SANS топ 20 утилит контроля ИБ

Part 1 - we look at Inventory of Authorized and Unauthorized Devices.
Part 2 - we look at Inventory of Authorized and Unauthorized Software.
Part 3 - we look at Secure Configurations.
Part 4 - we look at Continuous Vulnerability Assessment and Remediation.
Part 5 - we look at Malware Defenses.
Part 6 - we look at Application Security
Part 7 - we look at Wireless Access Control
Part 8/9 – we look at Data Recovery and Security Training.
Part 10/11 - we look at Secure Configurations for Network Devices such as Firewalls, Routers, and Switches and Limitation and Control of Network Ports, Protocols and Services.

Графический интерфейс для volatility [GUI for Volatility Framework]

Недавно обновился VolUtility -  web-бейс интерфейс для известного инструмента форенсики.

https://techanarchy.net/2016/04/volutility-a-web-front-end-for-the-volatility-framework/

 

После установки Centos7 на варю, использовал скрипт с гита разработчика, который позволяет автоматизировать установку. (VolUtility + Volatility Framework)
https://raw.githubusercontent.com/kevthehermit/VolUtility/master/centos_7_bootstrap.sh

Стартуем:
cd /opt/tools/VolUtility/
./manage.py runserver 0.0.0.0:8000

Очень приятный ифейс, для выполнение рутинных задач. Полный гайд по нему, есть по ссылке выше(видео)

После загрузки слепка памяти(в моем случае это седьмая форточка) для анализа:

Генерация дерева процессов:

Выгрузка артефактов и т.п.

Обзор, настройка и тестирование Fireeye HX [Configure Fireeye HX +CM+NX] Часть1

Решение Fireeye HX позволяет отслеживать вредоносную активность на рабочей станции, для более оперативного реагирование на инциденты информационной безопасности, расследование инцидентов (forensic, слепки памяти и т.п.) и изоляцией зараженной станции, для предотвращения распространения инфекции далее по сети.

Недавно HX попал в нашу лабораторию и я сделал базовые настройки и протестировал отработку связки - CM + NX + HX. 

CM - платформа "центрального менеджмента" для остальных устройств, служит так же для обмена индикаторами компрометации (IOC) между всеми устройствами.

NX - предназначен для анализа проходящего через него трафика, на наличие вредоносного кода или аномальной активности.

HX - было упомянуто в самом начале :) 

Топологию можно найти в других постах, просто к ней добавилось устройство HX, которое было подключено к CM :
Базовая настройка Fireeye NX EX FX CM basic config

http://devnulls.blogspot.com/2015/04/fireeye-nx-ex-fx-cm-basic-config.html
Тестирование Fireeye EX в режиме MTA + URL Dynamic Analysis / Test Fireeye EX MTA + URLDA

http://devnulls.blogspot.com/2015/05/fireeye-ex-mta-url-dynamic-analysis.html
BCC. Postfix / MS Exchange + Fireeye EX

http://devnulls.blogspot.com/2015/07/bcc-postfix.html
Настройка и тестирование Fireeye EX в режиме MTA / Fireeye EX MTA config

http://devnulls.blogspot.com/2015/05/fireeye-ex-mta-fireeye-ex-mta-config.html

Сбор цифровых отпечатков. Memory forensics.

Memory Forensics Cheat Sheet v1.2

Volatility Memory Forensics Framework + WEB

Volatility Framework является полностью открытым набором инструментов, реализованных на Python под лицензией GNU General Public License, для извлечения цифровых артефактов из энергозависимой памяти (RAM).

http://www.volatilityfoundation.org/#!25/c1f29

https://github.com/JamesHabben/evolve/

https://github.com/volatilityfoundation/volatility

Malware Information Sharing Platform (MISP) on Doker

Original - https://blog.rootshell.be/2016/03/03/running-misp-in-a-docker-container/

MISP (“Malware Information Sharing Platform“) is a free software which was initially created by the Belgian Defence to exchange IOC’s with partners like the NCIRC (NATO). Today it became an independent project and is mainly developed by a group of motivated people. MISP is mainly used by CERT’s (“Computer Emergency Response Team”) but also private companies to exchange thousands on IOC’s on a daily basis.

