Мониторим ФС

Автор: Sergi Alvarez
URL: https://github.com/nowsecure/fsmon
Система: iOS / OS X / Android / Firefox OS / Linux

При исследовании любой программы среди прочего очень важно знать, как программа работает с файлами: какие и когда файлы создает, что пишет в файлы и так далее. Для ОС Windows в этом плане незаменимы инструменты типа procmon или API Monitor (да и функциональность их шире, чем мониторинг операций с файлами).

Для мобильных ОС, таких как iOS, Android и Firefox OS, подобного инструмента долгое время не было, и нужно было писать собственные инструменты на основе Xposed, Cydia Substrate или Frida.

Fsmon — это инструмент, извлекающий события, связанные с файловой системой, из определенной директории и представляющий их в консоли с цветовым оформлением или в формате JSON в файле. Программа сразу из коробки позволяет фильтровать события от определенных программ на основании имени или PID. Уникальность данного инструмента, как уже говорилось, в поддержке мобильных ОС, помимо десктопных OS X, Linux. Так, для Android поддерживаются архитектуры x86, ARM, ARM64, MIPS.

Параметры команды достаточно просты:

$ ./fsmon -h
Usage: ./fsmon [-jc] [-a sec] [-b dir] [-p pid] [-P proc] [path]
 -a [sec]  stop monitoring after N seconds (alarm)
 -b [dir]  backup files to DIR folder (EXPERIMENTAL)
 -c        follow children of -p PID
 -h        show this help
 -j        output in JSON format
 -f        show only filename (no path)
 -p [pid]  only show events from this pid
 -P [proc] events only from process name
 -v        show version
 [path]    only get events from this path

Для установки потребуется предварительно скомпилировать инструмент из исходных кодов, детали смотри на странице проекта.

 

Pentestly

Автор: Cory Duplantis
URL: https://github.com/praetorian-inc/pentestly
Система: Windows

Pentestly — это комбинация Python-инструментов для тестов на проникновение. При этом сам инструмент написан на PowerShell :).

Особенности:

  • импорт Nmap XML;
  • проверка SMB-аутентификации:
    • индивидуальные аутентификационные данные,
    • файлы с аутентификационными данными,
    • без аутентификационных данных,
    • NTLM hash;
  • проверка привилегий локального администратора для успешной SMB-аутентификации;
  • идентификация SMB-шар, доступных на чтение с валидными аутентификационными данными;
  • хранение аккаунтов администраторов Domain/Enterprise;
  • определение расположения процессов Domain Admin;
  • определение систем, входящих в Domain Admins;
  • выполнение PowerShell-команд в памяти и получение результата;
  • выполнение Mimikatz для получения паролей в открытом виде из памяти (Invoke-Mimikatz.ps1);
  • получение командного шелла (Powercat);
  • получение сессии Meterpreter (Invoke-Shellcode.ps1).

В основе проекта лежат инструменты: recon-ng, wmiexec.py, smbmap.py, Invoke-Mimikatz.ps1, powercat.ps1, Invoke-Shellcode.ps1, CrackMapExec.

 

ROP для обхода AV

Авторы: Giorgos Poulios, Christoforos Ntantogian, Christos Xenakis
URL: https://github.com/gpoulios/ROPInjector
Система: Windows

Полагаю, абсолютное большинство из нас при упоминании ROP (Return Oriented Programming) сразу подумает, что речь пойдет об эксплуатации, об обходе DEP (Data Execution Prevention). Но сейчас будет о другом. ROP позволяет представить ряд высокоуровневых операций через несколько более простых. Ряд исследователей решили таким образом скрывать шелл-коды в чужих программах и написали ROPInjector.

Инструмент написан на си (win32) и как раз предназначен для конвертирования шелл-кода в ROP-последовательность с дальнейшим встраиванием в какой-либо исполняемый PE-файл. Инструмент поддерживает только 32-битные файлы и набор инструкций x86. Но распространяется он с открытым исходным кодом, так что при желании поддержку других архитектур можно добавить самому.

ROPInjector показал очень хорошие результаты при сканировании полученных файлов различными AV, так что это можно взять на вооружение.

Инструмент впервые был представлен на конференции Black Hat USA 2015. За более подробным описанием устройства инструмента можно обратиться к слайдам «ROPInjector: Using Return Oriented Programming for Polymorphism and AV Evasion».

 

Охота на роутеры открыта

Автор: Jhonathan Davi
URL: https://github.com/jh00nbr/Routerhunter-2.0
Система: Windows/Linux

RouterhunterBR — инструмент на Pyhton для поиска уязвимых роутеров и проведения атаки на них. RouterhunterBR предназначен для работы в сети Интернет. При нахождении уязвимых устройств он способен проэксплуатировать уязвимость на домашних роутерах и произвести атаку DNSChanger — изменить настройки DNS. После чего, очевидно, можно заставить уязвимого пользователя, к примеру, ходить через тебя и менять ему данные.

