Versione delle 18:22, 7 giu 2016 modifica Filippo Poltronieri (discussione \| contributi) 10 modifiche Nessun oggetto della modifica Etichetta: Modifica visuale: commutato ← Differenza precedente		Versione delle 19:44, 7 giu 2016 modifica annulla Atarubot (discussione \| contributi) 550 442 modifiche template citazione; rinomina/fix nomi parametri; converto template cite xxx -> cita xxx; fix formato data Differenza successiva →
Riga 13: Lo shellcode remoto è invece utilizzato quando un attaccante vuole sfruttare una vulnerabilità di un processo di un’altra macchina sulla rete locale o su una rete intranet. Se lo Shellcode è eseguito correttamente, questo ritorna il controllo della macchina bersaglio attraverso la rete. Gli shellcode remoti utilizzano normalmente lo standard socket [[TCP/IP]] per consentire l’accesso alla shell della macchina bersaglio. Si possono classificare ulteriori distinzioni in base al metodo con cui la connessione viene stabilita. Se è lo shellcode stesso che può stabilire la connessione, questo viene chiamato "reverse shell" o ''connect-back'' shellcode, perché lo shellcode in esecuzione sulla macchina remota si connette alla macchina dell’attaccante. Se invece l’attaccante ha bisogno di creare la connessione, lo shellcode viene chiamato ''bindshell'', in quanto lo shellcode esegue il bind su una determinata porta, che verrà utilizzata dall’attaccante per connettersi e controllare la macchina bersaglio. Un terzo tipo di shellcode, meno comune, è il ''socket-reuse'' shellcode. Questo tipo di shellcode è di solito utilizzato quando un exploit stabilisce una connessione al processo vulnerabile che non viene chiusa prima che lo shellcode venga eseguito. Lo shellcode può riutilizzare questa connessione per comunicare con l’attaccante. Il Socket re-use shellcode è di più complessa realizzazione, perché lo shellcode deve identificare quale connessione può utilizzare (fra le possibili aperte sulla macchina).<ref>{{~~cite~~Cita web \|url=http://www.blackhatlibrary.net/Shellcode/Socket-reuse \|~~title~~titolo=Shellcode/Socket-reuse \|~~last~~cognome=BHA \|~~date~~data=6 ~~June~~giugno 2013 \|~~accessdate~~accesso=7 giugno 2013~~-06-07~~ }}</ref> Si può utilizzare un [[firewall]] per identificare le connessioni in uscita effettuate da una connect-back shellcode e il tentativo di connessione in ingresso da parte di una bindshell. Il firewall può fornire una protezione aggiuntiva contro un attaccante, anche se il sistema è vulnerabile, impedendo in maniera preventiva di ottenere l’accesso alla shell creata dall'esecuzione dello shellcode. Questa è una delle ragioni del perché a volte viene utilizzata una socket re-using shellcode, perché non creando nuove connessioni risulta più difficile da identificare e bloccare. Riga 21: === Downloand and execute === Download and execute è un tipo di shellcode remoto che effettua un [[download]] ed esegue una qualche forma di malware sul sistema bersaglio. Questo tipo di shellcode non crea una shell, ma istruisce la macchina di scaricare un certo file eseguibile dalla rete, salvarlo su disco e poi eseguirlo. Al giorno d’oggi, è comunemente utilizzato negli attacchi [[drive-by download]], quando una vittima visita un sito malevolo che cerca di avviare un download e di eseguire una shellcode per installare software sulla macchina vittima. Una variazione di questo tipo di shellcode è “download and loads a library”.<ref>{{~~cite~~Cita web \|url=http://skypher.com/index.php/2010/01/11/download-and-loadlibrary-shellcode-released/ \|~~title~~titolo=Download and LoadLibrary shellcode released \|~~last~~cognome=SkyLined \|~~date~~data=11 ~~January~~gennaio 2010 \|~~accessdate~~accesso=~~2010-01-~~19 gennaio 2010 }}</ref><ref>{{~~cite~~Cita web \|url=http://code.google.com/p/w32-dl-loadlib-shellcode/ \|~~title~~titolo=Download and LoadLibrary shellcode for x86 Windows \|~~last~~cognome=SkyLined \|~~date~~data=11 ~~January~~gennaio 2010 \|~~accessdate~~accesso=~~2010-01-~~19 gennaio 2010 }}</ref> I vantaggi di questa tecnica è che il codice dello shelllcode può essere più piccolo, non richiede la creazione un nuovo processo sulla macchina bersaglio e che lo shellcode non ha bisogno di implementare il codice per la pulizia del processo bersagliato, ma questo può essere effettuato da una libreria caricata all'interno del processo. === Staged === Riga 38: Questo tipo di shellcode è simile al egg-hunt, ma effettua una ricerca di più piccoli blocchi (eggs) ricombinandoli in uno più grande (omelette) che viene eseguito successivamente. Tale tecnica viene utilizzata quando un attaccante è limitato, per qualche ragione, all'inserimento di piccoli blocchi di dati all'interno del processo.