binmap

Авторы: Serge Guelton, Sebastien Renaud
URL: https://github.com/quarkslab/binmap
Система: Linux/Windows

Binmap — это проект с открытым исходным кодом для сканирования системы и сбора информации об исполняемых бинарных файлах, их зависимостях, символах и многом другом. Ты можешь задаться вопросом: как это вообще может пригодиться?

На самом деле это очень полезная штука, она помогает глобально взглянуть на систему или программу (можно указать конкретную директорию) в плане использования и переиспользования кодовой базы. Самый простой сценарий, который сразу напрашивается, — это случай, когда известно, что в определенной библиотеке есть уязвимость. И нужно найти все места в программе, где используется код данной библиотеки. Это может помочь как закрыть уязвимость во всех проблемных местах, так и определить вектор, в котором проще всего данную уязвимость проэксплуатировать, — смотря что тебе надо.

Библиотеки могут использоваться тремя путями:

  • динамическая линковка;
  • загрузка в runtime (dlopen или LoadLibrary) — не поддерживается binmap;
  • статическая линковка — не поддерживается binmap, но можно дописать.

Приятно, что есть поддержка форматов PE и ELF. Подробнее об инструменте можно прочитать в данном блоге.

 

Darksearch

Автор: Vishal
URL: https://github.com/vlall/darksearch
Система: Linux/Windows

Людей притягивает то, что запрещено, — это всегда интересно. Есть вещи, которые специально скрываются от глаз обычных пользователей, и там порой надо уметь искать нужную информацию.

Проект Darksearch позволяет искать нужную информацию в скрытых источниках, таких как dark web onions сайты, IRC-чаты, геймерские чаты, blackhat-форумы. Помимо веб-поисковика, есть и специальный простенький API на Python для выполнения нужных поисковых запросов к системе.

Мы уверены, что данный проект определенно найдет свою аудиторию, как и поисковик Shodan.

 

Сканируем CMS’ки

Автор: Pedro Worcel
URL: https://github.com/droope/droopescan
Система: Linux

Droopescan — это сканер для поиска проблем/уязвимостей в ряде CMS (Content Management System). В первую очередь — в Drupal, SilverStripe, WordPress и еще немного Joomla. Можно отдельно отметить, что инструмент имеет плагинную архитектуру.

Среди аналогов выделяется тем, что:

  • он быстрый;
  • стабильный;
  • часто обновляется;
  • поддерживает массовое сканирование;
  • на 100% Python.

Что касается проверок при сканировании, то тут из коробки есть четыре типа:

  • определение используемых плагинов на портале;
  • определение темы;
  • определение версии CMS;
  • проверка разных интересных URL’ов (например, панель администратора).

При этом сканирование цели можно проводить как указав параметр командной строки, так и указав путь до файла со списком интересующих целей. Если для сканирования требуется аутентификация на хосте, то это не проблема, так как инструмент поддерживает netrc-файл и http_proxy переменную окружения.

Установка в две строчки:

# git clone https://github.com/droope/droopescan.git && cd droopescan
# pip install -r requirements.txt

 

PoC malware

Автор: LordNoteworthy
URL: https://github.com/LordNoteworthy/al-khaser
Система: Windows

Очень интересный и необычный проект. Как говорит автор, al-khaser — это PoC вредоносного кода с хорошими целями для проведения тестирования твоей антивирусной системы. Программа распространяется в исходных кодах, в виде проекта для VisualStudio, и можно собрать экземпляр с теми или иными трюками, которые сейчас активно используются настоящими вредоносными программами в ITW, и посмотреть, как с этим справится твой антивирус.

Из техник al-khaser на сегодняшний день поддерживает:

  • Anti-debugging attacks (24 техники);
  • Anti-Dumping (одна техника);
  • Timing Attacks [Anti-Sandbox] (10 техник);
  • Human Interaction [Anti-Sandbox] (8 техник);
  • Anti-Virtualization (11 техник и множество подвидов);
  • Code/DLL Injections (6 техник).