На текущий момент инструмент способен эксплуатировать уязвимости:

  • в Shuttle Tech ADSL Modem-Router 915;
  • D-Link DSL-2740R;
  • D-Link DSL-2640B;
  • D-Link DSL-2780B DLink_1.01.14;
  • D-Link DSL-2730B AU_2.01;
  • D-Link DSL-526B ADSL2+ AU_2.01;
  • DSLink 260E.

Как правило, эксплуатируются такие уязвимости:

  • Unauthenticated Remote DNS Change;
  • Authentication Bypass DNS Change;
  • Bruteforce.

Все достаточно просто и эффективно.

 

Kitty — фаззинг-фреймворк

Автор: cisco-sas
URL: https://github.com/cisco-sas/kitty
Система: Linux / OS X / Windows

Kitty — это модульный фреймворк для фаззинга на Python с открытым исходным кодом. Появился на свет он под впечатлением от таких известных фаззеров, как Sulley и Peach.

Как говорят сами создатели этого фреймворка, при работе над ним была задача сконцентрироваться на необычных целях. Целях, которые работают не на TCP/IP-уровне, и при этом без переписывания всего с нуля каждый раз. Фреймворк, естественно, включает в себя все стадии, которые только могут быть в процессе фаззинга: генерацию данных, фаззинг, мониторинг цели.

Особенности:

  • модульность — каждая функциональная часть обособлена и может быть переиспользована;
  • расширяемость — есть ядро системы, все остальное можно расширять на свое усмотрение;
  • модель данных — модель позволяет описывать сложные структуры данных, включая строки, хеши, длины, условия и прочее;
  • состояния — возможность описывать порядок сообщений и их условия отправки;
  • фаззинг клиента и сервера;
  • кросс-платформенность.

Так как в самом Kitty нет реализаций различных протоколов передачи данных (HTTP, TCP или UART), то можно обратиться к другому проекту автора — katnip, и этого будет достаточно для старта.

 

PS>Attack

Автор: Jared Haight
URL: https://github.com/jaredhaight/psattack
Система: Windows

PS>Attack — портативная консоль, нацеленная на создание пентест-набора на PowerShell.

Инструмент комбинирует некоторые наиболее популярные проекты на PowerShell от сообщества безопасности в единый исполняемый файл. Это все позволяет избежать детекта антивирусов и Incident Response teams. В итоге получаем исполняемый файл, не завязанный на powershell.exe, а вместо этого идет прямое обращение через .NET-фреймворк. Также каждый из модулей шифруется на произвольном ключе, и при запуске полученного файла происходит расшифровка в памяти (на диск ничего не записывается).

PS>Attack содержит более ста команд для поднятия привилегий в системе, исследования системы и извлечения данных. На текущий момент поддерживаются следующие модули и команды:

  • Powersploit
    • Invoke-Mimikatz
    • Get-GPPPassword
    • Invoke-NinjaCopy
    • Invoke-Shellcode
    • Invoke-WMICommand
    • VolumeShadowCopyTools
  • PowerTools
    • PowerUp
    • PowerView
  • Nishang
    • Gupt-Backdoor
    • Do-Exfiltration
    • DNS-TXT-Pwnage
    • Get-Infromation
    • Get-WLAN-Keys
    • Invoke-PsUACme
  • Powercat
  • Inveigh

Также есть команда get-attack для поиска модулей в текущей сборке. А для простой сборки собственной версии PS>Attack точно пригодится PS>Attack Build Tool.

 

Marvin — анализ Android-приложений

Автор: Programa STIC
URL: https://github.com/programa-stic/marvin-django/blob/master/README_en.md
Система: Linux

Marvin — это система для анализа Android-приложений и поиска уязвимостей, позволяет отслеживать изменения приложений через историю. Состоит из четырех подсистем:

  • Marvin-django: фронтенд веб-приложения для использования и администрирования Marvin. Он также включает в себя классификатор, который помогает оценить вероятность, что данное Android-приложение вредоносно;
  • Marvin-static-Analyzer: система статического анализа, которая использует Androguard и Static Android Analysis Framework (SAAF);
  • Marvin-dynamic-Analyzer: система динамического анализа, которая использует Android x86-эмулятор и Open Nebula виртуализацию для автоматического поиска уязвимостей;
  • Marvin-toqueton: инструмент для автоматического анализа GUI в помощь к динамическому анализатору Marvin.

Для установки запусти скрипт setup.py. Сервер стартуется следующей командой:

$ python manage.py runserver 0.0.0.0:[port]

За более подробной инструкцией обратись на страничку проекта.

1 комментарий

  1. Аватар

    itjunky

    13.04.2016 в 12:06

    Приятно видеть столько упоминаний python =)

Оставить мнение