Para análise de malwares via WEB, já são famosos os serviços VirusTotal e JottiScan.
Agora o Team Cymru divulgou um serviço muito interessante para verificação simples ou em lote de hashes de arquivos que pode ser utilizado por grupos de resposta a incidentes:
Funciona assim: você primeiro gera a lista de hashes (md5sum / sha1sum) dos seus arquivos suspeitos, depois basta utilizar um cliente whois ou dns para fazer as consultas:
whois input:
$whois -h hash.cymru.com e1112134b6dcc8bed54e0e34d8ac272795e73d74
whois output:
"1221154281 53"
whois interpretação:
A data de entrada do binário está em epoch / unix time.
para traduzir, o melhor comando é "date -d @1221154281" => Thu Sep 11 14:31:21 BRT 2008
depois do espaço, é apresentado o percentual de detecção, ou seja, no exemplo
53% dos anti-vírus utilizados detectaram o hash que você enviou como malware
Mais info aqui para saber como se consulta via DNS e para consultas de arquivos contendo múltiplos hashes (via netcat).
Tuesday, October 28, 2008
Tuesday, October 21, 2008
pdgmail: nova ferramenta para Forense de Memória do GMAIL
O Gmail é o webmail que mais incomoda um analista forense em uma investigação em que os vestígios do
uso do Webmail é requerida - isto cada vez mais será coisa do passado. Baseado no recente artigo de John McCash, Jeff Bryner acaba de lançar uma ferramenta em python para interpretar a saída do dump de memória (toda memória física ou do processo do browser utilizado - qualquer browser, qualquer sistema operacional) e provê como ouput as seguintes informações sobre o gmail:
* Contatos
* Registros de Acesso (IPs)
* Nomes de conta do Gmail
* Cabeçalhos de mensagens
* Corpo das mensagens
Acredito ser um excelente "extra" para investigações envolvendo utilização de Gmail - especialmente
porque os vestígios deixados em disco pelo Gmail são insuficientes e cada vez mais ele é usado sobre
HTTPS..
Mais informações aqui.
Atente para este parágrafo:
"I used the pd dump tool from www.trapkit.de, available here, and tested against my meager
GMail account, Windows XP, 2000, IE 6, IE 7 and Firefox 3. In all cases I was able to retrieve
contact data, last login times and IP addresses, basic email headers and email bodies. Even if
the browser was ‘logged out’ of GMail, they all still retained this data. Even for messages that
were not opened, contacts that weren’t used. Simply loading up the GMail UI loads all this data
in the memory image."
Verifiquei que realmente os dados continuam disponíveis em memória mesmo depois do usuário
efetuar logoff tanto para o Firefox no linux e Internet Explorer e Firefox no Windows .
O procedimento é simples:
No Linux:
1) ./pd -p > browser.dump
2) strings -el browser.dump | pdgmail > output.gmail
No Windows:
1) .pd.exe -p > browser.dump
2) strings -el browser.dump | pdgmail > output.gmail
Urls:
PD: http://www.trapkit.de/research/forensic/pd/index.html
PDGMAIL: http://www.jeffbryner.com/code/pdgmail - ta com problemas no momento mas dá pra pegar via cache do google:
http://209.85.173.104/search?q=cache:crZARiCZN5IJ:www.jeffbryner.com/code/pdgmail
* o PDGMAIL requer o interpretador do PYTHON instalado.. (no linux já vem, para windows: http://www.python.org/download/windows/)
uso do Webmail é requerida - isto cada vez mais será coisa do passado. Baseado no recente artigo de John McCash, Jeff Bryner acaba de lançar uma ferramenta em python para interpretar a saída do dump de memória (toda memória física ou do processo do browser utilizado - qualquer browser, qualquer sistema operacional) e provê como ouput as seguintes informações sobre o gmail:
* Contatos
* Registros de Acesso (IPs)
* Nomes de conta do Gmail
* Cabeçalhos de mensagens
* Corpo das mensagens
Acredito ser um excelente "extra" para investigações envolvendo utilização de Gmail - especialmente
porque os vestígios deixados em disco pelo Gmail são insuficientes e cada vez mais ele é usado sobre
HTTPS..
Mais informações aqui.
Atente para este parágrafo:
"I used the pd dump tool from www.trapkit.de, available here, and tested against my meager
GMail account, Windows XP, 2000, IE 6, IE 7 and Firefox 3. In all cases I was able to retrieve
contact data, last login times and IP addresses, basic email headers and email bodies. Even if
the browser was ‘logged out’ of GMail, they all still retained this data. Even for messages that
were not opened, contacts that weren’t used. Simply loading up the GMail UI loads all this data
in the memory image."
Verifiquei que realmente os dados continuam disponíveis em memória mesmo depois do usuário
efetuar logoff tanto para o Firefox no linux e Internet Explorer e Firefox no Windows .
