FREE E-MAIL account @ Dynamitemail:
http://www.dynamitemail.com

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List