Monday, July 19, 2010

Visualização e extração de conteúdo em Investigações de Rede


A cada dia cresce a importância e o interesse na capacidade de investigação de uma quantidade cada vez maior de tráfego em rede, seja por empresas, agências governamentais ou forças da lei.

Os objetivos são vários, desde à monitoração de políticas de segurança e compliance até a análise de ataquse avançados para alimentar com inteligência os sistemas de defesa e detecção utilizados.

Sobre este assunto, já publicamos alguns posts sobre as funcionalidades das versões gratuita e comercial de Forense de Rede da empresa NetWitness.

Hoje duas novidades interessantes na nova versão 9.5 que foram divulgadas pela NetWitness em seu blog oficial:

1 - capacidade de extração automatizada de conteúdo, baseada em categorias como "Audio", "Video", "Documentos", "Web", "Imagens", "Executaveis", etc - conforme figura acima. (a la NetWorkMiner, mas com melhor capacidade de identificação de conteúdo e de forma distribuída em uma rede corporativa).

2 - NetWitness Visualize - que acrescenta ao Informer funcionalidades "a la Minority Report" de visualização de conteúdo de forma dinâmica - conforme figura abaixo - com capacidade de filtragem e interação online - uma demonstração desta capacidade de visualização pode ser vista neste vídeo do youtube e experimentada online no endereço http://visualize.netwitness.com




Posts relacionados:

Tuesday, July 13, 2010

Stealth - invasão de milhares de sites wordpress para venda de Viagra e Cialis


No mundo do cibercrime, a criatividade, a adaptação e especialmente a capacidade de não chamar atenção desnecessariamente são um importante diferencial competitivo.

Todo mundo já sabe que a plataforma WordPress é um poço de vulnerabilidades e que os que ousam a utilizar precisam estar sempre atentos aos novos ataques e obviamente implementar medidas adequadas de hardening da solução.

Além disto, com a facilidade de levantamento de informações que sites como o Shodan proporcionam, estas invasões em massa tendem a ser cada vez mais comuns.

Pois bem - como todo administrador e todo usuário de Internet Exploder sabe - quem não se cuida.. é invadido - inexoravelmente. De uns anos para cá, vemos mais e mais casos de invasão de sites que não são utilizados imediatamente como plataforma de divulgação de "feitos", como defacements claros e escarrados ou a utilização do site invadido para hospedagem de páginas falsas de bancos em ataques de phishing scam.

Voltando ao tema principal do post: uma das atividades mais comuns e lucrativas utilizadas hoje pelo cibercrime é o "BlackHat SEO" - que objetiva o redirecionamento de tráfego de resultados de pesquisas em motores de busca (Google) para sites específicos que compram estes serviços - como no caso em pauta os de venda ilegal de medicamentos Viagra e Cialis.

Um pulo do gato interessante é que os termos relacionados à venda de medicamentos só aparecem caso o software utilizado (user-agent) para acesso à informação for um crawler/agent do Google (GoogleBot) (ex: inclusão no .htaccess: "RewriteCond %{HTTP_REFERER} .*gooo?gle.*"

Isto garante a bom posicionamento dos termos "anunciados" e ao mesmo tempo evita que o ataque seja descoberto facilmente. Além disto, quando os sites são acessados via Google, a página de chamada (referer) é checada e há o redicionamento par ao site do "anunciante".

As vantagens do "anunciante" são que a pontuação de importância do Google (page-rank) do site invadido será aproveitada e usuários normais do site (e administradores web) que estiverem usando navegadores comuns não repararão a alteração feita pelos atacantes "fornecedores" deste serviço.

Como pode ser visto no post da Sucuri - "Understanding and cleaning the pharma hack on Wordpress" - a seguinte pesquisa no Google revela milhares de sites atingidos pelo ataque - a grande maioria dos listados possuem instalações wordpress vulneráveis e ainda não foi corrigida, dada a natureza low-profile da campanha:

  • Para verificar se o seu site foi atingigo: inurl:site.com +"cheap viagra" or "cheap cialis"
  • Para sites no brasil: inurl:.br +"cheap viagra" or "cheap cialis"

São milhares de sites afetados no Brasil (google cache em 2010/07/13), entre eles:

- Forum do site do GDF: www.distritofederal.df.gov.br - ainda no ar - redirecionando para http://buypillz [dot] com
- Site da Faculdade de Comunicação da UnB - www.fac.unb.br
- Site da Renault - www.renault.com.br
- Revista Você RH - revistavocerh.abril.com.br
- entre milhares de outros..

