GlasBlog

Joedoc ist in der Lage Exploits in pdf files zu erkennen. Hierfür wird das file in einer virtuellen Maschine ausgeführt und die, wärend der Laufzeit, gesammelten Execution Points mit einer Whitelist verglichen. Zu beachten sind die Limitationen durch die dynamische Analyse, wie z.B. die Abhängigkeit von Aktionen durch den User oder Zeit bedingte Auslöser. Aktuell werden Exploits für  Acrobat Reader 7.0.5, 8.1.2, 9.0 und 9.2. detektiert. Genaue Anweisungen wie man ein Sample übermittelt, findet man auf der Homepage. Momentan wird an der Erkennung von Exploits für den Internet Explorer 8.0 und 9.0 sowie für Microsoft Office documents gearbeitet.

Die Bewerbung des Honeynet Project für den diesjährigem Google Summer of Code wurde akzeptiert! Die vom Honeynet Projekt vorgeschlagenen Projekte kann man hier einsehen. Ich empfehle jedem interessierten Studenten sich das auf jeden Fall an zu sehen und falls man ein passendes Thema findet, Kontakt mit den Mentoren auf zu nehmen, oder eigene Ideen vorschlagen.

GSoC bietet eine hervorragende Möglichkeit Erfahrungen in einem Open Source Project zu sammeln. Hierzu gehört auch die Zusammenarbeit mit Menschen die sehr viel Erfahrung in diesem Gebiet haben. Für das Glastopf Projekt war es ein außerordentlicher Schub nach vorne und die geknüpften Kontakte eine große Bereicherung.

The Honeynet Project has announce the publication of the first paper in the new Know Your Tools paper series: “KYT: use Picviz to find attacks” authored by Sebastien Tricaud from the French Chapter and Victor Amaducci from the University of Campinas.

The paper can be downloaded at Know Your Tools: use Picviz to find attacks.

Seit gestern arbeite ich offiziell mit dem 1und1 Abuse Team zusammen. Unsere Kooperation dauert bereits mehrere Monate an und rückblickend haben beide Parteien gut davon profitiert. Es war mir möglich die gesammelten Daten so weit aufzubereiten, dass 1und1 verwertbare Schlüsse daraus ziehen kann. Als Gegenleistung habe ich enge Zusammenarbeit mit Mitarbeitern, Hardware Ressourcen und prima Kontakte erhalten.
Ich halte diesen Austausch für eine gute Möglichkeit die mit den Glastopf Sensoren in der zentralen Datenbank gesammelten Informationen sinnvoll zu verarbeiten.

Ich habe heute in groben Zügen das SURFids und das MySQL plug-in zusammen gefasst und entstanden ist das PostgreSQL plug-in. Hiermit ist es möglich die Angriffe in eine PostgreSQL Datenbank zu schreiben. Ein paar knappe Infos habe ich im Wiki zusammen gefasst.

BitBlaze ist ein Malware Analysis Service für PE Files. Auf dem virtuellen System laufen drei Dienste die für die komplette Analyse zuständig sind:

• Renovo: Hidden Code Extractor (Unpacker)
• HookFinder: Malware Hooking Behavior Detector
• Panorama: System-wide Information Tracking

Renovo kümmer sich, grob gesagt, um das lokalisieren und sammeln von eigentlich gepacktem Code. Dafür überwacht er den Arbeitsspeicher und macht sich dabei zu nutzen, dass jeder gepackte Code während seiner Laufzeit, irgend wann ungepackt vorliegt.
Publication: “Renovo: A Hidden Code Extractor for Packed Executables.”, Min Gyung Kang, Pongsin Poosankam, and Heng Yin. In The 5th ACM Workshop on Recurring Malcode (WORM), Oct 2007 [PDF]

Hookfinder detektiert hooking Verhalten der Malware.
Publication: “HookFinder: Identifying and Understanding Malware Hooking Behaviors”, Heng Yin, Zhenkai Liang, and Dawn Song. In Proceedings of the 15th Annual Network and Distributed System Security Symposium, February 2008. [PDF]

Panorama ist für die Überwachung des gesamten Systems zuständig. Hierbei wird nach sogenanntem Malicious IAP (Information Access and Processing) Verhalten Ausschau gehalten.
Publication: “Panorama: Capturing System-wide Information Flow for Malware Detection and Analysis.”, Heng Yin, Dawn Song, Manuel Egele, Christopher Kruegel, and Engin Kirda. In Proceedings of ACM Conference on Computer and Communication Security, Oct 2007.[PDF]

Das Honeynet Projekt beteilig sich am Google Summer of Code (GSoC) als Mentor (wieso, weshalb, warum?)! Die Bewerbung von Honeynet bei GSoC kann hier nachgelesen werden.

