Guzik poprosił o komentarz w sprawie uruchomienia usługi DNS Blackholingu przez firmę Norton from Symantec http://nortondns.com/. O tego typu zabezpieczeniu mówiłem już prawie 3 lata temu na kilku konferencjach i przez cały ten czas twierdzę, że jest to bardzo skuteczna metoda na walkę ze szkodnikami w zarządzanej przez nas sieci. Zasady działania opiszę po krótce cytując swój tekst z tego bloga: Czytaj dalej »
Archiwum (kategoria: narzędzia
)
-
Wady i zalety usługi DNS blackholing w wydaniu firm zewnętrznych takich jak DNS Norton Symantec
-
Dwa nowe narzędzia w stajni honepotowej
Pojawiły się nowe wersje narzędzi wspomagających wyłapywanie ataków po sieci fruwających. Warto się przyjrzeć nowemu orężowi do walki ze zuem.Po pierwsze Nepenthes Pharm, czyli system oparty o architekturę klient/serwer wraz z serwisem WWW , który centralizuje miejsce przechowywania analizowanych próbek z systemu honeypot nepenthes oraz umożliwia raportowanie z uwzględnieniem wszystkich hostów pułapek. Pharm analizuje logi honeypota pod kątem występujących zmian aby następnie przesłać zebrane dane do głównego serwera. W części odpowiedzialnej za analizy możemy szybko sprawdzić czy odkryta próbka nie pojawiła się już w serwisie VirusTotal.
Drugie narzędzie to Picviz czyli aplikacja tworząca obrazy tworzone na podstawie różnych źródeł informacji takich jak choćby logi z aplikacji tcpdump, syslog, iptables, apache itp. Uwzględniając różne kryteria doboru tworzenia obrazu, możemy szybko zauważyć interesujące aspekty naszych danych, co nie byłoby możliwe podczas zwykłej analizy. W zasadzie nie tyle pojawiła się nowa wersja, co został wydany dokument opisujący działanie całej aplikacji.
-
Simple Conficker Scanner w wersji drugiej wydany
Jak zapewne wiecie lub nie wielomilionowy robak Conficker modyfikuje po zarażeniu system operacyjny w taki sposób, iż możliwe jest zdalne wykrycie znacznej części jego wariantów. Została wydana druga wersja oprogramowania Simple Conficker Scanner wykrywająca nowe wersje robaka. Aplikacja jest napisana w Pythonie i wymaga biblioteki Impacket. Na stronie znajduje się też skompilowana wersja dla systemu Windows. Wynik działania aplikacji:
$ ./scs2.py 10.0.0.1 10.0.0.5
Simple Conficker Scanner v2 — (C) Felix Leder, Tillmann Werner 2009
[UNKNOWN] 10.0.0.1: No response from port 445/tcp.
[UNKNOWN] 10.0.0.2: Unable to run NetpwPathCanonicalize.
[CLEAN] 10.0.0.3: Windows Server 2003 R2 3790 Service Pack 2 [Windows Server 2003 R2 5.2]: Seems to be clean.
[INFECTED] 10.0.0.4: Windows 5.1 [Windows 2000 LAN Manager]: Seems to be infected by Conficker D.
[INFECTED] 10.0.0.5: Windows 5.1 [Windows 2000 LAN Manager]: Seems to be infected by Conficker B or C.
done -
Nowa złośliwa aplikacja typu Ransomware szyfrująca dane użytkownika
Pojawił się nowy szkodnik szyfrujący wszystkie popularne pliki użytkownika z końcówką .jpg, .zip, .doc itp. Po zaszyfrowaniu danych wyświetlany jest (w postaci zmienionego obrazu tła pulpitu) komunikat w języku rosyjskim. Oczywiście aby odszyfrować swoje dane należy zgłosić się do autora trojana i uiścić opłatę w wysokości 10 dolarów lub 350 rubli. Dla tych zainfekowanych, którzy chwilę poszukają w sieci, przygotowany został program, który potrafi odszyfrować utracone pliki. Firma Dr. Web udostępniła aplikację pod adresem:ftp://ftp.drweb.com/pub/drweb/tools/te37decrypt.exe
Sam szkodnik nie dopisuje się do skryptów startowych i przy restarcie systemu jest automatycznie usuwany.