To build the Docker image:

# git clone https://github.com/xme/misp-docker
# cd misp-docker
# docker build -t misp/misp --build-arg MYSQL_ROOT_PASSWORD=<mysql_root_pw> .
# cat <<__END__ >env.txt
MYSQL_ROOT_PASSWORD=my_strong_root_pw
MYSQL_MISP_PASSWORD=my_strong_misp_pw
__END__
# docker run -d -p 443:443 --env-file=env.txt --restart=always --name misp misp/misp

Once the container booted, there are still some manual operations to perform. Feel free to fine-tune it to your needs if you already know the tool.
Change the ‘baseurl‘ parameter in /var/www/MISP/app/Config/config.php
Reconfigure Postfix to match your SMTP environment

To use MISP, point your browser to https://your-docker-server:443.

The files are available on my github.com repository.

FortiSandbox Fortinet [sniffer] part1.1

Опыт развертывания FortiSandbox, системы динамического + статического анализа файлов от компании Fortinet.

         

Часть 1.1



После установки и базовой настройки, я создал vswitch (vlan999) в промискус-моде, и подключил туда 3 устройства:

• FortiSandbox, портом "port6"
• Windows 7
• Ubuntu Server 15 с апачем на борту.

Настройка порта на санбоксе:

FortiSandbox Fortinet [ basic install / configure ] [part1.0]

Опыт развертывания FortiSandbox, системы динамического + статического анализа файлов от компании Fortinet.

Часть 1.0

Ко мне на тест попал виртуальный аплайнс для развертывания на гипервизорах vmware.
После запроса лицензий инстанс был зарегистрирован в базе форти и был сгенерирован файл для активации виртуалки (.lic)

Установка и настройка Fortisandbox:

Обязательным условием является поддержка CPU опций:
Intel Virtualization Technology (VT-x/EPT) или AMD Virtualization (AMD-V/RVI),
а так же в BIOS должен быть включен -  Virtualization Technology and 64-bit support.
На своем ESXI (6я версия) я добавил строчку:

[root@localhost:~] cat /etc/vmware/config
libdir = "/usr/lib/vmware"
authd.proxy.nfc = "vmware-hostd:ha-nfc"
authd.proxy.nfcssl = "vmware-hostd:ha-nfcssl"
authd.proxy.vpxa-nfcssl = "vmware-vpxa:vpxa-nfcssl"
authd.proxy.vpxa-nfc = "vmware-vpxa:vpxa-nfc"
authd.fullpath = "/sbin/authd"
vhv.enable = "TRUE"

Деплоим .ovf контейнер, настраиваем ip адрес на порту "port1" (ip адрес будет нужен на этапе генерации лицензий)




После деплоя, запускаем, ждем пока закончится разметка волумов, и инициализация бд.
Заходим, admin:пусто.
Прописываем адрес и гейт:
> set port1-ip 192.168.1.123/24
> set default-gw 192.168.1.1

Скачиваем файл лицензий, и заливаем их через Web-iface. (https://192.168.1.123)

Twitter sec memories #1 [01.02.15]

Моя подборка тулз и заметок по ИБ в одном посте #1

(наиболее интересное что накопилось за пару дней)

• ICS Security. [Tools, tips, tricks]

Репозиторий посвященный безопасности ICS.

https://github.com/ITI/ICS-Security-Tools#ics-security-tools-tips-and-trade

• Threat Killer

NoVirusThanks Threat Killer is a fully-scriptable malware remover that is able to remove persistent files, kernel drivers installed by rootkits, registry keys and values, terminate processes (even if critical), delete an entire folder (also using recursive) and much more by executing custom scripts.

• FastIR Collector - Windows Incident Response Tool

This tool collects different artefacts on live Windows and records the results in csv files. With the analyses of this artefacts, an early compromission can be detected.

https://github.com/SekoiaLab/Fastir_Collector

• BURPSUITE YARA PLUGIN

http://blog.politoinc.com/2016/01/burpsuite-yara-plugin/

• MassBleed SSL Vulnerability Scanner

sh massbleed.sh [CIDR|IP] [single|port|subnet] [port] [proxy]

https://github.com/1N3/MassBleed

• SELKS (ELK) [iso/vm](Suricata Elasticsearch Logstash Kibana)

SELKS is both Live and installable Network Security Management ISO based on Debian implementing and focusing on a complete and ready to use Suricata IDS/IPS ecosystem with its own graphic rule manager. From start to analysis of IDS/IPS and NSM events in 30 sec.

https://www.stamus-networks.com/open-source/

Via torrent: SELKS-2.1-desktop.iso.torrent
Via HTTP: SELKS-2.1-desktop.iso.

