27.01.2016
Beef + Armitage [plugin]
git clone https://github.com/benyG/cortana-scripts
копируем папку beef_strike из cortana-scripts в /root/
копируем библиотеки из архива (зеркало) в папку /beef_strike/lib
после чего запускаем Armitage.
Подгружаем скрипт beef_strike.cna (если папка beef_strike находится не в каталоге /root/, редактируем файл beef_strike.cna, изменяем пути импорта)
копируем папку beef_strike из cortana-scripts в /root/
копируем библиотеки из архива (зеркало) в папку /beef_strike/lib
после чего запускаем Armitage.
Подгружаем скрипт beef_strike.cna (если папка beef_strike находится не в каталоге /root/, редактируем файл beef_strike.cna, изменяем пути импорта)
26.01.2016
Методы обнаружения песочниц
Инструмент, который демонстрирует методы обнаружения песочницы и сред анализа вредоносного ПО, таким же образом, как малварь:
Проследить открытие документа. Утечки данных.
На последнем Black Hat Las Vegas был представлен интересный проект Canarytokens, который может элегантно решить проблему. Идея проекта очень проста: мы создаем поддельные «значимые» ресурсы (письма, документы, домены и так далее) и делаем так, чтобы при открытии любого из них атакующим на внешний ресурс отправлялся запрос со специальным токеном. Как только токен приходит, мы узнаем, что кто-то открыл документ, а значит, у нас утечка. Простейший вариант: создать вордовский документ с интересным названием типа passwords.doc с картинкой, вставленной с внешнего сайта.
«Офис» с давних времен поддерживает возможность подписать документ, что позволяет защитить его от последующих исправлений. Подпись создается с помощью обычного личного сертификата x509 (считай тот же, что и у HTTPS). При этом подпись документа проверяется сразу же при его открытии, то есть Protected View не останавливает этот процесс.
Второй момент заключается в том, что сертификат проверяется стандартным виндовым CryptoAPI. В самих сертификатах масса мест, где можно указать внешний URL. В первую очередь — проверка отзыва сертификата
(CRL, OCSP) и путь до Intermediate или Root CA («Поставщик центра сер-
тификации»). Таким образом, при проверке подписи «Офису» требуется
проверить сертификат, а потому ОС проверяет всю цепочку сертификатов
(от конечного до корневого), проходя по всем URL. Добыть валидный конечный сертификат с произвольными значениями
CRL и OCSP почти невозможно (эти поля контролируются CA), так что мы
возлагаем надежду только на местоположение сертификата Intermediate
CA — при проверке валидности ОС должна сходить и скачать его. Выходит,
нам нужно создать конечный сертификат и подписать им любой офисный
документ. Создать сертификат несложно: достаточно сделать специальный кон-
фиг и пару раз выполнить команду openssl. Подписать документ тоже не великая
проблема — заходишь во вкладку Insert, далее — Signature Line, вводим
произвольные значения, OK, двойной клик на подпись и выбираешь лич-ный сертификат.
Второй момент заключается в том, что сертификат проверяется стандартным виндовым CryptoAPI. В самих сертификатах масса мест, где можно указать внешний URL. В первую очередь — проверка отзыва сертификата
(CRL, OCSP) и путь до Intermediate или Root CA («Поставщик центра сер-
тификации»). Таким образом, при проверке подписи «Офису» требуется
проверить сертификат, а потому ОС проверяет всю цепочку сертификатов
(от конечного до корневого), проходя по всем URL. Добыть валидный конечный сертификат с произвольными значениями
CRL и OCSP почти невозможно (эти поля контролируются CA), так что мы
возлагаем надежду только на местоположение сертификата Intermediate
CA — при проверке валидности ОС должна сходить и скачать его. Выходит,
нам нужно создать конечный сертификат и подписать им любой офисный
документ. Создать сертификат несложно: достаточно сделать специальный кон-
фиг и пару раз выполнить команду openssl. Подписать документ тоже не великая
проблема — заходишь во вкладку Insert, далее — Signature Line, вводим
произвольные значения, OK, двойной клик на подпись и выбираешь лич-ный сертификат.
25.01.2016
Javascript malware analysis / Javascript backdoor [RAT]
JavaScript Backdoor:
Prerequisites
You'll need Node.js and npm.
In the examples folder you may find a deactivated malware file. Run the analysis with:
or just simply:
Sandbox for semi-automatic Javascript malware analysis. Written for Node.js
Prerequisites
You'll need Node.js and npm.
malware-jail requires minimist, and xmlhttprequest and entities npm packages, you may install them with:
npm install or nmp install minimist xmlhttprequest entities
node jailme.js malware/example.js
or just simply:
node jailme.js
Internet browser based malware you may test with:
Internet browser based malware you may test with:
node jailme.js malware/example_browser.js
Подписаться на:
Сообщения (Atom)