Dies ist das Archiv zu der Kategorie 'Amun'.

Amun – Technical Report

Abgelegt unter Amun, Honeypot am 20 Januar 2010
Other Languages: None

Jan Göbel hat einen ausführlichen Bericht über seinen low-interaction Honeypot Amun geschrieben. Das Paper zeigt ausführlich die Funktionsweise von Amun und wurde in der Hoffnung geschrieben einen tiefen Einblick zu geben um das Beisteuern von Schwachstellen Modulen zu fördern.

Englische Zusammenfassung:

In this report we describe a low-interaction honeypot, which is capable of capturing autonomous spreading malware from the internet, named Amun. For this purpose, the software emulates a wide range of different vulnerabilities. As soon as an attacker exploits one of the emulated vulnerabilities the payload transmitted by the attacker is analyzed and any download URL found is extracted. Next, the honeypot tries to download the malicious software and store it on the local harddisc, for further analyses. As a result, we are able to collect at best unknown binaries of malware that automatically spreads across the network. The collected samples can for example be used to help anti-virus vendors improve their signatures

Das Paper ist in der elektronischen Bibliothek der Uni Mannheim als PDF verfügbar.

Dein Kommentar »

Amun v0.1.8 released

Abgelegt unter Amun, Honeypot am 27 Juli 2009
Other Languages: None

Jan hat die neue Version von Amun veröffentlicht.

Changes in v0.1.8:
– added ulm shellcode handler
– added bergheim shellcode handler
– added langenfeld connectback2
– added leimbach encoded tftp command detection
– added pexalphanumeric b64encoded plain url detection
– added new amun smb handler
– fixed netdde vulnerability
– fixed missing socket import for log-blastomat module
– fixed reply function to send all bytes
– fixed amun crash on already used port/address
– fixed anubis submission module
– fixed amun ftp NAT download
– modified ftp_download_core to handle broken pipe on push command
– modified vuln-http to serve images from folder
– modified log-surfnet configuration to accept database port
– modified vuln-arc to no reply
– modified md5 to hashlib (deprecated warning)
– modified popen2 to subprocess (deprecated warning)
– removed conn= parameter prefix for asynchat.async_chat.__init__

Dein Kommentar »

Amun Honeypot Experiment

Abgelegt unter Amun, Honeypot, Malware, Sicherheit am 10 März 2009
Other Languages: None

Jan Göbel, Autor des Amun Honeypots, hat alle Interessierten aufgerufen (Link zum Blog) an einer Studie über die räumliche Ausdehnung von Angriffen teil zu nehmen. Hierfür wird ein weiteres Modul in Amun geladen, welches die Angreifer IP, den Port, die Schwachstelle und die gefundene URL in eine Datei schreibt. Diese werden dann nach Abschluss des gewünschten Zeitraums gesammelt und ausgewertet.
Auch andere Honeypots, die ähnliche Datensätze liefern können, sind ihm willkommen. Interessierte sollen sich an zero-q @ iname.com wenden. Um auch eine “räumliche” Vorstellung zu bekommen, ist mindestens das Land, in dem der Honeypot platziert ist, eine gewünschte Information.

Dein Kommentar »

Amun Tutorial

Abgelegt unter Amun, Honeypot am 9 März 2009
Other Languages: None

Danny hat ein sehr ausführliches Tutorial zum Aufsetzen des Amun Honeypots geschrieben: Aufsetzen eines Amun Honeypots
Die wichtigsten Punkte werden klar erläutert und ihre Funktion beschrieben. Etwas dürftig ist die Beschreibung des MySQL Moduls und Hinweise zur Betreibung hinter einem DSL Modem.

