27.05.2015

Fireeye NX тестирование /Fireeye NX С&C Botnet test

Ботнет (англ. botnet) — ныне распространенное в этих ваших интернетах явление, представляющее из себя сеть самых обычных компьютеров, через уязвимости в ПО или по обычной ламерности юзеров заражённых специализированными, «зомбирующими» вирями (как правило, это бэкдор, позволяющий без ведома хозяина машинерии взять над ней удаленный контроль и анонимно рулить ей с любой интернетизированной точки земного шара), превратить компьютер в эдакого «зомби» (или бота), в таком состоянии которого злоумышленник сможет использовать вычислительные ресурсы оного в своих целях. Как вариант — устроить анонимную прокси.

Была собрана самая простая схема, которую можно представить:


После предварительных настроек Fireeye NX, и ботнет сервера, генерации malware для заражения, переходим к тестированию.

Проверим C&C. он запущен, и ждет подключений...

SAN на базе Windows Server 2012 R2


  • серверы без дисков (только небольшие «зеркала» под систему) — 2 шт.;
  • недорогая дисковая полка JBOD с двумя SAS интерфейсами – 1 шт.;
  • HDD SAS – не менее 10 шт. (лучше – больше);
  • SSD SAS – хотя бы 2 шт.;
  • сетевые адаптеры 1-10 GBit (лучше – с поддержкой RDMA) – 2-4 шт.;
http://habrahabr.ru/post/258845/
Подготовительные работы
Итак, берем дисковую полку в режиме JBOD. Набиваем ее дисками, хотя бы два из которых должны быть SSD. У корзины должно быть два SAS-экспандера, по два разъема на каждом. Через них подключаем корзину к двум серверам, желательно одинаковым. Для этой цели вполне подойдут простые одноюнитовые серверы. На серверах в качестве контроллеров устанавливаем обычные SAS HBA.

25.05.2015

Тестирование Fireeye EX в режиме MTA + URL Dynamic Analysis / Test Fireeye EX MTA + URLDA

Стенд остался тот же, что был описан ранее в статье :
http://devnulls.blogspot.com/2015/05/fireeye-ex-mta-fireeye-ex-mta-config.html

Были добавлены следующие настройки - URL Dynamic Analysis.

URL Dynamic Analysis - позволяет EX анализировать URL-адреса, которые указывают на объекты, такие как ZIP, EXE, PDF, DOC и DOCX файлы. Основываясь на набор внутренних правил безопасности, электронная EX будет скачать объект из ссылочного URL и предавать объект в свой MVX для анализа.(Не NX !) Если объект является вредоносными, то EX может немедленно заблокировать электронную почту не доходя до конечного потребителя.

Прописываем ip на интерфейс ether2:
no interface ether2 dhcp
   interface ether2 duplex auto
   interface ether2 ip address 192.168.1.232 /24
   interface ether2 mtu 1500
no interface ether2 shutdown
   interface ether2 speed auto
no interface ether2 zeroconf

Прописываем тот же ip в веб морду: