Репозиторий материалов по ИБ [eng]

Zenk-Security Repository

https://repo.zenk-security.com/?dir=.

Материалы для фаззинга [FuzzDB]

https://github.com/fuzzdb-project/fuzzdb

фаззинг (англ. fuzzing) — это способ тестирования приложений, в основе которого лежит передача некорректных, случайных или непредвиденных логикой программы данных. Чаще всего фаззинг применяется при blackbox-тестировании, т.е. в условиях отсутствия исходных кодов приложения.

Прежде всего необходимо определить нашу цель и отправить ее в Intruder (Actions -> Send To Intruder)...

PowerShell Empire [пост-эксплуатация Windows]

https://github.com/powershellempire/empire

http://www.powershellempire.com/

Video

Video_Rus

Empire is a pure PowerShell post-exploitation agent built on cryptologically-secure communications and a flexible architecture. Empire implements the ability to run PowerShell agents without needing powershell.exe, rapidly deployable post-exploitation modules ranging from key loggers to Mimikatz, and adaptable communications to evade network detection, all wrapped up in a usability-focused framework.

iptables.Создание ловушек на портах. [ TARPIT ]

TARPIT реализован в iptables как дополнительный модуль фаервола и в стандартной поставке его нету. По крайней мере в Ubuntu/Debian это так! Этот модуль включен в пакет вместе с другими интересными модулями фаервола — xtables-addons. Попробуем поискать что есть в репах:

root@Ubuntu:~# apt-cache search xtables
iptables-dev - iptables development files
libxtables10 - netfilter xtables library
xtables-addons-common - Extensions targets and matches for iptables [tools, libs]
xtables-addons-dkms - Extensions targets and matches for iptables
xtables-addons-source - Extensions targets and matches for iptables [modules sources]
root@Ubuntu:~#

Я установил весь пакет, думаю можно собрать конкретные модули из сырцов (xtables-addons-source), но заморачиваться неохота … это же не бздя, нафик самосбор!

root@Ubuntu:~# apt-get install xtables-addons-dkms

root@Ubuntu:~# modprobe xt_TARPIT

...
В логах proftpd светился один крайне назойливый бот, добавляем правило для него:

root@Ubuntu:~# iptables -I INPUT 1 -p tcp -s 175.44.28.125 -j TARPIT

Убедиться что правило добавилось можно просмотрев листинг правил iptables:

root@Ubuntu:~# iptables -L -v -n

Ну вот и все! В следующий раз данному боту обломится нас брутфорсить, да и все остальные сервисы по TCP ему будут недоступны .

P.S. Это простейший метод, ручной. Если вы хотите автоматически блокировать ботов анализируя лог-файлы различных сервисов, вам нужно настроить fail2ban или подобный сервис. Думаю что в ближайшем будущем я напишу о его установке и настройке.

Python Tools : Penetration Testers Arsenal (hack scripts, tools)

Network

• Scapy, Scapy3k: Send, sniff and dissect and forge network packets. Usable interactively or as a library
• pypcap, Pcapy and pylibpcap: Several different Python bindings for libpcap
• libdnet: Low-level networking routines, including interface lookup and Ethernet frame transmission
• dpkt: Fast, simple packet creation/parsing, with definitions for the basic TCP/IP protocols
• Impacket: Craft and decode network packets. Includes support for higher-level protocols such as NMB and SMB
• pynids: Libnids wrapper offering sniffing, IP defragmentation, TCP stream reassembly and port scan detection
• Dirtbags py-pcap: Read pcap files without libpcap
• flowgrep: Grep through packet payloads using regular expressions
• Knock Subdomain Scan, Enumerate subdomains on a target domain through a wordlist
• SubBrute, Fast subdomain enumeration tool
• Mallory, Extensible TCP/UDP man-in-the-middle proxy, supports modifying non-standard protocols on the fly
• Pytbull: Flexible IDS/IPS testing framework (shipped with more than 300 tests)

Debugging and Reverse Engineering

Malicious Code Analysis on Ukraine's Power Grid Incident [BlackEnergy]

Ukraine Power Grid APT (Knownsec Security Team) :
(Расследование APT атаки на украинские энергосистемы)