VoIP and Hacking

Ho già parlato altre volte di honeypots, e di come questi ultimi si differenzino tra loro per grado di interattività, ed altre caratteristiche.
Questa volta voglio menzionare un particolare software (open source) che è possibile definire come un honeypot ad alto grado di interazione, dedicato tuttavia esclusivamente alla cattura del malware collezionabile durante la navigazione web.

Il tool, non a caso battezzato Malzilla, e sviluppato dal serbo Boban “Bobby” Spasić inizialmente per uso privato, ha ottenuto recentemente una certa notorietà dopo essere stato citato nei reports di Kaspersky come strumento utilizzato nell’ analisi di alcuni recenti esempi di malware.
Sostanzialmente possiede la capacità di caricare una webpage con impostazione dinamica dello User Agent, del referrer e l’utilizzo di proxies.
Inoltre dispone di vari decoders per tentare di deoffuscare il codice javascript.

Gli sviluppatori di malware usano vari metodi per propagare il proprio codice tramite pagine web e varie tecniche per non farlo individuare dai vari Firewalls / Antivirus.
Tipicamente le pagine web che ospitano exploits usano una serie di redirezioni e l’offuscamento del codice per rendere difficoltosa l’analisi.
Malzilla è un programma, basato sul JavaScript engine SpiderMonkey di Firefox, molto utile per l’esplorazione di pagine maliziose, contenenti scripts offuscati. Tali scripts sono concepiti per sfruttare vulnerabilità presenti nel browser e nelle estensioni associate.

Durante lo scaricamento di contenuto web, Malzilla non ne effettua la visualizzazione dal momento che non è un browser.
Visualizza comunque il completo sorgente delle pagine web e tutti gli headers HTTP.

È possibile effettuare il download di MalZilla da sourceforge.

Dal momento che Malzilla opera su Windows, che costituisce tipicamente la piattaforma target per gli scripts in questione, va ragionevolmente installato su di un sistema isolato, da connettere in rete temporaneamente e ripulire drasticamente una volta terminata l’analisi.
Un’ottima alternativa consiste nell’utilizzare un software di virtualizzazione, come VMware o Virtual PC, con l’accortezza di ricorrere sempre alla versione più aggiornata.

Per il resto, Malzilla è estremamente facile da installare. Basta scaricare il relativo archivio ZIP e scompattarlo in un folder di propria scelta.

Una volta lanciata l’ applicazione e specificata una url da analizzare, i relativi codice sorgente ed header http verranno visualizzati nella interfaccia. La pagina web può essere vista in modalità testo, modalità hexdump, cookie mode e utilizzando un analizzatore dei links presenti. Un singolo o più scripts possono venire sottoposti ad uno script decoder.

Sono presenti un mucchio di interessanti funzionalità, ed es. decoders per vari tipi di codifica utilizzati nelle pagine web, un de-offuscatore per JavaScript, le informazioni sugli Headers HTTP, un analizzatore di Shellcode, un parser di link, opzioni per modificare le impostazioni dello User-Agent ecc.

Per concludere, il tool costituisce uno strumento eccellente per apprendere le caratteristiche tecniche di propagazione del malware Web-based, senza dover utilizzare un browser.
Occorre avere ben chiaro comunque che Malzilla è di ausilio solo durante la fase iniziale dell’ analisi, quella riguardante il vettore iniziale dell’infezione. Non è cioè un tool runtime destinato all’ analisi di un eseguibile compilato.

Send post as PDF to