Список действительно внушительный, и он при этом еще пополняется (это можешь сделать и ты).

В итоге благодаря этому проекту можно:

  • протестировать как свои скиллы, так и свой плагин по обходу антиотладок;
  • проверить свой sandbox или окружение на скрытость от вредоносного кода.
 

Data Exfiltration Toolkit

Автор: Paul Sec
URL: https://github.com/sensepost/DET
Система: all

DET — это акроним от Data Exfiltration Toolkit, инструмент с расширяемой архитектурой для извлечения информации из различных протоколов и сервисов. Его фишка в том, что он может извлекать информацию из одного или нескольких каналов/источников одновременно.

На текущий момент есть поддержка следующих протоколов:

  • HTTP(S);
  • ICMP;
  • DNS;
  • SMTP/IMAP;
  • Raw TCP;
  • PowerShell implementation (HTTP, DNS, ICMP, SMTP (used with Gmail)).

И даже поддержка парочки сервисов:

  • Google Docs (Unauthenticated);
  • Twitter (Direct Messages).

И пока что экспериментальная поддержка:

  • Skype (95% готовности);
  • Tor (80% готовности);
  • GitHub (30/40% готовности).

Подробнее об инструменте можно узнать из слайдов Introducing DET (Data Exfiltration Toolkit) с конференции BSides Ljubljana.

 

DeXRAY

Автор: hexacorn
URL: http://www.hexacorn.com/blog/2016/03/11/dexray/
Система: Windows

DeXRAY долгое время был приватным инструментом на Perl, а с недавних пор стал доступен всем желающим. Данная программа создавалась для расшифровки файлов из карантинов антивирусных решений для помощи форензики. Со временем он расширялся, в него добавляли поддержку новых движков и форматов файлов от большего числа антивирусных решений. Скажем честно, не все он поддерживает идеально, но определенно помогает разобраться со многими движками.

Поддерживает следующие карантины:

  • ASquared (EQF);
  • ESET (NQF);
  • Kaspersky (KLQ);
  • MalwareBytes Data files (DATA);
  • MalwareBytes Quarantine files (QUAR);
  • McAfee Quarantine files (BUP) (не полностью);
  • Microsoft Forefront (Magic@0=0B AD) (не полностью);
  • SUPERAntiSpyware (SDB);
  • Symantec Quarantine Data files (QBD);
  • Symantec Quarantine files (VBN) (не полностью);
  • Symantec Quarantine Index files (QBI);
  • TrendMicro;
  • любой бинарный файл (использующий X-RAY-сканирование).
 

Шелл-код из Python с обходами

Автор: Charlie Dean
URL: https://github.com/charliedean/winpayloads
Система: Linux

Winpayloads — это инструмент для генерации полезных нагрузок (payload), который использует Meterpreter-шелл-коды из Metasploit с пользовательскими настройками (ip, port и так далее) и создает Python-файл, выполняющий данный шелл-код с помощью ctypes. Затем данный код шифруется с помощью алгоритма AES и преобразуется в исполняемый файл ОС Windows с помощью PyInstaller.

Особенности:

  • высокий уровень недетектируемости;
  • простой GUI-интерфейс;
  • загрузка payload на локальный веб-сервер;
  • psexec payload на целевой машине;
  • автоматический запуск Metasploit Listener после генерации полезных нагрузок;
  • интеграция с Shellter;

Кроме этого, есть еще две интересные фичи:

  • обход UAC;
  • payload persistence.

Простая установка:

  1. git clone https://github.com/Charliedean/Winpayloads.git
  2. cd Winpayloads
  3. ./setup.sh — установит все, что нужно для Winpayloads
  4. Запускаем ./winpayloads

1 комментарий

  1. Аватар

    procsen

    04.05.2016 в 14:23

    Кто может найти украденый ноут Серийный номер: LXRMU02140134008881601? Я заметил что майкрасофт както определил мой серийный номер через виндовс 10 а значить через серийник можно найти ноут. Наришите на почту кто хочет найти ноут за деньги procsenn@mail.ru

Оставить мнение