<ref>{{~~cite~~Cita web \|url=http://skypher.com/wiki/index.php?title=Shellcode/w32_SEH_omelet_shellcode \|~~title~~titolo=w32 SEH omelet shellcode \|~~last~~cognome=SkyLined \|~~publisher~~editore=Skypher.com \|~~date~~data=16 ~~March~~marzo 2009 \|~~accessdate~~accesso=~~2009-03-~~19 marzo 2009 }}</ref> == Strategia di esecuzione di uno Shellcode == Riga 80: === Shellcode alfanumerici e stampabili === In certe circostanze, un processo bersaglio potrebbe filtrare tutti i bytes provenienti dallo shellcode inserito che non sono stampabili o alfanumerici. In queste condizioni, il range di istruzioni che possono essere utilizzate per scrivere uno shellcode diventano molto limitate. Una soluzione a questo problema è stata pubblicata da Rix in [[Phrack]] 57<ref>{{~~cite~~Cita web \|url=http://www.phrack.org/issues.html?issue=57&id=15#article \|~~last~~cognome=Rix \|~~title~~titolo=Writing ia32 alphanumeric shellcodes \|~~publisher~~editore=Phrack \|~~date~~data=8 ~~November~~novembre 2001 \|~~accessdate~~accesso=~~2008-02-~~29 febbraio 2008 }}</ref> dove viene mostrato come è possibile convertire ogni tipo di codice in uno alfanumerico. Una tecnica molto utilizzata è quella di creare codice automodificante, perché questo permette al codice di modificare i propri bytes per includerne altri che non rientrano fra quelli ammissibili e di espandere il range di istruzioni utilizzabili. Con questo tipo di trucco, un decoder auto-modificante può essere creato inizialmente utilizzando solamente bytes compresi nell’intervallo ammissibile. Quando lo shellcode in uscita va in esecuzione, il decoder può modificare il proprio codice per essere in grado di utilizzare ogni istruzione richiesta per consentirne il corretto funzionamento e contemporaneamente continuare a decodificare lo shellcode originale. Dopo avere fatto la decodifica, il decoder trasferisce il controllo allo shellcode, in modo tale che possa essere eseguito normalmente. E' stato mostrato come è possibile creare shellcode di arbitraria complessità che somigliano a normale testo inglese.<ref>{{~~cite~~Cita web \|url=http://www.cs.jhu.edu/~sam/ccs243-mason.pdf \|~~last~~cognome=Mason \|~~first~~nome=Joshua \|~~author2~~autore2=Small, Sam \|~~author3~~autore3=Monrose, Fabian \|~~author4~~autore4= MacManus, Greg \|~~title~~titolo=English Shellcode \|~~date~~data=November 2009 \|~~accessdate~~accesso=~~2010-01-~~10 gennaio 2010 }}</ref> === Shellcode a prova di caratteri Unicode === Molti programmi moderni utilizzano la codifica di stringhe in formato Unicode per permettere l’internalizzazione del testo. Spesso questi programmi convertono le stringhe ASCII in ingresso prima di processarle. Le stringhe Unicode codificate in [[UTF-16]] utilizzano due byte per decodificare ogni carattere ( o quattro bytes per alcuni caratteri speciali). Quando una stringa [[ASCII]] viene convertita in UTF-16, un byte a zero viene inserito dopo ogni bytes della stringa originale. Obscu ha mostrato in [[Phrack]] 61<ref>{{~~cite~~Cita web \|url=http://www.phrack.org/issues.html?issue=61&id=11#article \|~~last~~cognome=Obscou \|~~title~~titolo=Building IA32 'Unicode-Proof' Shellcodes \|~~publisher~~editore=Phrack \|~~date~~data=13 ~~August~~agosto 2003 \|~~accessdate~~accesso=~~2008-02-~~29 febbraio 2008 }}</ref> che è possibile scrivere shellcode che possono eseguire correttamente anche dopo questa trasformazione. Esistono programmi in grado di modificare automaticamente ogni shellcode in uno codificato mediante UTF-16 e sono basati sullo stesso principio di un decoder automodificante che decodifica lo shellcode originale. == Piattaforme == Molti shellcode sono scritti in codice macchina a causa del basso livello a cui la vulnerabilità consente di effettuare un expolit e dare all'attaccante l’accesso al processo. Lo shellcode è spesso creato per attaccare una specifica combinazione di processore, sistema operativo e service pack, che vengono chiamati comunemente piattaforma. Per alcuni exploit, a causa dei vincoli imposti dal processo bersaglio, è necessario creare uno shellcode specifico. In ogni caso non è sempre possibile per uno shellocde lavorare per exploit multipli, service pack, sistemi operativi e eventualmente processori.<ref>{{~~cite~~Cita web \|url=http://www.phrack.org/issues.html?issue=57&id=14#article \|~~last~~cognome=Eugene \|~~title~~titolo=Architecture Spanning Shellcode \|~~publisher~~editore=Phrack \|~~date~~data=11 ~~August~~agosto 2001 \|~~accessdate~~accesso=~~2008-02-~~29 febbraio 2008 }}</ref> Una versatilità può essere data dalla creazioni di differenti versioni dello shellcode sulla base delle varie piattaforme da attaccare e creando un header che identifica la versione corretta per la piattaforma in uso. Quando viene eseguito, il codice si comporta differentemente in base alla piattaforma ed è in grado di eseguire la versione corretta.

Shellcode: differenze tra le versioni