Dies ist das Archiv für 14 April 2007.

State of the Union

Abgelegt unter Honeypot, Malware, Nepenthes am 14 April 2007
Other Languages: None

Wie schon erwähnt, hat Norman Sandbox den automatischen Upload gesperrt. Dadurch bin ich angewiesen auf die CWSandbox.
Ich habe mich darauf eingestellt nun weitaus weniger Malwareberichte zu bekommen. Doch nun kommt das erschreckende, ich bekomme weiterhin 4-5 Berichte pro Tag. Wenn man weiß, dass ich nur Berichte zu Malware bekomme die noch nicht in der Datenbank von CWSandbox verzeichnet ist, weiß wie überraschend die Aktuellen Berichte wirken können. Gleichzeitig erschreckt es mich jedoch auch wie viel Malware doch in den Weiten des Internets unterwegs sind.

Dein Kommentar »

log-irc mit TOR

Abgelegt unter Honeypot, IRC, Internet, Nepenthes, Sicherheit am 14 April 2007
Other Languages: None

Um unsere IP des Nepenthes Sensor in einem ungesicherten IRC Channel nicht zu verraten, empfiehlt es sich TOR einzusetzen.
TOR leitet TCP Verkehr über eine Vielzahl von Server und verschleiert so den Ursprung.

Was wir noch benötigen:
weiterlesen »

1 Kommentar »

Norman Sandbox verwendet Captcha!

Abgelegt unter Honeypot, Malware, Nepenthes, Sicherheit am 5 April 2007
Other Languages: None

Leider verwendet Norman Sandbox nun ein Captcha.

Damit man weiterhin weiß, was man gesammelt hat, lässt sich die cwsandbox verwenden:

So sollte die angepasste submit-norman.conf aussehen:

submit-norman
{
// this is the adress where norman sandbox reports will be sent
email “malware@mac.com”;
urls (“http://luigi.informatik.uni-mannheim.de/submit.php?action=verify”);
//”http://sandbox.norman.no/live_4.html”);

};

Die ganze Geschichte hat jedoch noch einen weiteren Haken, ist die an cwsandbox gesendete Binary bereits in deren Datenbank, bekommt man keine Auswertung. Die lässt sich leider aktuell nur durch einen manuellen Upload bei Norman oder CWSandbox umgehen.

Dein Kommentar »

module-honeytrap mit ipq

Abgelegt unter Honeypot, Internet, Malware, Nepenthes, Sicherheit am 2 April 2007
Other Languages: None

Bemüht, Nepenthes immer etwas weiter aufzubohren, mache ich mich an das honeytrap Modul: module-honeytrap mit ipq.

Folgende Abhängigkeiten müssen erfüllt werden:

iptables-dev
libpcap

Debian:
apt-get install iptables-dev libnetfilter-queue-dev
weiterlesen »

Dein Kommentar »

Honeytrap, ein low-interactive Honeypot

Abgelegt unter Honeypot, Internet, Malware, Sicherheit am 1 April 2007
Other Languages: None

Ich halte mich an honeytrap.sourceforge.net.

Beschreibung:

Honeytrap ist ein Tool, ähnlich wie der low-interactive Honeypot Nepenthes. Es zeichnet Angriffe auf, dabei bedient es sich einer ähnlicher Methode: Jeder ein- und ausgehende Verkehr wird aufgezeichnet, dabei ist es egal, ob das Schema bekannt oder unbekannt ist.
weiterlesen »

Dein Kommentar »

Design von Robin Hastings - Farbanpassung von Ulysses Ronquillo