В этом выпус­ке: ска­нер CMS, поиск уяз­вимос­тей в WordPress, рас­ширение для WinDbg для задач рас­сле­дова­ния, фрей­мворк для соз­дания XNU-рут­китов, прог­рамма для рас­пре­делен­ной индекса­ции и ана­лиза соб­ранных дан­ных в про­цес­се ауди­та, фрей­мворк для раз­ведки в откры­тых источни­ках, набор шел­лов на осно­ве htaccess-фай­ла.
 

CMS под присмотром

Droopescan — ска­нер с пла­гино­вой осно­вой, который пред­назна­чен помочь иссле­дова­телям безопас­ности в задачах иден­тифика­ции проб­лем в ряде CMS (Content Management System), в основном в Drupal и Silverstripe. Ска­нер пол­ностью написан на Python и име­ет кон­соль­ный интерфейс.

Droopescan под­держи­вает четыре типа тес­тов:

  • про­вер­ка уста­нов­ленных пла­гинов;
  • про­вер­ка исполь­зуемых тем;
  • оп­ределе­ние вер­сии CMS;
  • про­вер­ка инте­рес­ных путей (адми­нис­тра­тив­ные панели, фай­лы readme и про­чее).

Осо­бен­ности:

  • быс­трое, муль­типоточ­ное ска­ниро­вание;
  • мас­совое ска­ниро­вание дос­тупно из короб­ки;
  • ска­ниро­вание на уста­рев­шие/необ­новлен­ные вер­сии сис­тем, тем и пла­гинов;
  • сис­тема пла­гинов, которая обра­баты­вает не толь­ко ска­ниро­вание, но и обновле­ния пла­гинов;
  • под­дер­жка basic-аутен­тифика­ции;
  • под­дер­жка режима перех­ватыва­юще­го прок­си.

Вы­вод о про­делан­ной работе прог­рамма может пре­дос­тавить как в виде обыч­ного тек­ста, так и в JSON-фор­мате для пос­леду­ющей обра­бот­ки. Ну и естес­твен­но, бла­года­ря пла­гино­вой сис­теме мож­но лег­ко добавить под­дер­жку какой‑либо дру­гой CMS. При­мер добав­ления мож­но пос­мотреть в plugins/example.py.

Ус­танов­ка очень прос­та:

# pip install droopescan
 

PHP Malware Scanner

Asgard Security Scanner — это бес­плат­ный быс­трый инс­тру­мент безопас­ности, который помога­ет обна­ружи­вать вре­донос­ный код на уста­нов­ках WordPress. Таким обра­зом, он повыша­ет безопас­ность вашего сай­та и уве­личи­вает его ранг в поис­ковых сис­темах.

Asgard сущес­тву­ет в двух вер­сиях:

  • об­лачная вер­сия — дает­ся набор API-вызовов;
  • standalone-вер­сия — скрипт с кон­соль­ным интерфей­сом.

Ос­новные осо­бен­ности:

  • за­пуск ска­ниро­вания на вре­донос­ное ПО и прос­то blacklists;
  • сис­тема отче­тов о ска­ниро­вании;
  • воз­можность зак­рытия опре­делен­ного ряда экс­плой­тов и пат­тернов атак.

Про­вер­ки по blacklist’у:

  • Google/Yandex SafeBrowsing от вре­донос­ного ПО и фишин­говых стра­ничек;
  • Yandex.DNS-про­вер­ки на вре­донос­ное ПО и кон­тент для взрос­лых;
  • Spamhaus Domain Blacklist (DBL) про­вер­ки;
  • про­вер­ки репута­ции домена в Web Of Trust.

Про­вер­ки на вре­донос­ный код:

  • об­наруже­ние по хешам популяр­ных web-шел­лов: c99, rst, r57 и дру­гих;
  • об­наруже­ние в CloudAPI взло­ман­ных/модифи­циро­ван­ных фай­лов и зашиф­рован­ных backdoors.

Прог­рамма исполь­зует алго­рит­мы машин­ного обу­чения для обна­руже­ния подоз­ритель­ного и вре­донос­ного кода.

 

SwishDbgExt

SwishDbgExt — это популяр­ное рас­ширение для WinDbg. Оно исполь­зует­ся для задач рас­сле­дова­ния, реак­ции на инци­ден­ты и задач форен­зики.