O procedimento é simples:
No Linux:
1) ./pd -p
2) strings -el browser.dump | pdgmail > output.gmail
No Windows:
1) .pd.exe -p
2) strings -el browser.dump | pdgmail > output.gmail
Urls:
PD: http://www.trapkit.de/research/forensic/pd/index.html
PDGMAIL: http://www.jeffbryner.com/code/pdgmail - ta com problemas no momento mas dá pra pegar via cache do google:
http://209.85.173.104/search?q=cache:crZARiCZN5IJ:www.jeffbryner.com/code/pdgmail
* o PDGMAIL requer o interpretador do PYTHON instalado.. (no linux já vem, para windows: http://www.python.org/download/windows/)
Sunday, October 19, 2008
FBI prende 60 pessoas depois de 2 anos de operação de site-armadilha
O FBI prendeu mais de 60 pessoas depois de 2 anos de operação do site-armadilha "DarkMarket" - que era reconhecido pela comunidade criminosa como um dos maiores sites para compra e venda de dados pessoais roubados e negociação de equipamentos utilizados em crimes financeiros, especialmente ligados à cartões de crédito - site movimentava mais de US$ 10 milhões mensalmente.
Apesar de anunciar que o site era comandado a partir do leste europeu, e que seu líder era o famoso hacker "Master Splyntr" (lembra das tartarugas ninjas?) Na verdade o site era comandado pelo agente do FBI J. Keith Mulars, a partir de um prédio da agência em Pittsburgh (pode ser que o agente tenha se apoderado no nickname/email/icq do bandido em 2005).
Estas informações foram primeiramente divulgadas pela rádio alemã Südwestrundfunk, que descobriu que o site era operado pelo FBI / "National Cyber Forensics Training Alliance" (NCFTA).
Durante estes 2 anos, muitos bandidos morderam a isca que o FBI colocou, e pelo menos 61 incautos foram presos...
Friday, October 17, 2008
Sans Forensic Summit & afterthoughs
Gostaria de compartilhar alguns links com impressões interessantes e comentários sobre o recente "Summit" de Forensics que o Sans Institute organizou nos USA.
Site Oficial do evento: http://www.sans.org/forensics08_summit/
Comentários de palestrantes:
1) http://volatility.tumblr.com/post/54726443/f-response-sans-summit (Pra quem não conhece, o Volatility é um - excelente - programa open-source para forense de memória RAM)
2) http://www.f-response.com/index.php?option=com_content&task=view&id=80&Itemid=9
3) http://windowsir.blogspot.com/2008/10/sans-forensic-summit_15.html
4) http://taosecurity.blogspot.com/2008/09/bejtlich-keynote-at-sans-forensics.html (autor do livro "The Tao of Network Security Monitoring")
Site Oficial do evento: http://www.sans.org/forensics08_summit/
Comentários de palestrantes:
1) http://volatility.tumblr.com/post/54726443/f-response-sans-summit (Pra quem não conhece, o Volatility é um - excelente - programa open-source para forense de memória RAM)
2) http://www.f-response.com/index.php?option=com_content&task=view&id=80&Itemid=9
3) http://windowsir.blogspot.com/2008/10/sans-forensic-summit_15.html
4) http://taosecurity.blogspot.com/2008/09/bejtlich-keynote-at-sans-forensics.html (autor do livro "The Tao of Network Security Monitoring")
Friday, October 3, 2008
Edição de Outubro da INSECURE MAGAZINE
Apesar do excesso de propagandas, a Insecure Magazine é uma excelente leitura, como sempre, nesta edição de Outubro/2008 - além dos temas fixos (sugestões de livros, notícias, eventos, destaques de softwares e videos) existem artigos sobre os seguintes temas:
- Segurança da Informação e Segurança de Rede na Europa hoje
- Segurança em Navegadores Web
- Análise passiva de tráfego com NetworkMiner
- Lynis - introdução à auditoria de sistema Unix
- Vulnerabildiades em Drivers Windows - METHOD_NEITHER
- Removendo armoring de executáveis
- Inseguranças em programas de proteção da privacidade
- Uma abordages proativa para vazamento de informações
- Compliance não é Segurança mas é um bom começo
- Desenvolvimento seguro de aplicações WEB
- Evitando ataques sem comprometer a segurança
- O risco dos insiders
- Segurança de aplicação para empresas - como balancear o uso de revisão de códigos e firewalls de aplicação para compliance PCI
- Segurança de Aplicação Web - um negócio arriscado?
Thursday, October 2, 2008
Skype Chinês - Você está sendo vigiado... e suas conversas estão disponíveis na Internet!
Sabe-se que o programa Skype possui criptografia 128 bits (ou melhor) - qual a alternativa então para monitoração de conteúdo de mensagens de texto/conversas de audio ?
Solução encontrada pelo governo chinês: manter no software (antes de criptografar a mensagem a ser enviada e depois de descriptografar a mensagem recebida) uma lista (atualizável) de palavras chaves como "comunismo", "vou sair do partido","leite em pó", "democracia", "Tibet" - e capturar o conteúdo das conversas que contiverem estas palavras, guardando-as em servidores do "Tom-Group".
Apesar de já ser público que o programa Skype desenvolvido em parceria pelo Tom Group para os chineses (wikipedia: "TOM-Skype client has built in trojan capabilities used by the Chinese government for censorship")
Foi publicado hoje por Nart Villeneuve um paper chamado "Breaching Trust - An analysis of surveillance and security practices on China’s TOM-Skype platform" - onde detalhes do funcionamento da espionagem do Skype Chinês são publicados - e coisa pior, como são mal guardados os dados capturados (inclusive com a chave de descriptografia no mesmo servidor!!)