Twitter sec memories #2 [04.02.15] (HTTP botnet / Android app analysis vm / Router Hunter / MITM vm )

Моя подборка тулз и заметок по ИБ в одном посте #2
(наиболее интересное что накопилось за пару дней)

Терминальный дашборд:

https://github.com/gizak/termui

Сетап:

master mirrors v2 branch, to install:

go get -u github.com/gizak/termui
For the compatible reason, you can choose to install the legacy version of termui:

go get gopkg.in/gizak/termui.v1

HTTP BOTNET Betabot 1.8.0.0.1(Private Version)

https://userscloud.com/xm8wih87ypca

https://mega.nz/#!hV0RQTQS!T82bIE1X2ZkjeGerkQvU8WgAniMM1ZIqtqs6lIjd4e4

(делать все только на виртуалке)

AndroL4b -виртуалка для реверса приложений для видроида. (A Virtual Machine For Assessing Android applications, Reverse Engineering and Malware Analysis)

Download

The tools directory contains tools and frameworks. Labs are in Lab directory.

username : andro
password : androlab

https://github.com/sh4hin/Androl4b

RouterhunterBR 2.0 - тестирование роутеров на уязвимости (automated Tool for Testing in Vulnerable Routers)

Random ips:

python routerhunter.py --dns1 8.8.8.8 --dns2 8.8.4.8 --randomip --limitip 10 --threads 10 

python routerhunter.py --dns1 8.8.8.8 --dns2 8.8.4.8 -rip -lmtip 10 --threads 10

Scanner in range ip: 

python routerhunter.py --dns1 8.8.8.8 --dns2 8.8.4.8 --range 192.168.25.0-255 --threads 10
IP range customized with wildcard / Ex: --startip 201.*.*.* - --endip 201.*.*.* 

python routerhunter.py --dns1 8.8.8.8 --dns2 8.8.4.8 --startip 192.168.*.* --endip 192.168.*.* --threads 10

Brute force with users and passwords on routers that requires authentication, forcing alteration of dns - DSLink 260E. 

python routerhunter.py --dns1 8.8.8.8 --dns2 8.8.4.4 --range 177.106.19.65-70 --bruteforce --threads 10

https://github.com/jh00nbr/Routerhunter-2.0

MITM Virtual Machine

git clone https://github.com/praetorian-inc/mitm-vm.git 

cd mitm-vm 

vagrant up

cobalt-strike_v3.1/2.5 + Beef-xss + Veil-Evasion [plugins]

[ cobaltstrike V 3.1 + 2.5 cracked By AchillePower ]

https://userscloud.com/sa9lwva1lddm

https://userscloud.com/p727yjg8enz3

https://mega.nz/#F!ZJkX3azQ!YQet3tv0RINmhY44lkGnlQ

в 3й версии:
./teamserver 192.168.102.123 password
./cobaltstrike

версии ниже достаточно:
./cobaltstrike

стартуем базу:
#service postgresql start

автозагрузка:
#update-rc.d postgresql enable

проваливаемся в папке кобальта:
cd /path/to/cobaltstrike
./cobaltstrike

[Beef-xss Plugin] (for cobalt v2)

https://mega.nz/#F!BRk3wLAR!U_QQYxDTKCuH-mISeFXA8A

git clone https://github.com/benyG/cortana-scripts

копируем папку beef_strike из cortana-scripts в /root/
копируем библиотеки из архива (зеркало) в папку /beef_strike/lib
после чего запускаем Armitage.

Подгружаем скрипт beef_strike.cna (если папка beef_strike находится не в каталоге /root/, редактируем файл beef_strike.cna, изменяем пути импорта)

[ Veil-Evasion Plugin] (for cobalt v2)

Скачать и установить: http://devnulls.blogspot.com/2015/12/exel-exel-macros-payload-generate.html

git clone https://github.com/Veil-Framework/Veil

chmod +x install.sh

./install.sh

добавляем скрипт через cobalt-strike из каталога:

~/payloads/Veil/Veil-Evasion/tools/cortana/veil_evasion.cna

И прописываем валидные пути к каталогу в кобальте. 

Ботнет Dorkbot [eset]

На диаграмме ниже показаны различные компоненты, которые используются в последних версиях Dorkbot, нам удалось их проанализировать.

Рассмотрим типичный процесс заражения вредоносной программой через съемный USB-накопитель, который поможет лучше проиллюстрировать роль каждого модуля. Так как Dorkbot выполняет поиск подключенных к зараженной системе съемных носителей для их последующей компрометации, многие из наших обнаружений образцов этой вредоносной программы срабатывали именно на съемных носителях. При этом на них было обнаружено два типа файлов Dorkbot: исполняемый файл дроппера и .LNK-файлы с фишинговыми названиями, которые указывают на файл дроппера.

