Video

The Kippo Kronicles - Ep1

Posted on:
January 23, 2013

Video

4o StudentGuru Patras event - Επιθέσεις και ασφάλεια υπολογιστών

Posted on:
January 22, 2013

Jan 17 2013

HoneyDrive review by a honeypot enthusiast

Categories:

Blog News

by

Long time BruteForce Lab’s Blog reader and commenter “Black September” has written a very nice review on HoneyDrive which was posted as a comment. I took the liberty to share it with you more properly here:

Im mostly used to running High Interaction honeypots, they can be a fantastic source of information, but takes a lot of time configuring, monitoring and also a certain amount of risk. A honeynet of HI honeypots is not something i would recommend to beginners or to people with very little time on their hands.

I first tested HoneyDrive last year, in the end of november. when BruteForce Labs released the 0.1 version. My first impression of this simple to use and easy to manage distro totally changed my conception about medium and low interaction honeypots (http://bruteforce.gr/honeydrive#comment-2819).

The 0.1 version did not have any GUI options. This is not something im bothered about, but Ion actually pointed something very important out to me: “Most honeypots are not very easy to setup for the beginner infosec enthusiast or the new sysadmin and many times the process ends in frustration”. Thinking back on my first crash-and-burn-attempts i can only agree.

The HoneyDrive Santa Edition came out during christmas, this time they added a GUI – yes, you still gonna have to bring out the command line to do certain things, but there is also a myriad of tools that is managed trough an easy to use interface.

The learning curve for honeypots/honeynets is steep and long for a beginner. What BruteForce Labs have managed to do with the HoneyDrive releases is to make it more comprehensible and less steep for those who willing to learn.

Honeypots can be both tun and educating, just keep this in mind: you are inviting the attackers into YOUR network, even with medium and low interaction honeypots there is a risk of the attacker breaking out your virtual machine and getting a foothold. Treat the host machine as compromised and keep it segregated from your “real” network.

1aN0rmus over at TekDefense.com gave a really good and accurate description of the HoneyDrive:
“As Backtrack is to offense, and The Security Onion is to defense, HoneyDrive is the premier honeypot distro.”
(http://www.tekdefense.com/news/2012/12/27/honeydrive-review.html)

I gave the first release of HoneyDrive 10/10, something i now regret.
Every new release of HoneyDrive is even better than the last one and i believe BruteForce Labs will keep impressing us in the future. Once again: thanks a million for all the hard work you put down!

HoneyDrive, you gotta love this!! :D

This post has no tag

Status update

Thursday January 17, 2013 — 12:35 PM

Due to some network hiccups yesterday I was unable to upload the 3+GB exported HoneyDrive 0.2 OVA file. Fortunately everything is fixed today and the file is now available for download on SourceForge! Grab yours: http://sourceforge.net/projects/honeydrive/

Jan 17 2013

SSH honeypot workshop @ BSides London 2013

Categories:

General News, Honeypots

by

Long time honeypot enthusiast, BruteForce Lab’s Blog reader and Kippo-Graph ideas contributor Leon van der Eijk, is giving a workshop on SSH honeypots during Bsides London 2013, using Kippo and Kippo-Graph. Here is the announcement from The Honeynet Project website:

At the last BruCON conference in Ghent last year I had the pleasure to talk to Soraya (Iggi), Bsides London co-organizer. She convinced me into submitting a workshop proposal for the Bsides London 2013.

And guess what, it got accepted.

So I will be doing a workshop on setting up a basic kippo SSH honeypot from Upi Tamminen (http://code.google.com/p/kippo/) and if time permits, using Ioannis Koniaris (Ion) kippo visualization tool kippo-graph (http://bruteforce.gr/kippo-graph).

Bsides London will be held on April 24th 2013 at Kensington and Chelsea Town Hall

Hope to see/meet/talk and share drinks !

Cheers,
Leon van der Eijk

Tags: , ,

Jan 16 2013

Ανάλυση malware, για όλους! [μέρος 1]

Categories:

Malware

by

Μπαίνοντας στο γραφείο του, Δευτέρα πρωί και μετά από ένα ήσυχο κι ευχάριστο Σαββατοκύριακο, ο Μέσος Παπαδόπουλος δέχεται έναν αναπάντεχο βομβαρδισμό παραπόνων από τους υπαλλήλους της εταιρείας. Όλη η γκρίνια φαίνεται να αφορά σε έναν Windows Server, ο οποίος φιλοξενεί το μισό Intranet κι από νωρίς το πρωί σέρνεται. Δεν περνά πολλή ώρα κι ο άνθρωπός μας αρχίζει να πανικοβάλλεται. Αρχίζει κάτι να ψελλίζει, για ένα πρόγραμμα που προχθές βρήκε σε ένα μάλλον άγνωστο site, κι εγκατέστησε στον server…

deltaHacker 016 (τεύχος Ιανουαρίου 2013) | Ανάλυση malware, για όλους! [μέρος 1]