Проследить открытие документа. Утечки данных.

На последнем Black Hat Las Vegas был представлен интересный проект Canarytokens, который может элегантно решить проблему. Идея проекта очень проста: мы создаем поддельные «значимые» ресурсы (письма, документы, домены и так далее) и делаем так, чтобы при открытии любого из них атакующим на внешний ресурс отправлялся запрос со специальным токеном. Как только токен приходит, мы узнаем, что кто-то открыл документ, а значит, у нас утечка. Простейший вариант: создать вордовский документ с интересным названием типа passwords.doc с картинкой, вставленной с внешнего сайта.

http://canarytokens.org/generate
https://github.com/GrrrDog/DocTracker

«Офис» с давних времен поддерживает возможность подписать документ, что позволяет защитить его от последующих исправлений. Подпись создается с помощью обычного личного сертификата x509 (считай тот же, что и у HTTPS). При этом подпись документа проверяется сразу же при его открытии, то есть Protected View не останавливает этот процесс.
Второй момент заключается в том, что сертификат проверяется стандартным виндовым CryptoAPI. В самих сертификатах масса мест, где можно указать внешний URL. В первую очередь — проверка отзыва сертификата
(CRL, OCSP) и путь до Intermediate или Root CA («Поставщик центра сер-
тификации»). Таким образом, при проверке подписи «Офису» требуется
проверить сертификат, а потому ОС проверяет всю цепочку сертификатов
(от конечного до корневого), проходя по всем URL. Добыть валидный конечный сертификат с произвольными значениями
CRL и OCSP почти невозможно (эти поля контролируются CA), так что мы
возлагаем надежду только на местоположение сертификата Intermediate
CA — при проверке валидности ОС должна сходить и скачать его. Выходит,
нам нужно создать конечный сертификат и подписать им любой офисный
документ. Создать сертификат несложно: достаточно сделать специальный кон-
фиг и пару раз выполнить команду openssl. Подписать документ тоже не великая
проблема — заходишь во вкладку Insert, далее — Signature Line, вводим
произвольные значения, OK, двойной клик на подпись и выбираешь лич-ный сертификат.

Malicious Code Analysis on Ukraine's Power Grid Incident [BlackEnergy]

Ukraine Power Grid APT (Knownsec Security Team) :
(Расследование APT атаки на украинские энергосистемы)

Киберугроза BlackEnergy2/3 [Атаки на ТИ инф-ру Украины]

Атаки на критическую ИТ инфраструктуру Украины:

В результате проведения компьютерно-технических исследований, также был выявлен некоторый инструментарий, применяемый злоумышленниками в процессе осуществления атаки, а именно:

• reDuh – для туннелирования TCP через HTTP-запросы, бэкдор; позволяет получать доступ ко внутренним объектам сети извне [10].
• weevely3 – веб-шелл для командной строки, бэкдор; позволяет получать доступ ко внутренним объектам сети извне [11].
• dropbear – специальная версия SSH-сервера; открывает сокет и позволяет подключаться удаленно с использованием «вшитого» пароля или ключа, бэкдор [12].
• DSEFix – для загрузки неподписанных драйверов в обход существующих механизмов защиты ОС [12].

Не пренебречь возможностью и проверить лог-файлы и информационные потоки на предмет наличия/отсутствия в них свидетельств сетевого взаимодействия с использованием указанных индикаторов:

hxxps://5.9.32.230/Microsoft/Update/KS1945777.php
hxxps://31.210.111.154/Microsoft/Update/KS081274.php
hxxps://88.198.25.92/fHKfvEhleQ/maincraft/derstatus.php
hxxps://31.210.111.154/Microsoft/Update/KS081274.php
hxxps://146.0.74.7/l7vogLG/BVZ99/rt170v/solocVI/eegL7p.php
hxxps://188.40.8.72/l7vogLG/BVZ99/rt170v/solocVI/eegL7p.php
hxxps://5.149.254.114/Microsoft/Update/KC074913.php
hxxps://148.251.82.21/Microsoft/Update/KS4567890.php

Будет не лишним проверить наличие определенных файлов, содержащих в зашифрованном виде плагины BlackEnergy2:

%WINDIR%\system32\drivers\ieapflrt.dat

Больше индикаторов вы можете почерпнуть тут [17] и тут [18].