При запуске пользователем дроппера Dorkbot с USB-носителя (обнаруживается AV-продуктами ESET как Win32/Dorkbot.I), он пытается загрузить с удаленного сервера основной компонент вредоносной программы. Адрес самого сервера жестко зашит в исполняемом файле дроппера. Загруженный файл сильно упакован, а его код извлекает из себя и исполняет исполняемый файл Win32/Dorkbot.L, который представляет из себя простую обертку (wrapper), используемую для установки основного компонента. Этот основной компонент обнаруживается нами как Win32/Dorkbot.B и отвечает за работу с удаленным сервером по IRC. Обертка также специализируется на перехвате API-функции DnsQuery у основного компонента. Такой метод используется Dorkbot для усложнения обнаружения доменов настоящих C&C-серверов антивирусными аналитиками, поскольку в таком случае у запускаемого компонента отсутствуют адреса настоящих C&C-серверов злоумышленников. Когда он попытается выполнить трансляцию доменов через DnsQuery, вызов функции будет перехвачен и в качестве одного из аргументов обертка передаст API-функции адрес настоящего C&C-сервера.

После завершения установки вредоносной программы, бот будет пытаться подключиться к IRC-серверу и будет ожидать поступления определенных команд по фиксированному каналу от злоумышленников. Как правило, бот получает команды на загрузку и исполнение в системе новых вредоносных программ, которые были указаны выше.

Ботнет на основе Dorkbot активен уже давно и злоумышленники успешно используют его по сей день. Инфраструктура управляющих C&C-серверов этого ботнета является одной из тех, деятельность которой отслеживают специалисты компании ESET. Такая информация очень важна для отслеживания изменений в поведении вредоносной программы, а также для накапливания информации о ней, с целью ее использования правоохранительными органами.

Вредоносная программа Dorkbot не использует каких-либо новых методов для компрометации новых систем. Пользователи должны быть осторожны при открытии файлов на сменных носителях, а также тех файлов, которые они получают через электронную почту и социальные сети. Для проверки своей системы на заражение Dorkbot, можно воспользоваться нашим бесплатным инструментом отсюда. На сегодняшний день антивирусные продукты ESET тысячи различных модификаций файлов Dorkbot, а также файлов вредоносных программ, которые распространяются этим ботнетом.

Ниже приведены примеры URL-адресов или их составляющих, на срабатывание которых нацелен компонент похитителя паролей Dorkbot.

[ RAT / Bot ] list 2015

"Список актуальных ботнетов и РАТов, их характеристики и описания 2015 (list botnet/RAT)"
https://fuckav.ru/showthread.php?t=26208
Smoke Bot

Smoke Bot - это модульный бот (возможны две версии - резидентная и нерезидентная).
* нерезидентная версия - после загрузки, бот выполняет все задания и самоудаляется, т.е не устанавливается в систему

Преимущества:
- наличие модулей-плагинов, которые расширяют функционал бота, при этом не влияют на размер бота
- подробная статистика по версия системы, странам и онлайну
- подробная статистика по заданиям, загрузки / запуски, ограничение на количество и т.п.
- задания для бота на загрузку EXE или DLL (LoadLibrary, regsvr32, запуск из памяти без необходимости в криптовании)
- гео-таргетинг (выборочные загрузки только для конкретных стран или блокировка для определенных стран)
- загрузка задания с удаленного URL
- индивидуальное задание для каждого бота и поиск ботов по ID, стране или префиксу селлера
- незаметная установка в системе, защита собственных файлов и записей в реестре *
- самообновление бота через админку (локально или удаленно) *
- резервные URL для отстука *
- возможность использования префиксов для селлеров (более точная статистика и разделение заданий)

Linux/Moose бот

Злоумышленники используют Linux/Moose для компрометации Linux-embedded систем, часть 1
Злоумышленники используют Linux/Moose для компрометации Linux-embedded систем, часть 2
Злоумышленники используют Linux/Moose для компрометации Linux-embedded систем, часть 3