С недав­него вре­мени пла­гин стал дос­тупен и в исходном коде, так что, помимо воз­можной его модифи­кации, код может быть полезен как наг­лядное пособие по написа­нию пла­гинов для WinDbg.

Дос­тупный фун­кци­онал команд:

  • отоб­ражение спис­ка про­цес­сов;
  • отоб­ражение спис­ка объ­ектов;
  • отоб­ражение спис­ка драй­веров;
  • отоб­ражение спис­ка сер­висов;
  • отоб­ражение callback-фун­кций;
  • отоб­ражение SDT (service descriptor table) фун­кций;
  • дамп реги­она памяти на диск;
  • чте­ние ноды и зна­чения клю­чей в реес­тре;
  • отоб­ражение сетевой информа­ции (о сокетах, соеди­нени­ях и так далее);
  • ска­ниро­вание MBR (Master Boot Record);
  • отоб­ражение исто­рии кон­соль­ных команд;
  • отоб­ражение поль­зователь­ских дан­ных (осно­выва­ется на mimikatz);
  • отоб­ражение спис­ка KTIMER;
  • отоб­ражение спис­ка закеши­рован­ных VACB (Virtual Address Control Block);
  • отоб­ражение IDT (Interrupt Descriptor Table) и GDT (Global Descriptor Table);
  • ана­лиз прос­транс­тва памяти и воз­врат Malware Score Index (MSI) (осно­выва­ется на работе Frank Boldewin’s) и дру­гие.
 

XNU Rootkit Framework

Вре­донос­ным кодом под Mac уже никого не уди­вить, а вот фрей­мвор­ками мож­но. Так пос­читал и автор это­го про­екта. Дан­ная тема дей­стви­тель­но еще нова и очень пер­спек­тивна для иссле­дова­ний. Так­же не сто­ит забывать о раз­делении кода сис­темы Mac с ее мобиль­ным бра­том — iPhone в лице ОС iOS.

Masochist — это фрей­мворк для соз­дания XNU-рут­китов. Про­ект может быть очень полезен для иссле­дова­телей безопас­ности OS X и iOS.

На дан­ный момент про­ект спо­собен делать:

  • ре­зол­винг пуб­личных сим­волов;
  • ма­нипу­ляции про­цес­сами;
  • пе­рех­ват сис­темных вызовов.

Masochist сей­час сов­местим с 64-бит­ными OS X машина­ми и про­тес­тирован на 10.10.

Для исполь­зования необ­ходимо импорти­ровать фай­лы в твой про­ект рас­ширения ядра в Xcode. Затем импорти­ровать хедеры. Докумен­тацию по исполь­зованию API мож­но най­ти на wiki-стра­нич­ке про­екта.

Со­ветую дан­ный про­ект всем, кто толь­ко начина­ет раз­бирать­ся в осно­вах внут­ренней безопас­ности опе­раци­онной сис­темы от Apple.

 

Integrated Penetration-Test Environment

Faraday вво­дит новую кон­цепцию (IPE) Integrated Penetration-Test Environment для мно­гополь­зователь­ских IDE-пен­тесте­ров. Он пред­назна­чен для рас­пре­делен­ной индекса­ции и ана­лиза соб­ранных дан­ных в про­цес­се ауди­та безопас­ности.

Ос­новная цель Faraday — это пере­исполь­зовать уже сущес­тву­ющие инс­тру­мен­ты в сооб­щес­тве и брать их пре­иму­щес­тва для муль­типоль­зователь­ской работы.

Ин­терфейс дос­таточ­но прост, поль­зовате­ли не дол­жны заметить никакой раз­ницы меж­ду тер­миналом исходно­го при­ложе­ния и пос­тавля­емо­го в Faraday. Так­же вне­сен ряд спе­циали­зиро­ван­ных фун­кций и изме­нений, которые помога­ют поль­зовате­лям улуч­шить свою работу. Нап­ример, под­свет­ка IP-адре­сов в тер­минале.

Из клас­сных и полез­ных фич мож­но выделить и ведение исто­рии в про­цес­се тес­та на про­ник­новение. С этим ты точ­но не забудешь, что делал и чего не делал.

При этом есть очень удоб­ная визу­али­зация того, что про­исхо­дит пря­мо сей­час (real time), и воз­можность управлять коман­дой пен­тесте­ров на про­екте.