Το συγκεκριμένο εργαλείο υποτίθεται ότι έπαιρνε αυτοματοποιημένα backup ιστοσελίδων, κι ο Μέσος Παπαδόπουλος το βρήκε χρήσιμο για ένα πρότζεκτ που τώρα τελευταία δουλεύει. Όταν όμως το έτρεξε, το πρόγραμμα δεν φάνηκε να κάνει κάτι. Ντάμπλγιου-τι-εφ, μουρμούρισε ο Μ. Π. κι ελαφρά εκνευρισμένος άρχισε την αναζήτηση για κάποιο άλλο utility. Ήταν Παρασκευή απόγευμα, η ώρα για να σχολάσει πλησίαζε κι από πάνω είχε και το τριβέλισμα δύο και πλέον εβδομάδων από άλλους συναδέλφους, οι οποίοι τον ζάλιζαν εξυμνώντας τα οφέλη των αυτοματισμών, των αντιγράφων εφεδρείας κ.λπ. κ.λπ.

Παίρνοντας μια βαθιά ανάσα, ο Μ. Π. συνδέεται τώρα στον Windows Server και ψάχνει να βρει τι μπορεί να πηγαίνει στραβά. Ήδη βέβαια διάφορες σκέψεις περνούν από το μυαλό του, αλλά μην τολμώντας καν να τους δώσει την πρέπουσα βαρύτητα ελπίζει ότι το πρόβλημα θα οφείλεται Κάπου Αλλού (TM). Μετά από λίγη ώρα απρόθυμα επιστρέφει στην αρχική, φρικτή υποψία, που πλέον έχει γίνει βεβαιότητα.

Με εκτενές ψάξιμο παρατηρεί κάποια αρχεία τα οποία δεν ήταν εκεί την Παρασκευή, ενώ ούτε και σήμερα θα έπρεπε να είναι. Η επισκόπηση των ενεργών διεργασιών του συστήματος αρχικά δεν δείχνει κάτι το ύποπτο. Ξαφνικά, όμως, παρατηρεί δυο εφαρμογές που συνήθως είναι idle, τώρα να είναι κάπως υπερδραστήριες. Επιπρόσθετα, έχουν δεσμεύσει και ύποπτα πολλή μνήμη! Με μια γρήγορη ματιά στα logs του firewall αποδεικνύεται πως έχουν και διάθεση για κουβέντα, καθώς πολλά πακέτα φαίνεται να πηγαινοέρχονται εξαιτίας τους σε non-standard ports!

Οι κακές σκέψεις που έχουν κατακλύσει τον νου του Μ. Π. έχουν πλεον επιβεβαιωθεί. Απρόθυμα και κάπως φοβισμένα φωνάζει τον junior admin για βοήθεια, ενώ ενημερώνει και τον προϊστάμενο για μια κακόβουλη εφαρμογή, η οποία έχει εγκατασταθεί στον Windows Server και πιθανώς και σε άλλα μηχανήματα της εταιρείας. «Το πώς δεν έχει σημασία», προσθέτει, προσπαθώντας να προσδώσει στον τόνο της φωνής του την αίσθηση του κατεπείγοντος. «Τώρα είναι η ώρα της δράσης — και πρέπει να δράσουμε χθες!», συμπληρώνει, ελπίζοντας ότι αυτό το τελευταίο θα μουδιάσει αρκετά τον προϊστάμενο κι έτσι θα κερδίσει χρόνο και κυρίως μια κάποια άνεση κινήσεων, προκειμένου να δει τι στο καλό θα κάνει. Σε κάθε περίπτωση, έχει μια μεγάλη μέρα μπροστά του.

Τι διαγράφεται (μπροστά μας)
Αγαπητές φίλες και φίλοι, στη σειρά άρθρων που τώρα ξεκινά θα μάθουμε πώς μπορούμε να αναλύουμε κακόβουλα προγράμματα, σαν αυτό που θρονιάστηκε στον υπολογιστή του Μέσου Παπαδόπουλου. Κι όταν μιλάμε για ανάλυση εννοούμε την εφαρμογή διαφόρων τεχνικών, ώστε να μαθαίνουμε τις ενέργειες που εκτελεί ένα μεταγλωττισμένο αρχείο (binary) για το οποίο, φυσικά, δεν διαθέτουμε τον πηγαίο κώδικα (source code). Πρακτικά, έτσι έχουν πάντα τα πράγματα με τους ιούς, τα worms, τα trojan horses κι άλλα κακόβουλα προγράμματα (malware).