FastNetMon 1.1.2 мониторинг DoS/DDoS атак

FastNetMon

• Возможность выявлять самые популярные виды атак: syn_flood, icmp_flood, udp_flood, ip_fragmentation_flood
• Добавление поддержки протокола Netflow, поддерживаются 5, 9 и 10 (IPFIX) версии
• Добавление поддержки протокола sFLOW v5, который поддерживается большинством современных сетевых коммутаторов
• Добавлена поддержка использования netmap (поддерживаются Linux и FreeBSD, для Linux предоставляется специальная версия драйвера ixgbe: github.com/pavel-odintsov/ixgbe-linux-netmap) для захвата пакетов. Данный режим обеспечивает наивысшую производительность захвата трафика наряду с PF_RING ZC.
• Добавлена поддержка PF_RING ZC (к сожалению, этот режим требует отдельной лицензии на библиотеку PF_RING)

Полный список изменений можно найти ниже:

• Добавлена возможность сбора netflow на основе шаблонов с нескольких устройств (в том числе — виртуальных, в пределах одного шасси)
• Базовая поддержка IPv6 в модуле Netflow, коллектор может прослушивать IPv6 интерфейс, анализ протокола пока не поддерживается
• Информация об атаке теперь включает очень большое число полей, среди которых — используемые протоколы, типы пакетов, флаги TCP и многое другое, все это позволяет идентифицировать атаки максимально точно
• Вместо ежесекундного расчета используется усреднение скорости атаки за Х последних секунд, что позволяет минимизировать ложные срабатывания
• Добавлена возможность сохранения отпечатков атаки в отдельных файлах
• Добавлена возможность указывать лимит с которого трафик считается атакой в числе потоков, пакетов/секунду и байт/секунду.
• Добавлена интеграция с проектом ExaBGP, с помощью которого можно анонсировать блокируемые IP адреса непосредственно на BGP роутеры собственной сети либо напрямую аплинку
• Добавлена поддержка плагинов, теперь возможна разработка собственных систем захвата трафика в дополнение к имеющимся
• Добавлены init файлы для систем на базе systemd
• Добавлена возможность разблокировки IP после истечения заданного периода времени
• Добавлена возможность сохранения данных об атаке в Redis
• Добавлена поддержка распаковки протокола L2TP в режиме захвата с зеркальных портов

Со стороны разработки были осуществлены следующие изменения:

• Осуществлен переход на систему сборки cmake
• Добавлена интеграция CI системы Travis CI
• По соображениям переносимости осуществлен отказ от использования функционала С++ 11

Список поддерживаемых платформ претерпел огромные изменения, добавлена поддержка следующих систем:

• Fedora 21
• Debian 6, 7, 8
• CentOS 6, 7
• FreeBSD 9, 10, 11
• DragonflyBSD 4
• MacOS X 10.10

Для следующих систем были собраны бинарные пакеты:

• CentOS 6
• CentOS 7
• Fedora 21
• FreeBSD

Для других Linux систем рекомендуется использовать автоматический установщик.

Новая версия позволяет достичь очень высокой производительности. Скорость обработки sFLOW/Netflow почти неограниченная (до десятков и сотен гигабит секунду). Для режима PF_RING (не ZC) максимально достигнутая скорость в районе ~3mpps/5GE. Наивысшей скорости можно добиться используя системы захвата трафика PF_RING ZC или netmap, обе библиотеки позволяют обрабатывать до 10 и более миллионов пакетов в секунду на зеркальных портах (10GE+). Обращаю внимание, что при очень высокой скорости рекомендуется отключать режим трекинга соединений, который очень сильно нагружает процессорные ресурсы. Все измерения приведены для Intel i7 2600 и сетевой карты Intel 82599.

Из вещей касающихся сообщества разработки стоит отметить подключение проекта Gitter для эффективного обсуждения вопросов, касающихся проекта и в дополнение к нему добавлен классический список рассылки.

Отдельно мы бы хотели поблагодарить людей внесших большой вклад в помощь проекту и в первую очередь компаниюFastVPS, без которой данный проект был бы невозможен!

http://habrahabr.ru/post/259399/

Fireeye NX тестирование /Fireeye NX С&C Botnet test

Ботнет (англ. botnet) — ныне распространенное в этих ваших интернетах явление, представляющее из себя сеть самых обычных компьютеров, через уязвимости в ПО или по обычной ламерности юзеров заражённых специализированными, «зомбирующими» вирями (как правило, это бэкдор, позволяющий без ведома хозяина машинерии взять над ней удаленный контроль и анонимно рулить ей с любой интернетизированной точки земного шара), превратить компьютер в эдакого «зомби» (или бота), в таком состоянии которого злоумышленник сможет использовать вычислительные ресурсы оного в своих целях. Как вариант — устроить анонимную прокси.

Была собрана самая простая схема, которую можно представить:

После предварительных настроек Fireeye NX, и ботнет сервера, генерации malware для заражения, переходим к тестированию.

Проверим C&C. он запущен, и ждет подключений...