Es ist Wochenende und ich habe wenig zu tun, also mal alte Notizen durchgehen.
Dabei ist mir ein Vortrag vom Chaos Communication Congress 2005 über Syscall Proxying in die Finger gefallen. Der Vortrag ist von CSK, die Präsentation liegt auf uberwall.com und entwickelt hat die Technik Core Security.
Die Idee ist bestechend: Man bastelt einen kleinen speicherresidenten Agenten, bringt den auf einem gehackten System zum Laufen und hat lokal einen Proxy, der Systemcalls abfängt und an den Agenten weiterleitet. Dort werden die Syscalls dann real ausgeführt, der Rückgabewert an den lokalen Proxy zurückgeschickt und hier an die laufende Anwendung zurück gereicht. Die Vorteile liegen auf der Hand: die diversen Hacking-Tools müssen nicht mehr auf das gecrackte System übertragen werden, der Agent läuft nur im Speicher und sichert nichts auf der Festplatte und nach einem Reboot kann die forensische Analyse nichts mehr entdecken.
Nur: da kommt nichts mehr. Ein paar Demo-Tools um zu zeigen, dass die Technik funktioniert und dann nichts mehr. Lediglich Core Security hat das in Core Impact realisiert. Dabei wäre das wirklich gut. Ich bin leider kein brauchbarer Programmierer, sonst würde ich mich damit mal hinsetzen. So eine Bibliothek hätte die Qualität einer Dsniff-Suite, von der heute immer noch jeder spricht, obwohl Dug Song längst nicht mehr damit beschäftigt ist. Ich muss mir da mal länger Gedanken machen …