Re: [Hackmeeting] [_TO* hacklab] di trojan di stato

Delete this message

Reply to this message
Author: Nex
Date:  
To: hackmeeting
Subject: Re: [Hackmeeting] [_TO* hacklab] di trojan di stato
On 04/27/2017 03:57 PM, lesion wrote:
> On 26/04/2017 13:27, cocco wrote:
>
>> Geni, la wiki, che rilinko,
>> https://www.autistici.org/underscore/di-trojan-di-stato-details.html
>> e' bellissima!
>> Ho letto che su linux si puo guardare in
>> ~/.config/autostart/.*, /var/crash/.report* e /var/tmp/.report*
>> per vedere se ci stanno galileando.
>> Ma e' invece possibile/plausibile viluppare un tool per rilevare questo
>> tipo di malware anche su android e windows?
>
>
> attenzione, quello che dici e' vero per quanto e' possibile vedere dal
> leak ht, che pero' ha due anni, sicuramente i path non sono rimasti
> gli stessi. in user-space inoltre ci sono mille modi per rimanere
> persistenti senza scomodare root, non solo ~/.config/autostart .
> scomodando root i modi diventano davvero tanti.
>
> rilevare l'esistenza di un malware non e' una cosa semplice, anche
> se mi piacerebbe molto ricevere suggerimenti in merito.
> sarebbe bello avere un access point con una fastidiosa sirena che si
> accende quando uno dei dispositivi connessi effettua traffico
> sospetto, ma credo sia un problema complesso da tanti punti di vista.


Come avevo fatto con Detekt (che reitero, e' *morto* ora), un metodo
utile ed efficace e' identificare tracce *in memoria*. Al tempo (2015)
queste rules erano sufficienti:
https://github.com/botherder/detekt/blob/master/rules/rcs.yar

> #windows
> https://github.com/securitywithoutborders/hardentools


Dell'aiuto con hardentools sarebbe benvenuto, in particolare in materia
di GUI.

/nex