Folgende Projekte sind verfügbar:

1. Improving our low interaction client honeypot (PHoneyC)
   Hauptziel ist die Integration von pyprofjsploit in PHoneyC. Je nach verfügbaren Mithelfern, will man noch “Deobfuscation Mechanisms by combining DOM Simulation and Javascript Engine“, “Client-side vulnerability analysis, signature generation and detection” und “Client-side exploit analysis to support collection of downloads” integrieren.
2. Improving the effectiveness of low interaction honeypots (Nepenthes/HoneyTrap/LibEmu)
   Aufbauend auf aktuelle Erkenntnisse aus vorhergegangenen Projekten soll die Entwicklung eines neuen “low interaction” Honeypots vorangetrieben werden.
3. Improving our high interaction client honeypots (Capture-HPC and CaptureBAT)
   Hierbei geht es, wie der Titel schon verrät, um die Erweiterung der beiden Capture* Projekte. Nähere Details zu diesem Projekt und ausführliche Beschreibung zu allen anderen, findet man auf der Honeynet.org Seite.
4. Developing a solution for managing client honeypots (New)
   Vorhandene client Honeypots sollen ihre gesammelten Daten zentral ablegen und ein Webinterface soll diese Ergebnisse präsentieren.
5. Improvements to high interaction honeypot data capture systems (Sebek and Virtual Machine Introspection)
   Folgende Ideen stehen im Raum: “Sebek Win32 Version – Improve Stability, Stealth, and Data Correlation” und “Virtualization Based Honeypot Monitoring“
6. Automatic generation of IDS signatures from honeynet data (Nebula)
   Nebula soll seine Signaturen in einem Web-Archiv präsentieren. Weiterhin soll die Integration eines Nebula Clients vorangetrieben werden.
7. Developing a user interface for analysing collected low interaction honeypot data (New)
   Die Daten verschiedener “low interaction” Honeypots sollen zentralisiert, durch verschiedene Analysen erweitert und in einem Webinterface dargestellt werden.
8. Improving Honeynet data visualisation (PicViz)
   PicViz soll für die Darstellung von Honeynet Daten optimiert werden.

Wer sich bewerben möchte, finde hier ein Template.

Jeremiah Grossman (Blog), CTO von WhiteHat Security hat einen guten Artikel über SQL Injection in Security Horizon: Winter 2009 Edition (Direktlink) veröffentlicht:

Auszug:

SQL Injection, Eye of the Storm
In 2008 SQL Injection became the leading method of malware distribution, infecting millions of Web pages and foisting browser-based exploits upon unsuspecting visitors. The ramifications to online businesses include data loss, PCI fines, downtime, recovery costs, brand damage, and revenue decline when search engines blacklist them. According to WhiteHat Security1, 16 percent of websites are vulnerable to SQL Injection. This is likely under-reported given that the statistics are largely based on top-tier Web properties that employ a website vulnerability management solution to identify the problem. The majority of websites do not and as such may be completely unaware of the extent of the issue. In addition, some recommended security best-practice have ironically benefited malicious hackers. Websense now reports that “60 percent of the top 100 most popular Web sites have either hosted or been involved in malicious activity in the first half of 2008.” Let’s examine the forces that have aligned to create the storm that allows SQL Injection to thrive.

Das Weblog von Matasano Security ist wieder online.

www.matasano.com technical difficulties
Jeremy Rauch | October 24th, 2008
We’re still working on recovering content. Please be patient.

Nachdem sie lange Zeit mit Daten-Rettung verbracht haben, scheint nun alles wieder zu gehen.

Nach einem verunglückten Festplatte und einigen Tagen Downtime ist das Honeyblog wieder zurück. Als Schmankerl veröffentlichte Thorsten die Folien zu einer Vorlesung über verschiedene Honeypots und Honeynets.
Er beschreibt darin wichtige Grundlagen und zeigt die Zusammenhänge zwischen Honeypots, Honeyclients und Sandboxes.