Segundo a Sucuri, os sites afetados por esta campanha de ataque normalmente tiveram 3 garantias de permanência inseridas pelos atacantes.

1 – Backdoor que permite que os atacantes insira arquivos e modifiquem o banco de dados do worpress;
2 – Backdoor dentro de um ou mais plugins para inserir spam;
3 – Backdoor dentro do banco de dados usado pelos plugins.

O post da Sucuri possui detalhes de como procurar/remover esta variação específica do ataque.

Aos interessados no assunto - recomendo a seuinte fonte de referência sobre atividades de BlackHat SEO e outras atividades do ecosistema de ataques web em geral: o blog do analista de segurança holandês Dancho Danchev.

Caso um site sob sua responsabilidade foi afetado pelo ataque acima ou por outro - além dos links presentes neste post e da remoção dos 3 itens acima, recomendo o documento o APWG (Anti-Phishing Working Group): What to do if your Web site has been Hacked [pdf].

[ 14/07/2010 Update ]

Hoje tomei conhecimento que o próprio site da Sucuri (e também oComputerWorld-UOL) já haviam citado sites brasileiros envolvidos nesta campanha "Pharma".

Thursday, July 8, 2010

Remnux - Distribuição para Análise de Malware

[ Update 2011/01/13 - Lançada a versão 2.0 do REMNUX ]
[ Post Original - 2010/07/08 ]
O Lenny Zeltser - já citado por aqui pelos seus cheat sheets de segurança, acaba de lançar uma VM baseada em Ubuntu com o foco em análise de Malware chamada REMNUX.
Download da VM REMUX: http://www.megaupload.com/?d=WPRV5Z2K (548Mb)
Entre as ferramentas disponíveis na distribuição, estão:
Analyzing Flash malware: swftools, flasm, flare
Analyzing IRC bots: IRC server (Inspire IRCd) and client (Irssi). To launch the IRC server, type “ircd start”; to shut it down “ircd stop”. To launch the IRC client, type “irc”.
Network-monitoring and interactions: Wireshark, Honeyd, INetSim, fakedns and fakesmtp scripts, NetCat
JavaScript deobfuscation: Firefox with Firebug, NoScript and JavaScript Deobfuscator extensions, Rhino debugger, two versions of patched SpiderMonkey, Windows Script Decoder, Jsunpack-n
Interacting with web malware in the lab: TinyHTTPd, Paros proxy
Analyzing shellcode: gdb, objdump, Radare (hex editor+disassembler), shellcode2exe
Dealing with protected executables: upx, packerid, bytehist, xorsearch, TRiD
Malicious PDF analysis: Dider’s PDF tools, Origami framework, Jsunpack-n, pdftk
Memory forensics: Volatility Framework and malware-related plu
Miscellaneous: unzip, strings, ssdeep, feh image viewer, SciTE text editor, OpenSSH server

Thursday, July 1, 2010

IDS/IPS Suricata 1.1rc1 lançado



[ Update - 04/11/2011 ]


Demorou mas chegou..  Suricata 1.1rc1 lançado:


http://www.openinfosecfoundation.org/index.php/component/content/article/138-suricata-11rc1-available


New features:

  • extended HTTP request logging for use with (among other things) http_agent for Sguil (#38)
  • AF_PACKET report drop stats on shutdown (#325)
  • new counters in stats.log for flow and stream engines (#348)

Improvements:

  • SMTP parsing code support for BDAT command (#347)
  • HTTP URI normalization no longer converts to lowercase (#362)
  • AF_PACKET works with privileges dropping now (#361)
  • Prelude output for state matches (#264, #355)

Under the hood:

  • update of the pattern matching code that should improve accuracy
  • rule parser was made more strict (#295, #312)

Notable Fixes & Changes:

  • multiple event suppressions for the same SID was fixed (#366)
  • several accuracy fixes
  • removal of the unified1 output plugins (#353)

Download: http://www.openinfosecfoundation.org/download/suricata-1.1rc1.tar.gz


[ Update - 01/07/2010 ]

A versão 1.0 do Suricata foi lançada hoje

Download:

Mais informações/Documentação em:


[ Update - 06/05/2010 ]

A versão "Release Candidate 1" do Suricata IDS (0.9.0) foi lançada hoje.