Wolne tłumaczenie na język angielski rzeczonego komunikatu:
Hello I’m a Trojan Encoder, or to be more exact, one of its variants::)
My author goes by the handle CORRECTOR and he’s happy to offer you decryption for those files that I had time to encrypt on your computer for the economical sum of $10 or about 350 Rubles here is how to contact my author:
Mail: otrazhenie_zla@mail.ru icq 481095
oh by the way almost forgot don’t erase the files with the extension vscrypt if you delete them getting your information back will be impossible
Good luck sincerely your Trojan encoder and CORRECTOR.
Źródło: http://blog.fireeye.com/research/2009/06/ransome-pay-me-more.html
-
Trojany bankowe.
- Data dodania:
- 27 12.08
- Kategorie:
- analizy, narzędzia, newsy, statystyki
Zespół skupiony wokół specjalisty od honeynetów, Thorstena Holza z uniwersytetu w Mannheim, opublikował analizę przypadków działania trojanów bankowych. Studium przypadku skupiło się wokół specyficznej grupy koni trojańskich i keyloggerów. Grupa ta została zakwalifikowana do tzw. “ataków naśladowania”, czyli ataków w których napastnik pragnie ukraść dane uwierzytelniające od ofiary w celu podszycia się u usługodawcy (tutaj banków) pod ofiarę. W ten rodzaj ataków często wpadają mechanizmy używane przez phishing. Jak wiadomo, w tego rodzaju ataku napastnik używa jako kanału – wiadomości e-mail – by wymusić na ofiarze wejście na sfałszowaną stronę, gdzie pozyskiwane są jego dane dostępowe np. do banku on-line. -
Nowa wersja capture-hpc 2.5.1
- Data dodania:
- 08 9.08
- Kategorie:
- narzędzia
Została wydana najnowsza wersja capture-hpc (2.5.1), narzędzia wspomagającego analizę ataków uderzających bezpośrednio w użytkownika (client-side). Zasadniczo pakiet składa się z klienta uruchamianego na systemie Windows oraz serwera napisanego w języku Java i uruchamianego zarówno pod systemem Linux jak i Windows (wymagane Sun’s Java JRE 1.6.0_02 oraz VMWare Server 1.0.3 z VMware VIX) . Klient ma za zadanie analizować wszelkie zasadnicze zmiany w systemie, a zwłaszcza te, które są wynikiem na przykład zarażenia systemu przez błąd w przeglądarce internetowej (lub jej pluginie czy programie zewnętrznym). Serwer natomiast kolekcjonuje dane uzyskane za pomocą tych metod od klientów (im więcej klientów tym lepiej :). Do najważniejszych zmian należy zaliczyć:
- dodana architektura preprocesora pluginów (
- dodana funkcjonalność unikalnych ID (umożliwią nie pobieranie tego samego adresu URL przez wiele procesów)
- plugin internetexplorerbulk obsługuje unikalne ID
- zaktualizowane oprogramowanie vmware server – 1.0.6, java 6 update 7, NSIS 2.38, boost 1.35.0, visual studio 2008 (wymaga nowych bibliotek VC++!)
- dodane nowe zmienne globalne timeout/delay
- zwiększenie stabilności działania
- poprawka dla pluginu IE (aktualnie zamyka wszystkie okna)
- optymalizacja przyśpieszająca działanie kodu dla plików .zip
Czyli dużo zmian i nie warto się zastanawiać – czas aktualizować. Chyba, że jeszcze nie korzystacie z dobrodziejstw tej aplikacji – zapraszam więc do bliższego zapoznania na stronę projektu.