Сре­ди под­держи­ваемых инс­тру­мен­тов (40+): BeEF, Hydra, Acunetix, Nessus, sqlmap, W3af, Burp, Metasploit, Nikto, Skipfish, Nmap, Shodan и дру­гие.

Инс­тру­мент отлично ста­вит­ся на Ubuntu, Mac, Debian, ArchLinux, Kali Linux, ArchAssault.

Прог­рамма име­ет плат­ную и бес­плат­ную вер­сию.

 

Recon-NG

Recon-ng — это фрей­мворк для раз­ведки в откры­тых источни­ках, в том чис­ле в базе укра­ден­ных учет­ных дан­ных PwnedList.

Об откры­тии PwnedList сооб­щалось в мар­те 2012 года. На этом сай­те любой жела­ющий может ввес­ти хеш от сво­его адре­са элек­трон­ной поч­ты и про­верить наличие такого адре­са в раз­личных базах укра­ден­ных дан­ных. Осно­вате­ли сай­та пос­тоян­но монито­рят более 200 хакер­ских форумов, ска­чива­ют све­жие базы с логина­ми и пароля­ми, а так­же ведут авто­мати­чес­кий сбор дам­пов в интерне­те. В мар­те прош­лого года у них была база из 12,3 мил­лиона укра­ден­ных акка­унтов, сей­час уже 29,6 мил­лиона ком­бинаций поч­товых адре­сов и паролей, а так­же отдель­но 168,6 мил­лиона адре­сов элек­трон­ной поч­ты и 966,2 мил­лиона паролей. Попол­няет­ся база ежед­невно.

Фрей­мворк Recon-ng сде­лан по образцу Metasploit и под­держи­вает под­клю­чение раз­ных модулей. Один модуль выводит спи­сок сот­рудни­ков опре­делен­ной ком­пании, осу­щест­вляя поиск в соци­аль­ных сетях. Дру­гой модуль — спи­сок всех под­доменов для ука­зан­ного хос­та, про­ведя поиск в Google. Есть нес­коль­ко модулей и для работы с утек­шими в откры­тый дос­туп учет­ными дан­ными, в том чис­ле с базой PwnedList.

Ус­танов­ка из Kali Linux очень прос­та:

# apt-get update && apt-get install recon-ng

Сбор­ка же из исходни­ков про­тека­ет не менее три­виаль­но:

# git clone https://LaNMaSteR53@bitbucket.org/LaNMaSteR53/recon-ng.git
# cd recon-ng
# pip install -r REQUIREMENTS

Бо­лее под­робную инфу по исполь­зованию этой тул­зы ты можешь най­ти в User Guide про­екта.

 

HTSHELLS

HTSHELLS — это набор шел­лов на осно­ве htaccess-фай­ла (спе­циаль­ный кон­фигура­цион­ный файл для Apache). При помеще­нии такого фай­ла в нуж­ную дирек­торию на взло­ман­ном сер­вере меня­ется ее поведе­ние, естес­твен­но, в нуж­ном нам рус­ле. Дан­ный файл стан­дар­тный и по сво­ему име­ни, мож­но ска­зать, не осо­бо прив­лека­ет вни­мание, осо­бен­но если там уже находил­ся такой файл.

Сре­ди шел­лов при­сутс­тву­ют:

  • mod_caucho.shell;
  • mod_cgi.shell.bash;
  • mod_cgi.shell.windows;
  • mod_include.shell;
  • mod_multi.shell;
  • mod_php.stealth.shell;
  • mod_python.shell.htaccess;
  • mod_ruby.shell.htaccess;
  • mod_suphp.shell.htaccess.

Та­ким обра­зом, htshells пред­став­ляет собой набор web-атак вок­руг htaccess-фай­лов.

При­сутс­тву­ют сле­дующие типы атак:

  • от­каз в обслу­жива­нии;
  • рас­кры­тие информа­ции;
  • ин­терак­тивное выпол­нение команд;
  • directory traversal;
  • про­чие, типа обхо­да аутен­тифика­ции.

Ис­поль­зование очень прос­тое: выбира­ется нуж­ная ата­ка, соот­ветс­тву­ющий файл пере­име­новы­вает­ся в htaccess и заг­ружа­ется на web-сер­вер. Теперь при прос­мотре дан­ной локации выпол­няет­ся выб­ранная ата­ка.

Ту­тори­ал по исполь­зованию ты можешь най­ти на сай­те авто­ра.

Оставить мнение