Dein Kommentar »

Amun v0.1.7

Abgelegt unter Amun, Honeypot am 27 Februar 2009
Other Languages: None

Am 19. Februar hat Jan die Version 0.1.7 seines Python Honeypots Amun veröffentlicht. Das Changelog verrät uns die aktuellen Veränderungen:

Changes in v0.1.7:
– added new bindshell detection
– added log-surfnet modul
– added amun sql layout amun_db.sql
– added vuln-ms08067 modul (milworm)
– added bielefeld encoded URL detection
– fixed linkbot dlident missing
– modified currentSockets to store attackerId for log-surfnet
– modified vuln-dcom to detect other exploit method
– modified vuln-http POST request shellcode size to 530
– modified download_core to handle errors

Erhältlich ist Amun auf der SF.net Projekt Seite.

Dein Kommentar »

Amun log_irc

Abgelegt unter Amun, Honeypot am 4 Januar 2009
Other Languages: None

Danny hat am 25.12. letzten Jahres die erste Version einer IRC Log-Erweiterung für den Amun Honeypot (Sourceforge Project Page) veröffentlicht (Blog Eintrag). Die Python Files findet man auf der Google Code Project Page.
Es handelt sich dabei jedoch um eine frühe Alpha und Danny versprach, den Code umgehend zu überarbeiten.

Dein Kommentar »

Amun Bugfix

Abgelegt unter Amun, Honeypot am 10 Oktober 2008
Other Languages: None

In der neuen Version 0.1.6 wurde ein kleiner Fehler gefunden, im svn liegt die neuster Version:

I found a small bug today. I missed to set the download identifier for two linkbot shellcodes. There is already a fixed version in the SVN.

If you want to fix it yourself change the following two lines in shellcode_mgr_core.py:
(they start with dlident = instead of what is mentioned below)

line 1047 should read:
self.resultSet['dlident'] = …

line 1070 sould also start this way:
self.resultSet['dlident'] = …

Dein Kommentar »

Amun v0.1.6

Abgelegt unter Amun, Joebox am 9 Oktober 2008
Other Languages: None

Endlich gibt es wieder ein Lebenszeichen von Amun: Am 07.10.08 wurde Version 0.1.6 des Honeypots released.

Die neue Version ist hier zu erhalten.

Anscheinend gab es ein Problem mit CWSandbox. Bisher habe ich nichts mehr von Thorsten Holz gehört. Hoffen wir, dass es hier wieder zu einer reibungslosen Zusammenarbeit kommt. Neu dazu ist unter anderem das submit-joebox Modul. Dieses sendet. wie der Name schon verrät, Samples an die vielversprechende, schon mehrfach erwähnt, Joebox. Unnötiger weise wurde ich dort erwähnt. Mein Anteil beruht jedoch lediglich auf Vermittlungsarbeit.

Changes in v0.1.6:
- fixed submit-cwsandbox timeout issue
- fixed submit-cwsandbox result url parsing
- modified ftp download module
- modified for-loops in shellcodemanager
- modified range to xrange
- added submit-joebox module thanx to the author of joebox and lukas from glasblog
- added ipconfig command emulation

Dein Kommentar »

Ports: Nepenthes ∪ Amun

Abgelegt unter Amun, Honeypot, Nepenthes am 9 Juli 2008
Other Languages: english

Folgende Fragestellung: Wieso ergänze ich Nepenthes nicht um weitere vuln Module? Ganz einfach, ist mir zu kompliziert und ich habe keine Zeit. Prima Lösung: Amun! Aber soll ich jetzt auf Nepenthes verzichten? Nein, Nepenthes gefällt mir prima. Daher bin ich auf die Idee gekommen, ausgehend von meinem Meta Honeypot Honeytrap, Nepenthes und Amun parallel laufen zu lassen.

Nepenthes hat bei mir das Recht des Älteren und darf seine Ports behalten, dafür muss Amun auf ein paar Verzichten. Klingt gemein, geht aber nicht besser.

Damit wir auch wissen, was wir nun anpassen müssen, schauen wir und die jeweiligen Ports mal genau an:

weiterlesen »

1 Kommentar »

Design von Robin Hastings - Farbanpassung von Ulysses Ronquillo