Με τις τεχνικές μας θα καταλαβαίνουμε τι σκοπό έχει το malware, ποια ήταν τα κίνητρα του δημιουργού του, πώς είναι προστατευμένο, πώς κρύβεται από τα μάτια του μέσου χρήστη κ.ο.κ. Καλό είναι να γνωρίζετε ότι η διαδικασία της ανάλυσης γίνεται λίγο πολύ στα τυφλά — τουλάχιστον στα πρώτα στάδιά της. Βεβαίως, καθένα από τα στάδια ενδέχεται να ανατροφοδοτεί με νέες πληροφορίες γνώσεις που εξήχθησαν σε προηγούμενα. Κατά τον τρόπο αυτό, είναι προφανές ότι συχνά πραγματοποιείται ένας κύκλος απόκτησης πληροφοριών.

Θα ασχοληθούμε με δύο βασικές τεχνικές ανάλυσης, ενώ θα παρουσιάσουμε και τα εργαλεία που χρησιμοποιούνται σε κάθε μία. Φυσικά, επειδή μας αρέσουν οι πράξεις περισσότερο από τα λόγια, θα εφαρμόσουμε όλα αυτά πάνω σε πολύ συγκεκριμένα δείγματα κακόβουλων προγραμμάτων.

Στο τέλος της σειράς μας θα έχετε αποκτήσει την ικανότητα διενέργειας μιας βασικής ανάλυσης ενός ύποπτου προγράμματος, ενώ θα μπορείτε να βγάζετε και συμπεράσματα για το τι ενέργειες θα πραγματοποιήσει σε περίπτωση που ενεργοποιηθεί. Πριν περάσουμε όμως στην ίδια τη διαδικασία της ανάλυσης, ας βάλουμε μια σειρά ξεκινώντας από τα βασικά.

Διαβάστε όλο το άρθρο στο deltaHacker 016 (τεύχος Ιανουαρίου 2013). Όλες τις πληροφορίες για τις συνδρομές στο deltaHacker, το μοναδικό μηνιαίο περιοδικό με θεματολογία ethical hacking, δίκτυα, ασφάλεια, προγραμματισμό και ηλεκτρονικά, που δεν κυκλοφορεί στα περίπτερα και απευθύνεται σε όλους, θα τις βρείτε εδώ ακριβώς. Για παραγγελίες μεμονωμένων τευχών ή συνδρομών συμπληρώστε τη σχετική φόρμα.

Σημείωση: Οι συνδρομές μπορούν να ξεκινούν από όποιο τεύχος επιθυμείτε, αρκεί να υπάρχει σε stock.

Tags: , , , ,

Jan 16 2013

HoneyDrive 0.2 Nectar edition released!

Categories:

Blog News, Honeypots, Malware, Virtualization, Visualization

by

Hello all :)

Once more, I’m in the happy position to announce a new release for HoneyDrive (Desktop)!
This is version 0.2 aka Nectar edition, which brings more honeypot and malware related tools on the distro.

You can download it from HoneyDrive’s SourceForge page at: http://sourceforge.net/projects/honeydrive/

Changes and additions on this version (in no particular order):

  1. Installed Kippo2Wordlist, a tool to create wordlists based on passwords used by attackers against Kippo SSH honeypot.
  2. Installed DionaeaFR , a visualization tool which was recently presented in a previous post.
  3. Added Kojoney SSH honeypot, patched version (updated scripts, new features, etc).
  4. Added Amun malware honeypot, along with useful scripts.
  5. Added Glastopf web honeypot, along with Wordpot WordPress honeypot.
  6. Installed mwcrawler, a script that parses malicious URL lists and downloads malware files (video).
  7. Added Thug, a honeyclient written in Python aimed at mimicking the behavior of a web browser in order to detect and emulate malicious contents.
  8. Added the following tools: Pipal, John the Ripper, IRCD-Hybrid, Origami, dsniff, hping, Scapy, Tcpreplay, tcptrace, sslstrip, libemu, Adminer.
  9. Added the Open Penetration Testing Bookmarks Collection to Firefox.

For comments, suggestions, fixes, please use the HoneyDrive page: http://bruteforce.gr/honeydrive

Tags: , , , , , , , , , , , , , , , , , ,

Page 14 of 29« First...1213141516...20...Last »