Как искать мальварь в open source?

Question

[Дядька Серёжа]

Хочу поизучать вопрос с практической части, попробовать написать прогу для анализа исходного кода. Хочется понять хотя бы что примерно искать.

Answer 1

[FanatPHP]

Очень смешной вопрос. Я тоже такой могу:
Как стать хирургом? Хочу поизучать вопрос с практической части, попробовать отрезать пациенту что-нибудь. Хочется понять хотя бы что примерно искать.

Comments

[Дядька Серёжа]

Жалобу отправил, если есть что по делу, пишите, буду рад

[kalapanga]

Вопрос может быть не совсем удачно сформулирован, но вполне имеет право на жизнь.
Все мы часто слышим о таком преимуществе open source software, как возможность его проверить на отсутствие любого рода вредоносных закладок. А как реально это сделать? Вычитать и понять сотню тысяч строк кода? Или существуют какие-то средства автоматизации этого процесса? Традиционные антивирусы анализируют исполняемые файлы и, в том числе с помощью различных эвристик, обнаруживают зловредов. А существуют ли подобные "антивирусы" для исходного кода? Возможно ли их создание в принципе?
Вопрос, как я понимаю, об этом.

[FanatPHP]

kalapanga, ну так и ответ простой: нанять специалиста, который знает, что искать.
При том что даже специалист не сядет и не напишет за 5 минут, как тут некоторые наивно полагают.
Чувак даже не обозначил язык, или там область применения.
А сейчас вопрос из серии "пойди туда не знаю куда, принеси то, не знаю что".
Если бы на него был такой простой ответ, то тут специалисты по ИБ как тараканы уже бегали.

[xotkot]

FanatPHP,

Чувак даже не обозначил язык

язык open source, че тут непонятного ?)

[N]

тык

тут был я

:)

Answer 2

[hint000]

Ну начните изучение [хирургии] хотя бы с этого:
https://ru.wikipedia.org/wiki/Статический_анализ_кода
https://ru.wikipedia.org/wiki/Динамический_анализ_кода
Отсюда до поиска малвари - ещё как до Луны пешком, но, как гласит китайская мудрость,

даже путь в тысячу ли начинается с первого шага

Создадите IT-компанию с сотней мидлов и десятком сеньоров, и они за несколько лет напишут вам вашу "прогу для анализа исходного кода".

Answer 3

[rPman]

автоматически - никак, нет таких алгоритмов.
Крупные компании типа касперского на основе типовых вредоносных алгоритмов делают эвристические алгоритмы, но и они не всесильны и часто дают ложноположительные результаты.

Если говорить про то что украинские коллеги сейчас вытворяют с опенсорсом, внедряя в популярные пакеты, всюду, до куда могут дотянуться, от безобидных сообщений о том что идет война и их убивают, до вредительства и удаления всех файлов с машины, то

можно попытаться проанализировать патчи (изменения, которые были внесены после определенной даты, до того как вредоносный код мог быть добавлен, на предмет типовых функций (удаление файлов, подключение к сети, ключевые слова в строках и т.п.) и построить некоторый отчет, что вот этот патч.. добавляет подключение по сети, вызов метода eval, в строках содержатся ключевые слова и т.п. и уже во время ручного анализа это может облегчить принятие решения, с чего начинать работать и на что обращать внимание

Типичный пример - если коммит описан как 'добавление кнопки на форму настроек цветовой схемы интерфейса', но в нем есть методы deletefile или eval то это уже повод считать его подозрительным.

но повторюсь, красивого решения не будет, легко не будет...

Comments

[Дядька Серёжа]

По каким еще критериям можно выявить потенциально опасное место в коде. Я на вскидку еще вижу наличие:

• минифицированного кода, в частности JS; наличие множества base64 текста;
  
• обфускация
  
• злых слов «зашифровано, staywithUkraine ну и т.д. в зависимости от кейса
  

Полагаю далее смотреть про всякие подключения к памяти и запуск системных утилит типа dns, ping, whoami?

[rPman]

Дядька Серёжа, может быть
единственное что хотел бы сказать, публикуй все что поможет другим не повторять ту же работу
поищи, может уже кто то это уже делает
ну и посмотри уже выявленную майлварь, что то типа такого