-
Zachmurzone niebo antywirusowe czyli o rewolucyjnym systemie z wieloma silnikami antywirusowymi w jednym miejscu
Jak wszyscy wiemy programów antywirusowych jest wiele. Jedne działają bardziej skutecznie, inne mniej. Każdorazowo gdy dochodzimy do porównań jakości antywirusa, poza obciążeniem samego systemu czy łatwością obsługi, przede wszystkim bierzemy pod uwagę skuteczność wykrywania wrogich aplikacji. Teoretycznie im większa skuteczność tym lepszy antywirus. Aby móc zabezpieczyć się jak najlepiej, staramy się dobrać jak najlepsze oprogramowanie antywirusowe. A gdyby tak spróbować z całkiem innej strony. Załóżmy, że instalujemy w swoim systemie operacyjnym – 10 programów antywirusowych. Oczywiście zapominając, o obciążeniu systemu i problemach z wykrywaniem wirusów w bazach antywirusowych innych produktów. Moglibyśmy skutecznie zwiększyć wykrywalność złośliwego oprogramowania! 3 osobowa ekipa z Uniwersytetu w Michigan postanowiła wykonać projekt o zbliżonej funkcjonalności lecz pozbawiony opisywanych wad, a wręcz zaopatrzony w dodatkowe zalety. Jak opisują na stronie projektu udało się im tego dokonać.
Czytaj dalej » -
Nowa wersja Honeywall CDROM (1.4)
- Data dodania:
- 19 7.08
- Kategorie:
- narzędzia
Projekt www.honeynet.org udostępnił najnowszą wersję (1.4) płyty CD Honeywall, dzięki której możemy w łatwy sposób zainstalować cały system wraz z potrzebnymi narzędziami przydatnymi podczas przechwytywania i analizy sieci botnet. Z najważniejszym zmian należy nadmienić o przystosowaniu systemu do nowego formatu przechowywania informacji pochodzących z systemów honeypotopodobnych Hflow2 oraz aktualizację systemu bazowego.
Do pobrania stąd. -
Kup pan cegłówkie za stówkie #2
- Data dodania:
- 09 7.08
- Kategorie:
- ciekawostki, narzędzia
Interesującą informację podała na swoich stronach znana zapewne wszystkim firma Kaspersky. Otóż odkryli oni sposób na odszyfrowanie plików zaszyfrowanych przez szkodnika GPcode.
Wydawało by się, że 1024 klucz RSA to wystarczające zabezpieczenie, ale jak to mawiał TWołoszański – otóż nie. Co się okazało.
Czytaj dalej » -
Nowa wersja capture-hpc
- Data dodania:
- 08 5.08
- Kategorie:
- narzędzia
Jak doniosła jakiś czas temu strona główna projektu HoneyNet, będącego zdecydowanie pierwszym miejscem, od którego żądny przygód poszukiwacz botnetów powinien rozpocząć wędrówkę – została wydana nowa wersja capture-hpc (2.1), narzędzia wspomagającego analizę ataków uderzających bezpośrednio w użytkownika (client-side).Zasadniczo pakiet składa się z klienta uruchamianego na systemie Windows oraz serwera napisanego w języku Java i uruchamianego zarówno pod systemem Linux jak i Windows (wymagane Sun’s Java JRE 1.6.0_02 oraz VMWare Server 1.0.3 z VMware VIX) . Klient ma za zadanie analizować wszelkie zasadnicze zmiany w systemie, a zwłaszcza te, które są wynikiem na przykład zarażenia systemu przez błąd w przeglądarce internetowej (lub jej pluginie czy programie zewnętrznym). Serwer natomiast kolekcjonuje dane uzyskane za pomocą tych metod od klientów (im więcej klientów tym lepiej :).
Czytaj dalej »