Использованные материалы:

[1] http://www.welivesecurity.com/2016/01/03/blackenergy-sshbeardoor-details-2015-attacks-ukrainian-news-media-electric-industry/
[2] http://www.welivesecurity.com/2016/01/04/blackenergy-trojan-strikes-again-attacks-ukrainian-electric-power-industry/
[3] http://habrahabr.ru/company/eset/blog/274469/
[4] http://www.forbes.com/sites/thomasbrewster/2016/01/04/ukraine-power-out-cyber-attack/
[5]http://www.theregister.co.uk/2016/01/04/blackenergy_drains_files_from_ukraine_media_energy_organisations/
[6] http://www.reuters.com/article/us-ukraine-crisis-malware-idUSKBN0UI23S20160104
[7] http://www.oe.if.ua/showarticle.php?id=3413
[8] http://www.isightpartners.com/2014/10/cve-2014-4114/
[9] http://habrahabr.ru/company/eset/blog/240345/
[10] https://github.com/sensepost/reDuh
[11] https://github.com/epinna/weevely3
[12] https://matt.ucc.asn.au/dropbear/dropbear.html
[13] https://github.com/hfiref0x/DSEFix
[14] http://lb.ua/news/2016/01/05/325082_eset_hakeri_zarazili_ukrainskie.html
[15] https://golospravdy.com/xakery-vzlomali-vse-sajty-mediagruppy-inter/
[16] http://www.koe.vsei.ua/koe/index.php?page=50&novost=208
[17] https://securelist.com/blog/research/67353/be2-custom-plugins-router-abuse-and-target-profiles/
[18] https://www.youtube.com/watch?v=I77CGqQvPE4

https://cys-centrum.com/ru/news/black_energy_2_3

GlassRAT [Dropper, dllinjection]

Схема заражения GlassRAT:

Можно сам сервер как dll сделать, а запускать его через дроп. тк палива меньше.
при запуске дропа, из ресурсов выдергивается dll'ка и передается управление dll'шке, а она уже инфецирует систему и пишется в автозагрузку, и антивирус в отсосе.

Viper is a binary analysis and management framework.

Viper - анализатор бинарников.

Install:

http://viper-framework.readthedocs.org/en/latest/installation/index.html

База APT атак [APT & CyberCriminal Campaign Collection]

https://github.com/gasgas4/APT_CyberCriminal_Campagin

2006-2016

I collect data from kbandla and other reseearchers.
Please let me know if I lost some interesting APT or Malware campaigns.

Fireeye malware rec "clip" [NX, EX, FX] запись действий малвари

Запись действий (видео) вредоносного файла внутри виртуальной машины гипервизора MVX (Fireeye)

NX#_debug show avc config

NX#_debug avc config vnc_rec enable

Attack Validator Controller Daemon
        Name                                          : avc
        NA Heart-Beat timeout (ms)                    : 30000
        VM Ping Retry Delay (ms)                      : 5000
        VM Ping Retry Max                             : 20

YaVol - GUI for Volatility Framework and Yara

GUI for Volatility Framework and Yara

1. InstallationClone repo

git clone https://Ft44k@bitbucket.org/Ft44k/yavol.git

default forder for yara sigs is /yara_rules

2. Prerequisitesyou need to have installed Python (2.7), PyQt4, and sqlite3

maltrail [malicious traffic detection system]

https://github.com/stamparm/maltrail

Maltrail is a malicious traffic detection system, utilizing publicly available (black)lists containing malicious and/or generally suspicious trails, along with static trails compiled from various AV reports and custom user defined lists, where trail can be anything from domain name (e.g. zvpprsensinaix.com for Banjori malware), URL (e.g. http://109.162.38.120/harsh02.exefor known malicious executable) or IP address (e.g. 103.224.167.117 for known attacker). Also, it has (optional) advanced heuristic mechanisms that can help in discovery of unknown threats (e.g. new malware).

OTX

a91ed8e8bdc2d3d7fcc36f26d5c1b919266e3e6ed1a4a0e720ab960a49efb1e9

[ OSSEC + Splunk ] config/install

On Splunk:

Example install Splunk:

rpm -Uvh splunk-5.0.2-149561-linux-2.6-x86_64.rpm

Install ossec module into splunk

nano /opt/splunk/etc/system/default/inputs.conf

[udp://192.168.10.109:10002] # OSSEC server IP
disabled = false
sourcetype = ossec

OR