GlasBlog

Nepenthes hatte im Allgemeinen 3 Output Bereiche: Binaries, das Log und die Hexdumps. In diesem Artikel möchte ich etwas näher auf die Hexdumps eingehen.

Nepenthes bietet dem Angreifer einen Shellcode Emulator. Die dort aufgezeichneten Befehle landen in dem Hexdump. Wurde diese bis zur Version 0.1.7 noch auf die Festplatte geschrieben, sehen wir in der aktuellen Version 0.2.0 (svn) nichts mehr. Hier ein Beispiel für ein Hexdump:

81 00 00 48 * 43 46 44 45 ...H CKF DENECFDE
46 46 43 46 * 41 43 41 43 FFCFGEFF CCACACAC
41 43 41 43 * 44 45 42 45 ACACA. E MEPEDEBE
4d 45 49 45 * 41 43 41 43 MEIEPFDF ECACACAC

Ausgangsposition: 510a9cb861291310fdd4*.bin ein von Nepenthes aufgezeichneter Hexdump (var/hexdumps)
Folgende schritte sind notwendig um sinnvoll mit den Hexdumps zu arbeiten (Quelle):
weiterlesen »

Nach meinem letzten Subversion Update habe ich mit Schrecken feststellen müssen, dass ich zwei vorhandene Module nicht aktiviert habe.
Ein Blick in die nepenthes.conf im svn Repository zeigte mir, dass sie dort auch nicht geladen werden. Nach einer kurzen Versicherung im IRC habe ich unverzüglich Abhilfe geschaffen:

“vulnsav.so”, “”, “”
“vulnrealvnv.so”, “”, “”

Nun ja, ob es was bringt, werde ich wohl nicht all zu schnell herausfinden, aber man fühlt sich etwas besser :).
Da wir auch wissen wollen, was wir davon haben, ein kurzer Blick auf die Beschreibung (auch aus dem svn):

vuln-sav – “emulate the bug in symantec antivirus product”
vuln-realvnc – “eXample Module 2 -binding sockets & setting up a dialogue example”

Wobei es sich bei letzterem jedoch um die Beschreibung des x-2 Beispiels handelt. Vermutlich kann man folgende Beschreibungen annehmen:

vuln-sav – Emuliert den Fehler in einem symantec antivirus product.
vuln-realvnc – RealVNC Remote Authentication Bypass Vulnerability

Wobei ich mich dabei auf keinerlei Fakten, lediglich Vermutungen berufe.

Ich habe mal die Beschreibungen zu den Modulen aus dem svn Repository raus gesucht, sie mit der Nepenthes Readme verknüpft und mit ein paar Informationen erweitert:

vuln-asn1 – Stellt dialogues und factories für die asn1 Schwachstelle bereit: MS03-007, MS03-051, MS04-011 und ms04-007.
vuln-bagle – Emuliert den bagle backdoor.
vuln-dameware – Emuliert die zwei bekannten dameware bugs.
vuln-dcom – Emuliert die dcom Schwachstelle MS03-039 und MS04-012.
vuln-ftpd – Simuliert bekannte Schwachstellen von win32 ftp Server.
vuln-iss – stellt factory, dialogues und ShellcodeHandler für IIS SSL bug bereit MS03-007, MS03-051 und MS04-011.
vuln-kuang2 – Emuliert den kuang2 backdoor.
vuln-lsass – Modul für die lsass Emulation MS04-011.
vuln-msdtc – Modul für die msdtc Emulation.
vuln-msmq – Stellt dialogue und factory für MS05-017 bereit.
vuln-mssql – Emuliert die MS02-039 Schwachstelle.
vuln-mydoom – Emuliert den mydoom backdoor.
vuln-netbiosname – Stellt factory und dialogues für die netbios name resolution.
vuln-netdde – Stellt Factory und dialogues für die netdde Schwachstelle MS04-031.
vuln-optix – Emuliert ein optix backdoor und wartet auf Uploads.
vuln-pnp – Modul für die pnp Emulation.
vuln-realvnc – RealVNC Remote Authentication Bypass Vulnerability
vuln-sasserftpd – Stellt factory und dialogues für die sasserftpd Schwachstelle.
vuln-sav – Emuliert den Fehler in einem symantec antivirus product.
vuln-ssh – Logt ssh Bruteforces Angriffe.
vuln-sub7 – Emuliert den sub7 backdoor.
vuln-upnp – Stellt factory und dialogues für die upnp Schwachstelle MS01-059 bereit.
vuln-veritas – Stellt factory und dialogues für die vertias Schwachstelle bereit.
vuln-wins – Emuliert die wins Schwachstelle MS04-006 und MS04-045.

Folgendes habe ich auf der Nepenthes Homepage gelesen:

Anscheinend gibt es einen Virus der RFC 1918 (address rewrite) in Nepenthes missbraucht um an die IP zu kommen.

Hier sieht man sehr gut, wie die Informationen vom Virus übertragen werden.

Natürlich schläft das Team von Nepenthes nicht und hat gleich ein “Bugfix” heraus gebracht:

Folgendes muss in der nepenthes.conf geändert werden ( 1 -> 0)

downloadmanager
{
replace_local_ips “1″;
};

Einfach aber ausreichend.

Über die Nepenthes Mailingliste wir eine Sammelaktion für Hexdumps gestartet.
Ziel ist es mittels diesen zwei Herangehensweisen zu testen und zu verbessern. Dieses wurde bereits am 1. April 2007 angekündigt, es geht um libemu. libemu ist eine kleine x86 Emulation die Shellcode in Netzwerk Streams erkennen soll. libemu soll mit libcspm verglichen werden, der bisherigen Methode von Nepenthes. Weiterhin dienen die Hexdumps zu Verbesserung der Pattern Methode von Nepenthes.

Es wird gebeten die Hexdumps zu packen und bei einem Filehoster hoch zu laden. Der Link ist zu senden an nepenthesdev-at-gmail-com.
Natürlich werden evtl enthaltene IPs vertraulich behandelt.