Download:





Mais informações (funcionalidades/melhorias):

[ Update - 19/04/2010 ]


Versão 0.8.2 lançada hoje traz novidades em estabilidade, baixo consumo de memória, melhoria de performance e novas funcionalidades - leia mais e baixe aqui.


[ Post Original - 20/02/10 ]


Há muitos anos o mercado de segurança busca inovações significativas na área de detecção de ataques, e muitos de nós sabemos das limitações e problemas relacionados à IDS/IPS com tecnologia desenvolvida há mais de uma década.


Estas questões foram bem exploradas no excelente post "Detection, Bandwidth, and Moore’s Law" do Mike Cloppert no blog do Sans Institute:
" (...) our ability to detect hostility is constrained by four fundamental factors: what we look for, how we look for it, the amount of data we need to sift through to find it, and the computational power available to execute said detections. It is the interdependence of these last components that stands to most immediately and severely impact our ability to analyze network traffic"
O próprio Cloppert cita algumas vantagens do Suricata como o multithreading, paralelismo e suporte a processament da GPU - que indubitavelmente é o estado da arte na solução de computação paralela.


No primeiro post do ano eu havia feito o seguinte comentário sobre o IDS/IPS Suricata:
A "Open Information Security Foundation" acaba de lançar a primeiríssima versão pública do SURICATA - um novo conceito em IDS open source que pretende revolucionar o mercado! O meu grande amigo e ex-colega de trabalho Breno Silva Pinto trabalha ativamente como desenvolvedor do projeto OISF - que é fundado pelo DHS/Department of Homeland Security americano.
Dentre as funcionalidades do Suricata, estão: Multi-Threading, Automatic Protocol Detection (HTTP,TLS,FTP, and SMB). HTTP Gzip Decompression, Standard Input Methods, Unified2 Compatibility, Flow Variables e HTTP Logging Module.




Voltando à carga - agora trazendo uma novidade em primeira mão - o Breno Silva Pinto - desenvolvedor ativo do projeto OISF/Suricata - escreveu um texto em português sobre as funcionalidades da novíssima versão do Suricata (0.8.1) - que foi lançada ontem:
Suricata 0.8.1 Released!
Uma nova versão do IDS/IPS Suricata foi lançada ontem.


Dentre as principais features estão:
- A engine está preparada para detectar os cores da cpu e se autoajustar para utiliza-los
- Libhtp incorporada a master tree
- Suporte experimental CUDA (NVIDIA). A maioria dos algoritmos de String Searh ainda estão sendo portados para utilizar CUDA.
- Suporte a win32
- Suporte FreeBSD/Mac OS X IPFW inline
- Várias opções no arquivo de configuração suricata.yaml para otimização da engine
- Vlan decoding
- Suporte a logs Prelude
- Vários memory issues corrigidos e cleanup do códígo feito


Alguns problemas já conhecidos :
- Algumas assinaturas ainda não podem ser usadas por ausência de suporte de keywords snort
- Muitas melhorias foram feitas para big endian, entretando ainda faltam alguns bugs a serem corrigidos
- Alguns problemas são esperados quando CUDA for utilizado em 64 bits.
Para maiores informações e download : http://www.openinfosecfoundation.org/


Bugs, dúvidas, novas features e sugestões podem ser enviadas para nosssas mail-lists : http://lists.openinfosecfoundation.org/mailman/listinfo


Abraços,
Breno Silva Pinto
breno.silva@gmail.com


Para mais informações, seguem algumas referências e reações recentes sobre esta promissora novidade na área de Detecção de Intrusões:

Labels

forense (50) resposta a incidentes (40) segurança em profundidade (27) vulnerabilidade (26) treinamento (22) cyberwar (18) conferência (16) forense de memória (15) hackers (15) malware (15) blogs (14) vazamento de informações (13) windows (13) china (11) criptografia (11) ddos (11) dns (11) google (11) microsoft (11) ferramenta (10) memoria (10) botnet (9) csirt (9) exploit (9) forense de disco (9) forense de rede (9) ftk (9) legislação (9) phishing (9) 0-day (8) NIST (8) accessdata (8) encase (8) evento (8) linux (8) negação de serviço (8) netwitness (8) sans (8) volatility (8) cert.br (7) correlacionamento (7) desafios (7) ferramentas (7) forense corporativa (7) kaspersky (7) livros (7) pageviews (7) pci (7) twitter (7) usa (7) APURA (6) Guidance Software (6) espionagem industrial (6) governo (6) iccyber (6) internet explorer (6) metasploit (6) monitoração (6) privacidade (6) techbiz (6) 0day (5) CDCiber (5) blackhat (5) brasil (5) dlp (5) falha (5) fbi (5) ids (5) inteligencia (5) memoryze (5) modelagem de ameaças (5) métricas (5) patch (5) pdf (5) policia federal (5) python (5) registry (5) richard bejtlich (5) rsa (5) segurança de rede (5) siem (5) skype (5) CyberCrime (4) Enscript (4) algoritmo (4) android (4) anti-forense (4) anti-virus (4) arcsight (4) auditoria (4) backtrack (4) campus party (4) ccc (4) certificação digital (4) ciberespionagem (4) defacement (4) estatísticas (4) firefox (4) fud (4) mandiant (4) md5 (4) nsa (4) online (4) pentest (4) programação (4) safe browsing (4) sandbox (4) slowloris (4) ssl (4) storm worm (4) stuxnet (4) trojan (4) wikileaks (4) windows7 (4) .gov (3) adobe reader (3) ameaça (3) backdoor (3) blackberry (3) ceic (3) chrome (3) ciberguerra (3) cloud (3) conscientização (3) crackers (3) cymru (3) dan geer (3) defesa (3) drive-by (3) engenharia social (3) enisa (3) evidence (3) exploit kit (3) fast flux (3) forense digital (3) gsi (3) hardware (3) htcia (3) https (3) imperva (3) intel (3) ips (3) java (3) live cd (3) logs (3) man in the middle (3) networkminer (3) perícia digital (3) processo (3) ransomware (3) registro (3) reportagem (3) revista (3) risco (3) secunia (3) segurança (3) shodan (3) sox (3) sql injection (3) truecrypt (3) verizon (3) virus (3) vista (3) voip (3) .mil (2) BSIMM (2) Encase Enterprise (2) JDFSL (2) TPM (2) Virustotal (2) XSS (2) aduc (2) amazon (2) apache (2) apple (2) autenticação (2) bloqueador de escrita (2) breno silva (2) bruce schneier (2) bundestrojaner (2) cache poisoning (2) caine (2) carders (2) carnegie mellon (2) carolina dieckmann (2) carving (2) censura (2) cipav (2) cofee (2) coldboot (2) comodogate (2) conficker (2) consciência situacional (2) cooperação (2) core (2) cucko´s egg (2) cuda (2) cyberwarfare (2) database security (2) digital intelligence (2) direito digital (2) dnschanger (2) dpf (2) dsic (2) engenharia elétrica (2) engenharia reversa (2) etir (2) expressões regulares (2) f-response (2) finfisher (2) fingerprinting (2) flash (2) ftkimager (2) full disclosure (2) fuzzy (2) gsm (2) hacktivismo (2) hbgary (2) heap spray (2) iOS (2) immunity (2) impacto (2) insecure magazine (2) insiders (2) interceptação (2) iphone (2) irc (2) irã (2) jaquith (2) loic (2) mac (2) mastercard (2) mestrado (2) mobile (2) ms08-067 (2) openioc (2) openssl (2) otan (2) palantir (2) paypal (2) pcap (2) pdgmail (2) portugal (2) presidência (2) prisão (2) proxies (2) ptfinder (2) rbn (2) recompensa (2) recuperação (2) regripper (2) relatório (2) resumo (2) rio de janeiro (2) ross anderson (2) russia (2) securid (2) segurança por obscuridade (2) shell (2) sift (2) snort (2) snowden (2) sorteio (2) spam (2) spyeye (2) sql (2) ssd (2) stealth (2) suricata (2) sysinternals (2) tecnologia (2) tools (2) trend micro (2) unb (2) usb (2) virtualização (2) visa (2) waf (2) winen (2) wireless (2) worm (2) wpa (2) wpa2 (2) xry (2) zeus (2) .edu (1) .pac (1) 3g (1) ABNT (1) AR-Drone (1) AppleGate (1) Asterisk (1) Audit Viewer (1) BIOS (1) CCDCOE (1) CEF (1) CERT (1) CSI Cyber (1) CarbonBlack (1) Craig Wright (1) DC3 (1) Diginotar (1) Dilma (1) DoD (1) FACE (1) FRED (1) Facebook (1) Fred Cohen (1) GPU (1) Gene Spafford (1) HP (1) ICOFCS (1) ICS (1) IDMEF (1) IJDCF (1) IJDE (1) IJOFCS (1) INFOSEG (1) IODEF (1) IPv6 (1) ISO (1) MAEC (1) MCT (1) MMEF (1) Michael Cloppert (1) Ministério da Defesa (1) Netwtiness (1) OVAL (1) PL84/99 (1) RH2.5 (1) RNP (1) SDDFJ (1) SbSeg (1) Seccubus (1) Stratfor (1) TED (1) TJX (1) Tallinn (1) USCyberPatriot (1) USSTRATCOM (1) VERIS (1) VRT (1) WPS (1) WiPhire (1) Wifi Protected Setup (1) XMLHttpRequest (1) YARA (1) a5/1 (1) a5/3 (1) active defense (1) adeona (1) adhd (1) adobe flash (1) aes (1) afflib (1) akamai (1) alemanha (1) ambev (1) anti-theft (1) antisec (1) anubisnetworks (1) apt (1) apwg (1) aquisição (1) arbor (1) armoring (1) artefatos (1) artillery (1) asprox (1) assinaturas (1) atenção seletiva (1) attack (1) aurora (1) australia (1) autonomous systems (1) avg (1) avi rubin (1) avware (1) awards (1) baixaki (1) bbc (1) bear trap (1) belkasoft (1) bgp (1) birthday attack (1) bitlocker (1) black tulip (1) blackhat seo (1) blacklist (1) blind sql injection (1) bluepex (1) bluepill (1) breaking point (1) bulk_extractor (1) byod (1) c2c (1) capacidade (1) carbon black (1) careto (1) carnivore (1) cbs (1) cellebrite (1) celular (1) centera (1) cerberus (1) certificações (1) cheat sheet (1) chris paget (1) chromium (1) citrix (1) clean pipe (1) cliff stoll (1) cloudfare (1) cloudflare (1) cloudshield (1) cnasi (1) cnet (1) cnn (1) codenomicon (1) coleta (1) comodo (1) comodobr (1) compliance (1) comsic (1) convenção de budapeste (1) convergence (1) copa do mundo (1) corey johnson (1) cpbr (1) crime na rede (1) crise (1) cristine hoepers (1) cuckoo (1) cyberattack (1) cyberbunker (1) daemonlogger (1) dam (1) dancho danchev (1) darkmarket (1) dcom (1) decaf (1) decaf v2 (1) decloack (1) deepweb (1) defcon (1) deutche telekom (1) dfrws (1) digitask (1) dimmit (1) diário oficial (1) dnsbl (1) dnssec (1) dou (1) downadup (1) drdos (1) drwxr (1) dsd (1) dumpcap (1) dumpit (1) duqu (1) e-evidence (1) ediscovery (1) eff (1) elcomsoft (1) emc (1) emprego (1) energia (1) enigma (1) entrevista (1) escola nacional de defesa cibernetica (1) eset (1) esteganografia (1) estonia (1) etld (1) eventos (1) evil maid (1) evilgrade (1) exercito (1) exploit-db (1) extorsão (1) f-secure (1) falso positivo (1) fantastico (1) fatal error (1) fecomercio (1) fernando carbone (1) ff4 (1) finlândia (1) firmware (1) flame (1) flexispy (1) foremost (1) forense de vídeo (1) forensic focus (1) forensic magazine (1) forensics.wiki.br (1) forensicswiki (1) força bruta (1) fraude (1) full disk encryption (1) g1 (1) gauss (1) gcih (1) ghostnet (1) globo (1) gmail (1) gpcode (1) gpl (1) gps (1) grampo (1) guardium (1) guerra (1) guilherme venere (1) hackerazzi (1) hackingteam (1) hakin9 (1) hardening (1) harlan carvey (1) hash (1) helix (1) hitler (1) holanda (1) honeynet (1) honeypot (1) hope (1) hosts (1) hotmail (1) httpry (1) iPhoneTracker (1) idefense (1) ig (1) impressoras (1) india (1) info exame (1) insecure maganize (1) intenção (1) interpol (1) into the boxes (1) investimento (1) ioerror (1) iphone forensics (1) ironport (1) isc2 (1) israel (1) j2ee (1) jacomo dimmit (1) jailbreak (1) javascript (1) jesse kornblum (1) jotti (1) junho 2008 (1) kaminsky (1) kasumi (1) kgb (1) kits (1) klaus steding-jessen (1) kntools (1) kraken (1) langner (1) lime (1) limites (1) lista (1) lm (1) locaweb (1) lockheed martin (1) lynis (1) lógica (1) mac memory reader (1) mac memoryze (1) macosx (1) magic lantern (1) map (1) marcapasso (1) marcelo caiado (1) marcos ferrari (1) mawlare (1) mbr (1) mcafee (1) mcgraw (1) memscript (1) metasploitable (1) mindmap (1) mit (1) mitigação (1) mitm (1) moonsols (1) moxie (1) mrtg (1) ms08-033 (1) nac (1) nessus (1) netcontinuum (1) netflow (1) networking (1) ngrep (1) nit (1) nmap (1) norma (1) norse (1) notebook (1) ntlm (1) ntop (1) ntp (1) nuclear (1) obama (1) oi (1) oisf (1) oiss (1) olimpiadas (1) openbts (1) openvas (1) oportunidade (1) oracle (1) orkut (1) otp (1) owasp (1) packers (1) panda (1) pattern matching (1) payback (1) pcre (1) pedofilia (1) pentesting (1) perforce (1) pericia (1) perl (1) perícia (1) pfsense (1) pgp disk (1) phonecrypt (1) pki (1) ploks (1) poisoning attack (1) policia civil (1) polypack (1) port knocking (1) português (1) post-mortem (1) postgres (1) prefeitura (1) premiação (1) preparação (1) princeton (1) provedores (1) ps3 (1) psn (1) psyb0t (1) pushpin (1) pwn2own (1) pymail (1) quebra de sigilo (1) r2d2 (1) rainbow tables (1) rar (1) realengo (1) reação (1) record (1) referência (1) regex (1) registry viewer (1) remnux (1) renato maia (1) renault (1) reversing labs (1) roi (1) rootkit (1) router (1) rpc (1) ruby (1) sanitização (1) santoku (1) sc magazine (1) scada (1) scanner (1) scm (1) secerno (1) second life (1) security (1) securityonion (1) senasic (1) sentrigo (1) sep (1) sequestro de dados (1) sha1 (1) shadowserver (1) shmoocon (1) siemens (1) sites (1) skorobogatov (1) slideshare (1) smartcard (1) snapcell (1) software (1) sony (1) sotirov (1) sp (1) spamhaus (1) spidertrap (1) spoofing (1) squid (1) sri (1) ssdeep (1) sseguranca (1) sslstrip (1) sting (1) stj (1) street view (1) sucuri (1) superinteressante (1) são paulo (1) t-mobile (1) takedown (1) teamcymru (1) technosecurity (1) telefônica (1) terra (1) terrorismo (1) timeline (1) tizor (1) tls (1) token (1) topcell gsm (1) tresor (1) trustwave (1) tse (1) turquia (1) txtBBSpy (1) umass (1) unix (1) urna eletrônica (1) us-cert (1) usenix (1) userassist (1) vazamentos (1) venda de senhas (1) venere (1) verdasys (1) verisign (1) videntifier (1) visualização (1) visualize (1) vivo (1) vm (1) votação (1) vulnerability (1) wargaming (1) wasc (1) web 2.0 (1) weblabyrinth (1) websense (1) whitelisting (1) whois (1) wigle (1) win32dd (1) winacq (1) windbg (1) windd (1) winifixer (1) wipe (1) wired (1) wireshark (1) wlan (1) wordpress (1) wrf (1) xerxes (1) xp (1) zdi (1) zlob (1)